Tervetuloa uuteen artikkelisarjaan, joka tällä kertaa käsittelee tapausten tutkintaa, erityisesti haittaohjelmien analysointia Check Pointin forensiikan avulla. Olemme aiemmin julkaisseet työskentelystä Smart Eventissä, mutta tällä kertaa tarkastelemme rikosteknisiä raportteja tietyistä tapahtumista eri Check Point -tuotteissa:
Miksi estettyjen tapausten rikostekninen analyysi on tärkeää? Saattaa vaikuttaa siltä, että olet saanut viruksen, joten miksi vaivautua käsittelemään sitä? Kokemus osoittaa, että on tärkeää paitsi estää hyökkäys, myös ymmärtää, miten se toimii: mikä oli sisäänpääsykohta, mitä haavoittuvuutta hyödynnettiin, mitä prosesseja oli mukana, olivatko rekisteri- ja tiedostojärjestelmät vaurioituneet, mikä virusperhe se oli, mitä mahdollisia vahinkoja se aiheutti jne. Näitä ja muita hyödyllisiä tietoja voi saada kattavista Check Pointin rikosteknisistä raporteista (sekä teksti- että graafisista). Tällaisen raportin hankkiminen manuaalisesti on erittäin vaikeaa. Nämä tiedot voivat sitten auttaa sinua ryhtymään asianmukaisiin toimiin ja estämään vastaavien hyökkäysten onnistumisen tulevaisuudessa. Tänään tarkastelemme Check Point SandBlast Networkin rikosteknistä raporttia.
SandBlast verkko
Verkon perimetrin suojauksen vahvistaminen hiekkalaatikoiden avulla on pitkään ollut yleistä ja yhtä olennainen osa kuin IPS. Check Pointin hiekkalaatikon toiminnallisuudesta vastaa Threat Emulation -blade, joka on osa sen SandBlast-teknologioita (johon sisältyy myös Threat Extraction). Olemme aiemmin julkaisseet tämän artikkelin. Takaisin Gaian versioon 77.30 (suosittelen katsomaan sen, jos et ymmärrä mistä puhumme). Arkkitehtuurin näkökulmasta mikään ei ole olennaisesti muuttunut siitä lähtien. Jos verkkosi perimetreille on asennettu Check Point Gateway, sinulla on kaksi vaihtoehtoa hiekkalaatikkointegraatioon:
- Hiekkapuhalluslaite paikallinen — verkkoon on asennettu ylimääräinen SandBlast-laite, johon tiedostot lähetetään analysoitavaksi.
- Hiekkapuhalluspilvi — tiedostot lähetetään Check Point -pilvipalveluun analysoitavaksi.
Hiekkalaatikkoa voidaan pitää verkon viimeisenä puolustuslinjana. Se aktivoituu vasta perinteisten työkalujen, kuten virustorjuntaohjelmistojen ja IPS-järjestelmien, analysoinnin jälkeen. Vaikka perinteiset allekirjoituspohjaiset työkalut eivät tarjoa käytännössä lainkaan analyysia, hiekkalaatikko voi tarjota yksityiskohtaista tietoa siitä, miksi tiedosto estettiin ja mitä haitallista toimintaa se suorittaa. Tämä rikostekninen raportti voidaan saada sekä paikallisesta että pilvipohjaisesta hiekkalaatikosta.
Check Point Forensics -raportti
Oletetaan, että sinä tietoturva-asiantuntijana tulet töihin ja avaat SmartConsole-hallintapaneelin. Näet viimeisten 24 tunnin tapahtumat, ja huomiosi kiinnittyy uhkien emulointitapahtumiin – vaarallisimpiin hyökkäyksiin, joita allekirjoitusanalyysi ei estänyt.
Voit porautua näihin tapahtumiin ja tarkastella kaikkia Threat Emulation -terän lokeja.
Tämän jälkeen voit suodattaa lokeja edelleen uhkatason (Severity) sekä luottamustason (laukaisun luotettavuus) mukaan:
Laajentamalla meitä kiinnostavaa tapahtumaa voimme tarkastella yleisiä tietoja (lähde, tapahtumalähde, vakavuus, lähettäjä jne.):
Ja siellä voit myös huomata osion Forensics esteettömällä Yhteenveto raportti. Klikkaamalla sitä avautuu haittaohjelman yksityiskohtainen analyysi interaktiivisena HTML-sivuna:
(Tämä on osa sivusta. )
Samasta raportista voimme ladata alkuperäisen haittaohjelman (salasanalla suojatussa arkistossa) tai ottaa välittömästi yhteyttä Check Pointin vastetiimiin.
Alla näet kauniin animaation, joka näyttää, kuinka monta prosenttia tunnetuista haittaohjelmista otos vastaa (mukaan lukien itse koodi ja makrot). Tämä analyysi on tehty koneoppimisen avulla Check Point Threat Cloudissa.
Tämän jälkeen voit nähdä, mikä erityinen hiekkalaatikon toiminta johti siihen johtopäätökseen, että tiedosto on haitallinen. Tässä tapauksessa näemme väistötekniikoiden käytön ja kiristyshaittaohjelmien latausyrityksen:
Kuten näet, tässä tapauksessa emulointi suoritettiin kahdella järjestelmässä (Win 7, Win XP) ja eri ohjelmistoversioilla (Office, Adobe). Alla on video (diaesitys), joka näyttää tiedoston avaamisen hiekkalaatikossa:
Videoesimerkki:
Aivan lopussa voimme nähdä hyökkäyksen etenemisen yksityiskohtaisesti joko taulukko- tai graafisessa muodossa:
Voimme myös ladata nämä tiedot RAW-muodossa ja pcap-tiedostona Wiresharkissa luodun liikenteen yksityiskohtaista analysointia varten:
Johtopäätös
Näiden tietojen avulla voit merkittävästi vahvistaa verkkosi tietoturvaa. Voit estää virusten leviämispalvelimet, korjata hyödynnettyjä haavoittuvuuksia, estää mahdollisen takaisinkytkennän komento- ja komentokeskukseen ja paljon muuta. Tätä analytiikkaa ei pidä unohtaa.
Tulevissa artikkeleissa käsittelemme vastaavasti SandBlast Agentin, SnadBlast Mobilen ja CloudGiard SaaS -raportteja. Pysy siis kuulolla (, , , )!
Lähde: will.com
