Bienvenue dans une nouvelle série d'articles, cette fois sur le thème de l'enquête sur les incidents, à savoir l'analyse des logiciels malveillants à l'aide de l'analyse forensique de Check Point. Nous avons déjà publié sur le travail dans Smart Event, mais cette fois, nous examinerons les rapports médico-légaux sur des événements spécifiques dans différents produits Check Point :
Pourquoi la médecine légale de prévention des incidents est-elle importante ? Il semblerait que vous ayez attrapé le virus, c’est déjà bien, pourquoi s’en occuper ? Comme le montre la pratique, il est conseillé non seulement de bloquer une attaque, mais aussi de comprendre exactement comment elle fonctionne : quel était le point d'entrée, quelle vulnérabilité a été utilisée, quels processus sont impliqués, si le registre et le système de fichiers sont affectés, quelle famille de virus, quels dommages potentiels, etc. Ces données ainsi que d'autres données utiles peuvent être obtenues à partir des rapports médico-légaux complets de Check Point (à la fois textuels et graphiques). Il est très difficile d'obtenir un tel rapport manuellement. Ces données peuvent alors aider à prendre les mesures appropriées et à empêcher que des attaques similaires ne réussissent à l’avenir. Aujourd’hui, nous examinerons le rapport médico-légal de Check Point SandBlast Network.
Réseau SandBlast
L'utilisation de bacs à sable pour renforcer la protection du périmètre du réseau est devenue monnaie courante depuis longtemps et constitue un composant aussi obligatoire que l'IPS. Chez Check Point, la lame Threat Emulation, qui fait partie des technologies SandBlast (il existe également Threat Extraction), est responsable de la fonctionnalité sandbox. Nous avons déjà publié auparavant également pour la version Gaia 77.30 (je vous recommande fortement de la regarder si vous ne comprenez pas de quoi nous parlons maintenant). D’un point de vue architectural, rien n’a fondamentalement changé depuis. Si vous disposez d'une passerelle Check Point sur le périmètre de votre réseau, vous pouvez utiliser deux options d'intégration avec le bac à sable :
- Appareil local SandBlast — une appliance SandBlast supplémentaire est installée sur votre réseau, à laquelle les fichiers sont envoyés pour analyse.
- Nuage de souffle de sable — les fichiers sont envoyés pour analyse au cloud Check Point.
Le bac à sable peut être considéré comme la dernière ligne de défense au périmètre du réseau. Il ne se connecte qu'après analyse par les moyens classiques - antivirus, IPS. Et si ces outils de signature traditionnels ne fournissent pratiquement aucune analyse, alors le bac à sable peut « indiquer » en détail pourquoi le fichier a été bloqué et à quoi il sert exactement de manière malveillante. Ce rapport d'investigation peut être obtenu à partir d'un bac à sable local et cloud.
Rapport médico-légal de Check Point
Disons que vous, en tant que spécialiste de la sécurité de l'information, êtes venu travailler et avez ouvert un tableau de bord dans SmartConsole. Vous voyez immédiatement les incidents des dernières 24 heures et votre attention est attirée sur les événements d'émulation de menace - les attaques les plus dangereuses qui n'ont pas été bloquées par l'analyse des signatures.
Vous pouvez « explorer » ces événements et voir tous les journaux du panneau Threat Emulation.
Après cela, vous pouvez également filtrer les journaux par niveau de criticité des menaces (gravité), ainsi que par niveau de confiance (fiabilité de la réponse) :
Après avoir élargi l'événement qui nous intéresse, nous pouvons prendre connaissance des informations générales (src, dst, gravité, expéditeur, etc.) :
Et là, vous pouvez voir la section Forensics avec disponible Résumé rapport. En cliquant dessus, vous ouvrirez une analyse détaillée du malware sous la forme d'une page HTML interactive :
(Cela fait partie de la page. )
À partir du même rapport, nous pouvons télécharger le malware original (dans une archive protégée par mot de passe) ou contacter immédiatement l'équipe d'intervention de Check Point.
Juste en dessous, vous pouvez voir une belle animation qui montre en termes de pourcentage le code malveillant déjà connu que notre instance a en commun (y compris le code lui-même et les macros). Ces analyses sont fournies à l’aide de l’apprentissage automatique dans Check Point Threat Cloud.
Vous pourrez alors voir exactement quelles activités dans le bac à sable nous ont permis de conclure que ce fichier est malveillant. Dans ce cas, on constate l’utilisation de techniques de contournement et une tentative de téléchargement de ransomware :
On peut noter que dans ce cas, l'émulation a été réalisée dans deux systèmes (Win 7, Win XP) et différentes versions de logiciels (Office, Adobe). Ci-dessous, vous trouverez une vidéo (diaporama) avec le processus d'ouverture de ce fichier dans le bac à sable :
Exemple vidéo :
À la toute fin, nous pouvons voir en détail comment l’attaque s’est développée. Soit sous forme de tableau, soit sous forme graphique :
Là, nous pouvons télécharger ces informations au format RAW et un fichier pcap pour une analyse détaillée du trafic généré dans Wireshark :
Conclusion
Grâce à ces informations, vous pouvez renforcer considérablement la protection de votre réseau. Bloquez les hôtes de distribution de virus, fermez les vulnérabilités exploitées, bloquez les éventuels retours de C&C et bien plus encore. Cette analyse ne doit pas être négligée.
Dans les articles suivants, nous examinerons de la même manière les rapports de SandBlast Agent, SnadBlast Mobile ainsi que CloudGiard SaaS. Alors restez à l'écoute (, , , )!
Source: habr.com