Ongi etorri artikulu sorta berri batera, oraingoan gertakarien ikerketaren gaiari buruzkoa, hots, Check Point forensics erabiliz malwarearen analisia. Aurretik argitaratu genuen Smart Event-en lan egiteari buruz, baina oraingoan Check Point produktu desberdinetako gertaera zehatzei buruzko auzitegi-txostenak aztertuko ditugu:
Zergatik da garrantzitsua gertakariak prebenitzeko auzitegiak? Badirudi birusa harrapatu duzula, dagoeneko ona da, zergatik aurre egin? Praktikak erakusten duenez, komenigarria da eraso bat blokeatzeaz gain, nola funtzionatzen duen zehatz-mehatz ulertzea ere: zein zen sarrera-puntua, zer ahultasun erabili zen, zer prozesu parte hartzen duten, erregistroan eta fitxategi-sisteman eragina duten ala ez, zer familian. birusak, zer kalte potentziala, etab. Hori eta beste datu erabilgarriak Check Point-en auzitegi-txosten integraletatik (testuak zein grafikoak) lor daitezke. Oso zaila da txosten hori eskuz eskuratzea. Datu hauek neurri egokiak hartzen lagun dezakete eta etorkizunean antzeko erasoek arrakasta izan ez dezaten. Gaur Check Point SandBlast Network forentse txostena aztertuko dugu.
SandBlast sarea
Sareko perimetroaren babesa indartzeko harea-kutxak erabiltzea ohiko bihurtu da aspalditik eta IPS bezain derrigorrezko osagaia da. Check Point-en, SandBlast teknologien parte den Threat Emulation blade (Treat Extraction ere badago) sandbox funtzionalitatearen arduraduna da. Lehenago ere argitaratu dugu Gaia 77.30 bertsiorako ere (oso gomendatzen dizut orain zertaz ari garen ulertzen ez baduzu ikustea). Arkitekturaren ikuspuntutik, ordutik hona ez da ezer aldatu funtsean. Check Point Gateway bat baduzu zure sarearen perimetroan, orduan bi aukera erabil ditzakezu sandbox-arekin integratzeko:
- SandBlast tokiko tresna — Zure sarean SandBlast tresna gehigarri bat instalatuta dago, eta hara fitxategiak bidaltzen dira azter ditzaten.
- SandBlast Hodeia — fitxategiak Check Point hodeira bidaltzen dira aztertzeko.
Sandbox sarearen perimetroko azken defentsa-lerrotzat har daiteke. Bide klasikoen bidez aztertu ondoren bakarrik konektatzen da - birusen aurkakoa, IPS. Eta sinadura-tresn tradizionalek ia analisirik ematen ez badute, orduan sandbox-ak zehatz-mehatz "esaten" dezake zergatik blokeatu den fitxategia eta zer egiten duen zehazki. Txosten forentse hau tokiko eta hodeiko sandbox batetik lor daiteke.
Check Point Forensics Txostena
Demagun, informazioaren segurtasuneko espezialista gisa, lanera etorri eta panel bat ireki duzula SmartConsolen. Berehala azken 24 orduetako gertakariak ikusten dituzu eta zure arreta Mehatxuen emulazioko gertaerek erakartzen dute: sinaduraren azterketak blokeatu ez zituen eraso arriskutsuenak.
Gertaera hauetan "zulatu" dezakezu eta Mehatxuen Emulazio labearen erregistro guztiak ikus ditzakezu.
Horren ondoren, erregistroak ere iragazi ditzakezu mehatxuen kritikotasun mailaren arabera (larritasuna), baita konfiantza mailaren arabera (erantzunaren fidagarritasuna):
Interesatzen zaigun ekitaldia zabalduta, informazio orokorra ezagut dezakegu (src, dst, severity, igorlea, etab.):
Eta hor ikus dezakezue atala Kernet eskuragarriarekin Laburpena txostena. Bertan klik eginez gero, malwarearen analisi zehatza irekiko da HTML orri interaktibo baten moduan:
(Orriaren zati bat da hau. )
Txosten beretik, jatorrizko malwarea deskargatu dezakegu (pasahitz bidez babestutako artxibo batean), edo berehala jarri harremanetan Check Pointeko erantzun-taldearekin.
Behean, animazio eder bat ikus dezakezu, gure instantziak komunean duen jada ezagutzen den kode maltzurren ehunekotan erakusten duena (kodea bera eta makroak barne). Analitika hauek Check Point Threat Cloud-en ikasketa automatikoa erabiliz ematen dira.
Ondoren, hare-kutxako zer jarduerak fitxategi hau gaiztoa dela ondorioztatzea ahalbidetu diguten ikus dezakezu. Kasu honetan, saihesbide tekniken erabilera eta ransomwarea deskargatzeko saiakera ikusten dugu:
Kontuan izan daiteke, kasu honetan, emulazioa bi sistematan (Win 7, Win XP) eta software bertsio ezberdinetan (Office, Adobe) egin zela. Jarraian bideo bat dago (diapositiba aurkezpena) fitxategi hau sandboxean irekitzeko prozesuarekin:
Adibidea bideoa:
Bukaeran zehatz-mehatz ikus dezakegu nola garatu zen erasoa. Taula moduan edo grafikoki:
Bertan informazio hau RAW formatuan eta pcap fitxategi bat deskargatu ditzakegu Wireshark-en sortutako trafikoaren analisi zehatzak egiteko:
Ondorioa
Informazio hori erabiliz, zure sarearen babesa nabarmen indartu dezakezu. Blokeatu birusen banaketa ostalariak, itxi ustiatutako ahuleziak, blokeatu C&C-ren feedback posibleak eta askoz gehiago. Azterketa hori ez da alde batera utzi behar.
Hurrengo artikuluetan, SandBlast Agent, SnadBlast Mobile eta CloudGiard SaaS-en txostenak ere ikusiko ditugu. Beraz, egon adi (, , , )!
Iturria: www.habr.com
