Bienvenue dans cette nouvelle série d'articles, consacrée cette fois à l'investigation des incidents, et plus particuliÚrement à l'analyse des logiciels malveillants à l'aide de Check Point Forensics. Nous avons précédemment publié Nous allons continuer à travailler sur Smart Event, mais cette fois-ci nous examinerons les rapports d'analyse forensique d'événements spécifiques dans différents produits Check Point :
Pourquoi l'analyse forensique des incidents Ă©vitĂ©s est-elle importante ? On pourrait croire qu'une infection virale suffit, alors pourquoi s'en prĂ©occuper ? L'expĂ©rience montre qu'il est crucial non seulement de bloquer une attaque, mais aussi d'en comprendre le fonctionnement : point d'entrĂ©e, vulnĂ©rabilitĂ© exploitĂ©e, processus impliquĂ©s, atteinte du registre et du systĂšme de fichiers, famille de virus, dommages potentiels, etc. Ces donnĂ©es, parmi d'autres, sont disponibles dans les rapports forensiques complets de Check Point (textuels et graphiques). Obtenir un tel rapport manuellement est trĂšs complexe. Ces informations permettent ensuite de prendre les mesures appropriĂ©es et d'empĂȘcher que des attaques similaires ne rĂ©ussissent Ă l'avenir. Aujourd'hui, nous allons examiner le rapport forensique de Check Point SandBlast Network.
RĂ©seau SandBlast
L'utilisation d'environnements de test isolés (sandboxes) pour renforcer la sécurité du périmÚtre réseau est une pratique courante depuis longtemps et un élément aussi essentiel que les systÚmes de prévention d'intrusion (IPS). Chez Check Point, la fonctionnalité sandbox est gérée par le module Threat Emulation, qui fait partie de sa suite technologique SandBlast (incluant également Threat Extraction). Cet article a déjà été publié. Dans la version 77.30 de Gaia (je vous recommande vivement de la visionner si vous ne comprenez pas de quoi nous parlons), rien n'a fondamentalement changé d'un point de vue architectural. Si Check Point Gateway est installé sur le périmÚtre de votre réseau, deux options d'intégration en environnement sandbox s'offrent à vous :
- Appareil local SandBlast â Un dispositif SandBlast supplĂ©mentaire est installĂ© sur votre rĂ©seau, auquel les fichiers sont envoyĂ©s pour analyse.
- Nuage de sable â Les fichiers sont envoyĂ©s au cloud Check Point pour analyse.
Un environnement sandbox peut ĂȘtre considĂ©rĂ© comme le dernier rempart du rĂ©seau. Il n'est activĂ© qu'aprĂšs analyse par des outils traditionnels, tels que les antivirus et les systĂšmes de prĂ©vention d'intrusion (IPS). Alors que les outils classiques basĂ©s sur les signatures ne fournissent quasiment aucune analyse, un environnement sandbox peut fournir des informations dĂ©taillĂ©es sur les raisons du blocage d'un fichier et sur l'activitĂ© malveillante qu'il manifeste. Ce rapport d'analyse peut ĂȘtre obtenu Ă partir d'un environnement sandbox local ou hĂ©bergĂ© dans le cloud.
Rapport d'analyse forensique de Check Point
Imaginez que vous, spécialiste en sécurité de l'information, arriviez au travail et ouvriez le tableau de bord SmartConsole. Vous y voyez les incidents des derniÚres 24 heures et votre attention est attirée par les événements d'émulation de menaces : les attaques les plus dangereuses qui n'ont pas été bloquées par l'analyse de signature.
Vous pouvez examiner ces événements en détail et consulter tous les journaux du module d'émulation des menaces.
Ensuite, vous pouvez filtrer les journaux en fonction du niveau de gravité de la menace (Gravité), ainsi que du niveau de confiance (fiabilité du déclenchement) :
En développant l'événement qui nous intéresse, nous pouvons consulter les informations générales (source, destination, gravité, expéditeur, etc.) :
Et vous pouvez également y remarquer une section Médecine avec disponible Résumé rapport. Cliquer dessus ouvrira une analyse détaillée du logiciel malveillant sous forme de page HTML interactive :
(Ceci fait partie de la page.) )
Ă partir de ce mĂȘme rapport, nous pouvons tĂ©lĂ©charger le logiciel malveillant original (dans une archive protĂ©gĂ©e par mot de passe) ou contacter immĂ©diatement l'Ă©quipe d'intervention de Check Point.
Vous trouverez ci-dessous une animation illustrant le pourcentage de logiciels malveillants connus auxquels notre échantillon correspond (y compris le code source et les macros). Cette analyse est réalisée grùce à l'apprentissage automatique de Check Point Threat Cloud.
Vous pouvez ensuite voir quelle activité spécifique du sandbox a permis de conclure que ce fichier est malveillant. Dans ce cas précis, nous constatons l'utilisation de techniques d'évasion et une tentative de téléchargement d'un ransomware.
Vous pouvez constater que, dans ce cas précis, l'émulation a été réalisée sur deux systÚmes (Windows 7 et Windows XP) et avec différentes versions logicielles (Office et Adobe). Vous trouverez ci-dessous une vidéo (diaporama) illustrant le processus d'ouverture de ce fichier dans l'environnement isolé :
Exemple de vidéo :
à la toute fin, nous pouvons voir la progression de l'attaque en détail, sous forme de tableau ou de graphique :
Nous pouvons également télécharger ces informations au format RAW et dans un fichier pcap pour une analyse détaillée du trafic généré dans Wireshark :
Conclusion
GrĂące Ă ces informations, vous pouvez renforcer considĂ©rablement la sĂ©curitĂ© de votre rĂ©seau. Vous pouvez bloquer les serveurs de distribution de virus, corriger les vulnĂ©rabilitĂ©s exploitĂ©es, empĂȘcher les communications avec le serveur de commande et de contrĂŽle, et bien plus encore. Ces analyses ne doivent pas ĂȘtre nĂ©gligĂ©es.
Dans de prochains articles, nous aborderons Ă©galement SandBlast Agent, SandBlast Mobile et les rapports CloudGiard SaaS. Restez Ă l'Ă©coute !, , , )!
Source: habr.com
