Fáilte chuig sraith nua alt, an uair seo ar an ábhar imscrúdaithe teagmhais, eadhon anailís malware ag baint úsáide as fóiréinsic Check Point. D’fhoilsíomar roimhe seo ar oibriú in Imeacht Chliste, ach an uair seo féachfaimid ar thuarascálacha fóiréinsice ar imeachtaí sonracha i dtáirgí éagsúla seicphointí:
Cén fáth a bhfuil fóiréinsic um chosc teagmhais tábhachtach? Is cosúil go bhfuil an víreas gafa agat, tá sé go maith cheana féin, cén fáth déileáil leis? De réir mar a léiríonn cleachtas, tá sé inmholta ní hamháin bac a chur ar ionsaí, ach freisin tuiscint a fháil go díreach ar an gcaoi a n-oibríonn sé: cad é an pointe iontrála, cén leochaileacht a úsáideadh, cad iad na próisis atá i gceist, cibé an bhfuil tionchar ar an gclárlann agus ar an gcóras comhaid, cén teaghlach. víris, cén damáiste féideartha, etc. Is féidir é seo agus sonraí úsáideacha eile a fháil ó thuarascálacha cuimsitheacha fóiréinsice Check Point (téacs agus grafach). Tá sé an-deacair a leithéid de thuairisc a fháil de láimh. Is féidir leis na sonraí seo cabhrú ansin le gníomh cuí a dhéanamh agus cosc a chur ar ionsaithe den chineál céanna sa todhchaí. Inniu féachfaimid ar thuarascáil fhóiréinsice Líonra Sheiceála SandBlast.
Líonra SandBlast
Is coitianta le fada an lá úsáid a bhaint as boscaí gainimh chun cosaint imlíne an líonra a neartú agus tá sé chomh éigeantach le IPS. Ag Check Point, tá an lann Aithrise Bagairt, atá mar chuid de theicneolaíochtaí SandBlast (tá Eastóscadh Bagairt ann freisin), freagrach as feidhmiúlacht an bhosca gainimh. Tá foilsithe againn cheana féin freisin le haghaidh leagan Gaia 77.30 (Molaim go mór féachaint air mura dtuigeann tú cad atá á labhairt againn anois). Ó thaobh na hailtireachta de, níl aon athrú bunúsach ar bith ó shin. Má tá Geata Pointe Seiceála agat ar imlíne do líonra, is féidir leat dhá rogha a úsáid chun comhtháthú leis an mbosca gainimh:
- Fearas Áitiúil SandBlast — tá fearas SandBlast breise suiteáilte ar do líonra, a seoltar comhaid chuige le haghaidh anailíse.
- Scamaill SandBlast — seoltar comhaid chuig an scamall Check Point le haghaidh anailíse.
Is féidir an bosca gainimh a mheas mar an líne chosanta deiridh ag imlíne an ghréasáin. Nascann sé ach amháin tar éis anailís trí mhodhanna clasaiceach - antivirus, IPS. Agus mura gcuireann uirlisí sínithe traidisiúnta den sórt sin anailísíocht ar bith ar fáil go praiticiúil, is féidir leis an mbosca gainimh “a insint” go mion cén fáth ar cuireadh bac ar an gcomhad agus cad é go díreach mailíseach a dhéanann sé. Is féidir an tuairisc fhóiréinsice seo a fháil ó bhosca gainimh áitiúil agus scamall araon.
Tuarascáil Fhóiréinsice Pointe Seiceála
Ligean le rá gur tháinig tú, mar speisialtóir slándála faisnéise, chun oibre agus d'oscail tú painéal i SmartConsole. Láithreach feiceann tú teagmhais le 24 uair an chloig anuas agus dírítear d’aird ar imeachtaí Threat Emulation - na hionsaithe is contúirtí nár chuir anailís sínithe bac orthu.
Is féidir leat “druileáil síos” isteach sna himeachtaí seo agus na logaí go léir don lann Aithrise Bagairt a fheiceáil.
Ina dhiaidh seo, is féidir leat na logaí a scagadh freisin de réir leibhéal critice bagairte (Déine), agus de réir Leibhéal Muiníne (iontaofacht freagartha):
Tar éis dúinn an ócáid a bhfuil suim againn a leathnú, is féidir linn eolas a fháil ar an eolas ginearálta (src, dst, déine, seoltóir, etc.):
Agus ansin is féidir leat a fheiceáil ar an alt Fóiréinseach le fáil Achoimre tuairisc. Má chliceálann tú air, osclófar anailís mhionsonraithe ar an malware i bhfoirm leathanach HTML idirghníomhach:
(Is cuid den leathanach é seo. )
Ón tuarascáil chéanna, is féidir linn an malware bunaidh a íoslódáil (i gcartlann atá cosanta ag pasfhocal), nó teagmháil a dhéanamh láithreach leis an bhfoireann freagartha Pointe Seiceála.
Díreach thíos is féidir leat beochan álainn a fheiceáil a thaispeánann i dtéarmaí céatadáin an cód mailíseach atá ar eolas againn cheana féin i gcoiteann (lena n-áirítear an cód féin agus macraí). Déantar an anailísíocht seo a sheachadadh trí úsáid a bhaint as meaisínfhoghlaim sa Scamall Bagairt Seiceála.
Ansin is féidir leat a fheiceáil go díreach cad iad na gníomhaíochtaí sa bhosca gainimh a thug deis dúinn a chinneadh go bhfuil an comhad seo mailíseach. Sa chás seo, feicimid úsáid teicnící seachbhóthar agus iarracht ransomware a íoslódáil:
Is féidir a thabhairt faoi deara gur sa chás seo, rinneadh aithrise i dhá chóras (Win 7, Win XP) agus leaganacha éagsúla bogearraí (Oifig, Adobe). Anseo thíos tá físeán (seó sleamhnán) leis an bpróiseas chun an comhad seo a oscailt sa bhosca gainimh:
Físeán samplach:
Ag an deireadh is féidir linn a fheiceáil go mion conas a d'fhorbair an ionsaí. I bhfoirm tábla nó go grafach:
Is féidir linn an fhaisnéis seo a íoslódáil ansin i bhformáid RAW agus i gcomhad pcap le haghaidh anailís mhionsonraithe ar an trácht ginte in Wireshark:
Conclúid
Agus an fhaisnéis seo á úsáid agat, is féidir leat cosaint do líonra a neartú go suntasach. Cuir bac ar óstaigh dáileacháin víreas, dún leochaileachtaí a shaothraítear, bac ar aiseolas féideartha ó C&C agus go leor eile. Níor cheart faillí a dhéanamh ar an anailís seo.
Sna hailt seo a leanas, féachfaimid mar an gcéanna ar thuarascálacha Gníomhaire SandBlast, SnadBlast Mobile, chomh maith le CloudGiard SaaS. Mar sin coinnigh ort (, , , )!
Foinse: will.com