Bienvenido a una nueva serie de artículos, esta vez sobre el tema de la investigación de incidentes, es decir, el análisis de malware mediante la ciencia forense de Check Point. Anteriormente publicamos en trabajar en Smart Event, pero esta vez veremos informes forenses sobre eventos específicos en diferentes productos de Check Point:
¿Por qué es importante la prevención de incidentes forenses? Parecería que has contraído el virus, ya está bien, ¿por qué lidiar con él? Como muestra la práctica, es aconsejable no sólo bloquear un ataque, sino también comprender exactamente cómo funciona: cuál fue el punto de entrada, qué vulnerabilidad se utilizó, qué procesos están involucrados, si el registro y el sistema de archivos se ven afectados, qué familia de virus, qué daños potenciales, etc. Estos y otros datos útiles se pueden obtener de los completos informes forenses de Check Point (tanto de texto como gráficos). Es muy difícil obtener un informe de este tipo manualmente. Estos datos pueden ayudar a tomar las medidas adecuadas y evitar que ataques similares tengan éxito en el futuro. Hoy veremos el informe forense de Check Point SandBlast Network.
Red SandBlast
El uso de sandboxes para fortalecer la protección del perímetro de la red se ha vuelto común desde hace mucho tiempo y es un componente tan obligatorio como IPS. En Check Point, la hoja Threat Emulation, que forma parte de las tecnologías SandBlast (también existe Threat Extraction), es responsable de la funcionalidad sandbox. Ya hemos publicado antes. también para la versión Gaia 77.30 (te recomiendo mucho verlo si no entiendes de qué estamos hablando ahora). Desde el punto de vista arquitectónico, nada ha cambiado fundamentalmente desde entonces. Si tiene un Check Point Gateway en el perímetro de su red, puede usar dos opciones para la integración con el sandbox:
- Dispositivo local SandBlast — se instala un dispositivo SandBlast adicional en su red, al que se envían los archivos para su análisis.
- Nube de explosión de arena — los archivos se envían para su análisis a la nube de Check Point.
El sandbox puede considerarse la última línea de defensa en el perímetro de la red. Se conecta solo después del análisis por medios clásicos: antivirus, IPS. Y si estas herramientas de firma tradicionales no proporcionan prácticamente ningún análisis, entonces el sandbox puede "decir" en detalle por qué se bloqueó el archivo y qué es exactamente lo malicioso que hace. Este informe forense se puede obtener tanto desde un entorno limitado local como desde un entorno de pruebas en la nube.
Informe forense de Check Point
Digamos que usted, como especialista en seguridad de la información, vino a trabajar y abrió un panel en SmartConsole. Inmediatamente verá incidentes de las últimas 24 horas y llamará su atención los eventos de Threat Emulation, los ataques más peligrosos que no fueron bloqueados mediante el análisis de firmas.
Puede "profundizar" en estos eventos y ver todos los registros de la hoja Threat Emulation.
Después de esto, puede filtrar adicionalmente los registros por nivel de criticidad de la amenaza (gravedad), así como por nivel de confianza (confiabilidad de la respuesta):
Ampliando el evento que nos interesa, podemos familiarizarnos con la información general (src, dst, gravedad, remitente, etc.):
Y ahí puedes ver la sección. Forenses con disponible Resumen informe. Al hacer clic en él, se abrirá un análisis detallado del malware en forma de página HTML interactiva:
(Esto es parte de la página. )
Desde el mismo informe podemos descargar el malware original (en un archivo protegido con contraseña) o contactar inmediatamente con el equipo de respuesta de Check Point.
Justo debajo puedes ver una hermosa animación que muestra en términos porcentuales qué código malicioso ya conocido tiene en común nuestra instancia (incluido el código en sí y las macros). Estos análisis se entregan mediante aprendizaje automático en Check Point Threat Cloud.
Luego podrá ver exactamente qué actividades en el entorno de pruebas nos permitieron concluir que este archivo es malicioso. En este caso, vemos el uso de técnicas de bypass y un intento de descargar ransomware:
Cabe señalar que en este caso la emulación se realizó en dos sistemas (Win 7, Win XP) y diferentes versiones de software (Office, Adobe). A continuación hay un vídeo (presentación de diapositivas) con el proceso de apertura de este archivo en el sandbox:
Ejemplo de vídeo:
Al final podemos ver en detalle cómo se desarrolló el ataque. Ya sea en forma tabular o gráficamente:
Allí podremos descargar esta información en formato RAW y un archivo pcap para un análisis detallado del tráfico generado en Wireshark:
Conclusión
Con esta información, puede fortalecer significativamente la protección de su red. Bloquee hosts de distribución de virus, cierre vulnerabilidades explotadas, bloquee posibles comentarios de C&C y mucho más. Este análisis no debe descuidarse.
En los siguientes artículos, veremos de manera similar los informes de SandBlast Agent, SnadBlast Mobile y CloudGiard SaaS. Así que estad atentos (, , , )!
Fuente: habr.com