Fàilte gu sreath ùr de artaigilean, an turas seo air cuspair sgrùdadh tachartais, is e sin mion-sgrùdadh malware a’ cleachdadh forensics Check Point. Dh'fhoillsich sinn roimhe air a bhith ag obair ann an Tachartas Smart, ach an turas seo seallaidh sinn ri aithisgean forensics air tachartasan sònraichte ann an diofar thoraidhean Check Point:
Carson a tha forensics casg thachartasan cudromach? Bhiodh e coltach gu bheil thu air a’ bhìoras a ghlacadh, tha e math mu thràth, carson a dhèiligeas tu ris? Mar a tha cleachdadh a ’sealltainn, tha e ciallach chan e a-mhàin casg a chuir air ionnsaigh, ach cuideachd tuigsinn dìreach mar a tha e ag obair: dè an t-àite inntrigidh, dè an so-leòntachd a chaidh a chleachdadh, dè na pròiseasan a tha an sàs, a bheil buaidh air a’ chlàr agus an siostam faidhle, dè an teaghlach bhìorasan, dè am milleadh a dh’ fhaodadh a bhith ann, msaa. Gheibhear seo agus dàta feumail eile bho na h-aithisgean forensics coileanta aig Check Point (an dà chuid teacsa agus grafaigeach). Tha e gu math duilich a leithid de aithisg fhaighinn le làimh. Faodaidh an dàta seo an uairsin cuideachadh le ceumannan iomchaidh a ghabhail agus casg a chuir air ionnsaighean coltach ris san àm ri teachd. An-diugh bheir sinn sùil air aithisg forensics Lìonra Check Point SandBlast.
Lìonra SandBlast
Tha cleachdadh bhogsaichean gainmhich gus dìon an iomall lìonra a neartachadh air a bhith cumanta o chionn fhada agus tha e na phàirt cho riatanach ri IPS. Aig Check Point, tha an lann Threat Emulation, a tha na phàirt de theicneòlasan SandBlast (tha Threat Extraction ann cuideachd), an urra ri gnìomhachd bogsa gainmhich. Tha sinn mar-thà air fhoillseachadh roimhe cuideachd airson dreach Gaia 77.30 (tha mi a’ moladh gu mòr coimhead air mura h-eil thu a’ tuigsinn na tha sinn a’ bruidhinn an-dràsta). Bho thaobh ailtireachd, chan eil dad air atharrachadh gu bunaiteach bhon uairsin. Ma tha Geata Puing Sgrùdaidh agad air iomall an lìonra agad, faodaidh tu dà roghainn a chleachdadh airson amalachadh leis a’ bhogsa gainmhich:
- Inneal ionadail SandBlast - tha inneal SandBlast a bharrachd air a chuir a-steach air an lìonra agad, far an tèid faidhlichean a chuir airson mion-sgrùdadh.
- Sgòthan geala SandBlast - thèid faidhlichean a chuir gu sgòth Check Point airson mion-sgrùdadh.
Faodar beachdachadh air a’ bhogsa gainmhich mar an loidhne dìon mu dheireadh aig iomall an lìonraidh. Tha e a 'ceangal a-mhàin an dèidh mion-sgrùdadh le dòighean clasaigeach - antivirus, IPS. Agus mura toir na h-innealan ainm-sgrìobhte traidiseanta sin seachad cha mhòr mion-sgrùdadh sam bith, faodaidh am bogsa gainmhich “innse” gu mionaideach carson a chaidh am faidhle a bhacadh agus dè dìreach droch-rùnach a bhios e a’ dèanamh. Gheibhear an aithisg forensics seo bho gach cuid bogsa gainmhich ionadail agus sgòthan.
Thoir sùil air Aithisg Point Forensics
Canaidh sinn gun tàinig thu, mar eòlaiche tèarainteachd fiosrachaidh, a dh’ obair agus dh’ fhosgail thu deas-bhòrd ann an SmartConsole. Sa bhad chì thu tachartasan airson na 24 uairean a dh’ fhalbh agus tha d ’aire air a tharraing gu tachartasan Threat Emulation - na h-ionnsaighean as cunnartaiche nach deach bacadh le mion-sgrùdadh ainm-sgrìobhte.
Faodaidh tu “drileadh sìos” a-steach do na tachartasan sin agus na logaichean gu lèir fhaicinn airson an lann Emulation Threat.
Às deidh seo, faodaidh tu cuideachd na logaichean a shìoladh a rèir ìre èiginneach bagairt (Dìth), a bharrachd air a rèir Ìre Misneachd (earbsachd freagairt):
Às deidh dhuinn an tachartas anns a bheil ùidh againn a leudachadh, gheibh sinn eòlas air an fhiosrachadh coitcheann (src, dst, doimhneachd, neach-cuiridh, msaa):
Agus an sin chì thu an earrann Foireansach le ri fhaighinn Geàrr-chunntas aithris. Ma bhriogas tu air fosglaidh e mion-sgrùdadh mionaideach air an malware ann an cruth duilleag HTML eadar-ghnìomhach:
(Seo pàirt den duilleag. )
Bhon aon aithisg, is urrainn dhuinn an malware tùsail a luchdachadh sìos (ann an tasglann fo dhìon facal-faire), no fios a chuir sa bhad gu sgioba freagairt Check Point.
Dìreach gu h-ìosal chì thu beòthalachd breagha a tha a’ sealltainn ann an teirmean sa cheud dè an còd droch-rùnach a tha aithnichte mar-thà a tha aig an eisimpleir againn (a’ toirt a-steach an còd fhèin agus macros). Tha na mion-sgrùdaidhean sin air an lìbhrigeadh a’ cleachdadh ionnsachadh innealan anns an Check Point Threat Cloud.
An uairsin chì thu gu dìreach dè na gnìomhan sa bhogsa gainmhich a leig leinn co-dhùnadh gu bheil am faidhle seo droch-rùnach. Anns a ’chùis seo, chì sinn cleachdadh dhòighean seach-rathad agus oidhirp air ransomware a luchdachadh sìos:
Faodar a thoirt fa-near, anns a 'chùis seo, gun deach aithris a dhèanamh ann an dà shiostam (Win 7, Win XP) agus dreachan bathar-bog eadar-dhealaichte (Office, Adobe). Gu h-ìosal tha bhidio (taisbeanadh sleamhnag) leis a 'phròiseas airson am faidhle seo fhosgladh sa bhogsa gainmhich:
Eisimpleir bhidio:
Aig a’ cheann thall chì sinn gu mionaideach mar a leasaich an ionnsaigh. An dàrna cuid ann an cruth clàir no gu grafaigeach:
An sin is urrainn dhuinn am fiosrachadh seo a luchdachadh sìos ann an cruth RAW agus faidhle pcap airson mion-sgrùdadh mionaideach air an trafaic a chaidh a chruthachadh ann an Wireshark:
co-dhùnadh
A 'cleachdadh an fhiosrachaidh seo, faodaidh tu dìon an lìonra agad a neartachadh gu mòr. Cuir casg air luchd-aoigheachd cuairteachaidh bhìoras, dùin so-leòntachd air a chleachdadh, cuir casg air fios air ais a dh’ fhaodadh a bhith ann bho C&C agus mòran a bharrachd. Cha bu chòir dearmad a dhèanamh air an anailis seo.
Anns na h-artaigilean a leanas, bheir sinn sùil cuideachd air aithisgean SandBlast Agent, SnadBlast Mobile, a bharrachd air CloudGiard SaaS. Mar sin cùm sùil ort (, , , )!
Source: www.habr.com