Bonvenon al nova serio de artikoloj, ĉi-foje pri la temo de enketo de okazaĵaj, nome malware-analizo per Check Point-jurmedicino. Ni antaŭe publikigis
Kial gravas krimmedicina antaŭzorgo de incidentoj? Ŝajnus, ke vi kaptis la viruson, ĝi jam estas bona, kial trakti ĝin? Kiel praktiko montras, estas konsilinde ne nur bloki atakon, sed ankaŭ kompreni precize kiel ĝi funkcias: kio estis la enirpunkto, kia vundebleco estis uzata, kiaj procezoj estas implikitaj, ĉu la registro kaj dosiersistemo estas tuŝitaj, kia familio. de virusoj, kia ebla damaĝo, ktp. Ĉi tiu kaj aliaj utilaj datumoj povas esti akiritaj de la ampleksaj krimmedicinaj raportoj de Check Point (kaj tekstoj kaj grafikaj). Estas tre malfacile akiri tian raporton permane. Ĉi tiuj datumoj tiam povas helpi preni taŭgajn agojn kaj malhelpi similajn atakojn sukcesi en la estonteco. Hodiaŭ ni rigardos la raporton pri jura kuracisto de Check Point SandBlast Network.
SandBlast Reto
La uzo de sablokestoj por plifortigi la protekton de la reto-perimetro jam delonge fariĝis kutima kaj estas tiel deviga komponanto kiel IPS. Ĉe Check Point, la Threat Emulation-klingo, kiu estas parto de la SandBlast-teknologioj (ekzistas ankaŭ Threat Extraction), respondecas pri la sablokesto-funkcio. Ni jam publikigis antaŭe
- SandBlast Loka Aparato — plia SandBlast-aparato estas instalita en via reto, al kiu dosieroj estas sendataj por analizo.
- SandBlast Nubo — dosieroj estas senditaj por analizo al la Check Point-nubo.
La sablokesto povas esti konsiderita la lasta defendlinio ĉe la retoperimetro. Ĝi konektas nur post analizo per klasikaj rimedoj - antivirus, IPS. Kaj se tiaj tradiciaj subskribaj iloj ne provizas preskaŭ ajnan analizon, tiam la sablokesto povas "rakonti" detale kial la dosiero estis blokita kaj kion ĝuste malica ĝi faras. Ĉi tiu krimmedicina raporto povas esti akirita de kaj loka kaj nuba sablokesto.
Check Point Forensics Raporto
Ni diru, ke vi, kiel specialisto pri informa sekureco, eklaboris kaj malfermis panelon en SmartConsole. Tuj vi vidas incidentojn dum la lastaj 24 horoj kaj via atento estas altirita al eventoj de Threat Emulation - la plej danĝeraj atakoj, kiuj ne estis blokitaj per subskriba analizo.
Vi povas "bori malsupren" en ĉi tiujn eventojn kaj vidi ĉiujn protokolojn por la klingo de Emulado de Minaco.
Post ĉi tio, vi povas aldone filtri la protokolojn laŭ minaca kritikeca nivelo (Severeco), kaj ankaŭ laŭ Konfida Nivelo (fidindeco de respondo):
Plivastiginte la eventon, pri kiu ni interesiĝas, ni povas konatiĝi kun la ĝeneralaj informoj (src, dst, severeco, sendinto ktp.):
Kaj tie vi povas vidi la sekcion Krimmedicino kun disponeblaj resumo raporto. Alklakante ĝin malfermos detalan analizon de la malware en formo de interaga HTML-paĝo:
(Ĉi tio estas parto de la paĝo.
De la sama raporto, ni povas elŝuti la originalan malware (en pasvorte protektita arkivo), aŭ tuj kontakti la Check Point respondteamon.
Ĝuste malsupre vi povas vidi belan animacion kiu montras en procentaj terminoj, kiun jam konata malica kodo havas komune nia kazo (inkluzive de la kodo mem kaj makrooj). Ĉi tiuj analizoj estas liveritaj uzante maŝinlernadon en la Check Point Threat Cloud.
Tiam vi povas vidi ĝuste kiaj agadoj en la sablokesto permesis al ni konkludi, ke ĉi tiu dosiero estas malica. En ĉi tiu kazo, ni vidas la uzon de pretervojaj teknikoj kaj provo elŝuti ransomware:
Oni povas rimarki, ke en ĉi tiu kazo, emulado estis farita en du sistemoj (Win 7, Win XP) kaj malsamaj programaj versioj (Office, Adobe). Malsupre estas video (bildprezento) kun la procezo malfermi ĉi tiun dosieron en la sablokesto:
Ekzempla video:
Ĉe la fino ni povas vidi detale kiel la atako disvolviĝis. Aŭ en tabelformo aŭ grafike:
Tie ni povas elŝuti ĉi tiujn informojn en RAW-formato kaj pcap-dosieron por detala analizo de la generita trafiko en Wireshark:
konkludo
Uzante ĉi tiujn informojn, vi povas signife plifortigi la protekton de via reto. Bloku virusajn distribuajn gastigantojn, fermu ekspluatitajn vundeblecojn, bloku eblajn retrosciojn de C&C kaj multe pli. Ĉi tiu analizo ne estu neglektita.
En la sekvaj artikoloj, ni simile rigardos la raportojn de SandBlast Agent, SnadBlast Mobile, kaj ankaŭ CloudGiard SaaS. Do restu agordita (
fonto: www.habr.com