Willkommen zu einer neuen Artikelserie, dieses Mal zum Thema der Untersuchung von Vorfällen, nämlich der Malware-Analyse mithilfe der Check Point-Forensik. Wir haben bereits veröffentlicht über die Arbeit in Smart Event, aber dieses Mal werden wir uns forensische Berichte zu bestimmten Ereignissen in verschiedenen Check Point-Produkten ansehen:
Warum ist die Forensik zur Vorfallprävention wichtig? Es scheint, dass Sie sich mit dem Virus infiziert haben, es ist schon gut, warum sollten Sie sich damit befassen? Wie die Praxis zeigt, ist es ratsam, einen Angriff nicht nur zu blockieren, sondern auch genau zu verstehen, wie er funktioniert: Was war der Einstiegspunkt, welche Schwachstelle wurde ausgenutzt, welche Prozesse sind beteiligt, ob Registry und Dateisystem betroffen sind, welche Familie Anzahl der Viren, mögliche Schäden usw. Diese und andere nützliche Daten können den umfassenden forensischen Berichten (sowohl Text als auch Grafiken) von Check Point entnommen werden. Es ist sehr schwierig, einen solchen Bericht manuell zu erhalten. Diese Daten können dann dabei helfen, geeignete Maßnahmen zu ergreifen und zu verhindern, dass ähnliche Angriffe in Zukunft erfolgreich sind. Heute werfen wir einen Blick auf den forensischen Bericht des Check Point SandBlast Network.
SandBlast-Netzwerk
Der Einsatz von Sandboxes zur Stärkung des Schutzes des Netzwerkperimeters ist seit langem üblich und ebenso obligatorischer Bestandteil wie IPS. Bei Check Point ist das Threat Emulation Blade, das Teil der SandBlast-Technologien ist (es gibt auch Threat Extraction), für die Sandbox-Funktionalität verantwortlich. Wir haben bereits zuvor veröffentlicht auch für die Version Gaia 77.30 (Ich empfehle dringend, es anzusehen, wenn Sie nicht verstehen, wovon wir jetzt sprechen). Aus architektonischer Sicht hat sich seitdem nichts grundsätzlich geändert. Wenn Sie ein Check Point Gateway am Perimeter Ihres Netzwerks haben, können Sie zwei Optionen für die Integration in die Sandbox nutzen:
- Lokales SandBlast-Gerät — In Ihrem Netzwerk ist eine zusätzliche SandBlast-Appliance installiert, an die Dateien zur Analyse gesendet werden.
- SandBlast-Wolke — Dateien werden zur Analyse an die Check Point-Cloud gesendet.
Die Sandbox kann als letzte Verteidigungslinie am Netzwerkrand betrachtet werden. Die Verbindung erfolgt erst nach Analyse mit klassischen Mitteln – Antivirus, IPS. Und wenn solche herkömmlichen Signaturtools praktisch keine Analysen liefern, kann die Sandbox im Detail „erzählen“, warum die Datei blockiert wurde und was genau sie schädlich ist. Dieser forensische Bericht kann sowohl aus einer lokalen Sandbox als auch aus einer Cloud-Sandbox abgerufen werden.
Check Point Forensics-Bericht
Nehmen wir an, Sie sind als Informationssicherheitsspezialist zur Arbeit gekommen und haben ein Dashboard in SmartConsole geöffnet. Sie sehen sofort Vorfälle der letzten 24 Stunden und Ihre Aufmerksamkeit wird auf Bedrohungsemulationsereignisse gelenkt – die gefährlichsten Angriffe, die nicht durch Signaturanalyse blockiert wurden.
Sie können einen Drilldown zu diesen Ereignissen durchführen und alle Protokolle für das Threat Emulation Blade anzeigen.
Anschließend können Sie die Protokolle zusätzlich nach der Bedrohungskritikalitätsstufe (Schweregrad) sowie nach der Konfidenzstufe (Reaktionszuverlässigkeit) filtern:
Nachdem wir das Ereignis, an dem wir interessiert sind, erweitert haben, können wir uns mit den allgemeinen Informationen (Quelle, Ziel, Schweregrad, Absender usw.) vertraut machen:
Und dort können Sie den Abschnitt sehen Forensik mit vorhanden Zusammenfassung Bericht. Ein Klick darauf öffnet eine detaillierte Analyse der Schadsoftware in Form einer interaktiven HTML-Seite:
(Dies ist Teil der Seite. )
Aus demselben Bericht können wir die Original-Malware herunterladen (in einem passwortgeschützten Archiv) oder uns sofort an das Check Point-Reaktionsteam wenden.
Direkt darunter sehen Sie eine schöne Animation, die in Prozent ausgedrückt zeigt, welchen bereits bekannten Schadcode unsere Instanz gemeinsam hat (einschließlich des Codes selbst und der Makros). Diese Analysen werden mithilfe von maschinellem Lernen in der Check Point Threat Cloud bereitgestellt.
Dann können Sie genau sehen, welche Aktivitäten in der Sandbox uns zu dem Schluss führten, dass diese Datei bösartig ist. In diesem Fall sehen wir den Einsatz von Umgehungstechniken und einen Versuch, Ransomware herunterzuladen:
Es ist festzuhalten, dass in diesem Fall die Emulation auf zwei Systemen (Win 7, Win XP) und unterschiedlichen Softwareversionen (Office, Adobe) durchgeführt wurde. Nachfolgend finden Sie ein Video (Diashow) mit dem Vorgang zum Öffnen dieser Datei in der Sandbox:
Beispielvideo:
Ganz am Ende können wir im Detail sehen, wie sich der Angriff entwickelte. Entweder tabellarisch oder grafisch:
Dort können wir diese Informationen im RAW-Format und einer PCAP-Datei für eine detaillierte Analyse des generierten Datenverkehrs in Wireshark herunterladen:
Abschluss
Mithilfe dieser Informationen können Sie den Schutz Ihres Netzwerks deutlich verstärken. Blockieren Sie Virenverteilungs-Hosts, schließen Sie ausgenutzte Schwachstellen, blockieren Sie mögliches Feedback von C&C und vieles mehr. Diese Analyse sollte nicht vernachlässigt werden.
In den folgenden Artikeln werden wir uns ebenfalls mit den Berichten von SandBlast Agent, SnadBlast Mobile und CloudGiard SaaS befassen. Also bleibt gespannt (, , , )!
Source: habr.com