Tervetuloa uuteen artikkelisarjaan, joka tällä kertaa käsittelee tapausten tutkintaa, eli haittaohjelmien analysointia Check Point forensicsin avulla. Julkaisimme aiemmin Smart Eventissä työskentelemisestä, mutta tällä kertaa tarkastelemme rikosteknisiä raportteja tietyistä tapahtumista eri Check Point -tuotteissa:
Miksi rikostekninen tapaturmien ehkäisy on tärkeää? Vaikuttaa siltä, että olet saanut viruksen, se on jo hyvä, miksi käsitellä sitä? Kuten käytäntö osoittaa, on suositeltavaa paitsi estää hyökkäys, myös ymmärtää tarkalleen, miten se toimii: mikä oli sisääntulokohta, mitä haavoittuvuutta käytettiin, mitä prosesseja se koskee, vaikuttaako rekisteriin ja tiedostojärjestelmään, mikä perhe viruksista, mahdollisista vahingoista jne. Tämä ja muita hyödyllisiä tietoja voidaan saada Check Pointin kattavista rikosteknisten raporttien (sekä teksti- että graafisista) raporteista. Sellaisen raportin saaminen manuaalisesti on erittäin vaikeaa. Nämä tiedot voivat sitten auttaa ryhtymään asianmukaisiin toimiin ja estämään vastaavien hyökkäysten onnistumisen tulevaisuudessa. Tänään tarkastelemme Check Point SandBlast Network forensics -raporttia.
SandBlast verkko
Hiekkalaatikoiden käyttö verkon kehän suojauksen vahvistamiseen on ollut jo pitkään yleistä ja yhtä pakollinen osa kuin IPS. Check Pointissa SandBlast-teknologioihin kuuluva Threat Emulation blade (myös Threat Extraction) vastaa hiekkalaatikon toimivuudesta. Olemme julkaisseet jo aiemmin myös versiolle Gaia 77.30 (suosittelen katsomaan sen, jos et ymmärrä, mistä nyt puhumme). Arkkitehtonisesta näkökulmasta mikään ei ole olennaisesti muuttunut sen jälkeen. Jos verkkosi reunalla on Check Point Gateway, voit käyttää hiekkalaatikkoon integroimiseen kahta vaihtoehtoa:
- SandBlast Local Appliance — verkkoosi on asennettu SandBlast-lisälaite, johon tiedostot lähetetään analysoitavaksi.
- SandBlast pilvi — tiedostot lähetetään analysoitavaksi Check Point -pilveen.
Hiekkalaatikkoa voidaan pitää viimeisenä puolustuslinjana verkon kehällä. Se muodostaa yhteyden vasta analysoinnin jälkeen klassisilla keinoilla - virustorjunta, IPS. Ja jos tällaiset perinteiset allekirjoitustyökalut eivät tarjoa käytännössä mitään analytiikkaa, hiekkalaatikko voi "kertoa" yksityiskohtaisesti, miksi tiedosto estettiin ja mitä haitallista se tarkalleen tekee. Tämä rikostekninen raportti voidaan saada sekä paikallisesta hiekkalaatikosta että pilvihiekkalaatikosta.
Check Point Forensics -raportti
Oletetaan, että tietoturva-asiantuntijana tulit töihin ja avasit kojelaudan SmartConsolessa. Näet välittömästi viimeisten 24 tunnin tapahtumat ja huomiosi kiinnitetään uhkaemulointitapahtumiin - vaarallisimpiin hyökkäyksiin, joita allekirjoitusanalyysi ei estänyt.
Voit "porata" näihin tapahtumiin ja nähdä kaikki Threat Emulation -terän lokit.
Tämän jälkeen voit lisäksi suodattaa lokit uhan kriittisyystason (vakavuus) sekä luottamustason (vastauksen luotettavuus) mukaan:
Laajentuttuamme kiinnostavaa tapahtumaa, voimme tutustua yleisiin tietoihin (src, dst, vakavuus, lähettäjä jne.):
Ja sieltä näet osion Forensics käytettävissä olevien kanssa Yhteenveto raportti. Napsauttamalla sitä avautuu tarkka haittaohjelmaanalyysi interaktiivisen HTML-sivun muodossa:
(Tämä on osa sivua. )
Samasta raportista voimme ladata alkuperäisen haittaohjelman (salasanalla suojatussa arkistossa) tai ottaa välittömästi yhteyttä Check Pointin vastaustiimiin.
Juuri alla näet kauniin animaation, joka näyttää prosentteina, mikä jo tunnetulla haitallisella koodilla on yhteistä instanssillamme (mukaan lukien itse koodi ja makrot). Nämä analyysit toimitetaan koneoppimisen avulla Check Point Threat Cloudissa.
Sitten näet tarkalleen, mitkä hiekkalaatikon toiminnot antoivat meille mahdollisuuden päätellä, että tämä tiedosto on haitallinen. Tässä tapauksessa näemme ohitustekniikoiden käytön ja yrityksen ladata kiristysohjelmia:
Voidaan huomata, että tässä tapauksessa emulointi suoritettiin kahdessa järjestelmässä (Win 7, Win XP) ja eri ohjelmistoversioissa (Office, Adobe). Alla on video (diaesitys), jossa käsitellään tämän tiedoston avaamista hiekkalaatikossa:
Esimerkkivideo:
Aivan lopussa voimme nähdä yksityiskohtaisesti, kuinka hyökkäys kehittyi. Joko taulukkomuodossa tai graafisesti:
Sieltä voimme ladata nämä tiedot RAW-muodossa ja pcap-tiedoston Wiresharkissa luodun liikenteen yksityiskohtaista analytiikkaa varten:
Johtopäätös
Näiden tietojen avulla voit vahvistaa merkittävästi verkkosi suojausta. Estä virusten jakelupalvelimet, sulje hyväksikäytetyt haavoittuvuudet, estä mahdollinen palaute C&C:ltä ja paljon muuta. Tätä analyysiä ei pidä jättää huomiotta.
Seuraavissa artikkeleissa tarkastelemme samalla tavalla SandBlast Agentin, SnadBlast Mobilen sekä CloudGiard SaaS:n raportteja. Pysy siis kuulolla (, , , )!
Lähde: will.com