Dobrodošli u novu seriju članaka, ovaj put na temu istrage incidenata, odnosno analize zlonamjernog softvera pomoću forenzike Check Pointa. Prethodno smo objavili
Zašto je forenzika prevencije incidenata važna? Čini se da ste uhvatili virus, već je dobro, zašto se baviti time? Kao što pokazuje praksa, preporučljivo je ne samo blokirati napad, već i razumjeti kako točno funkcionira: koja je bila ulazna točka, koja je ranjivost korištena, koji su procesi uključeni, jesu li zahvaćeni registar i sustav datoteka, koja je obitelj virusa, kakva potencijalna šteta itd. . Ovi i drugi korisni podaci mogu se dobiti iz Check Pointovih sveobuhvatnih forenzičkih izvješća (i tekstualnih i grafičkih). Vrlo je teško dobiti takvo izvješće ručno. Ti podaci tada mogu pomoći u poduzimanju odgovarajućih radnji i spriječiti uspjeh sličnih napada u budućnosti. Danas ćemo pogledati forenzičko izvješće Check Point SandBlast Network.
SandBlast mreža
Korištenje sandboxa za jačanje zaštite perimetra mreže odavno je uobičajena pojava i obavezna je komponenta kao i IPS. U Check Pointu je za funkcionalnost sandboxa odgovoran Threat Emulation blade, koji je dio SandBlast tehnologija (postoji i Threat Extraction). Već smo ranije objavili
- Lokalni uređaj za pjeskarenje — na vašoj mreži je instaliran dodatni SandBlast uređaj na koji se datoteke šalju na analizu.
- SandBlast Cloud — datoteke se šalju na analizu u oblak Check Point.
Pješčanik se može smatrati posljednjom linijom obrane na perimetru mreže. Spaja se tek nakon analize klasičnim sredstvima - antivirus, IPS. A ako takvi tradicionalni alati za potpis ne pružaju praktički nikakvu analitiku, tada sandbox može detaljno "reći" zašto je datoteka blokirana i što točno zlonamjerno radi. Ovo forenzičko izvješće može se dobiti iz lokalnog i cloud sandboxa.
Izvješće o forenzici Check Pointa
Recimo da ste kao stručnjak za informacijsku sigurnost došli na posao i otvorili nadzornu ploču u SmartConsoleu. Odmah vidite incidente u posljednja 24 sata i pozornost vam privlače događaji emulacije prijetnji - najopasniji napadi koji nisu blokirani analizom potpisa.
Možete "produbiti" te događaje i vidjeti sve zapisnike za oštricu simulacije prijetnji.
Nakon toga možete dodatno filtrirati zapise prema razini kritičnosti prijetnje (Severity), kao i prema razini pouzdanosti (pouzdanosti odgovora):
Proširivši događaj koji nas zanima, možemo se upoznati s općim informacijama (src, dst, ozbiljnost, pošiljatelj itd.):
I tamo možete vidjeti odjeljak Forenzičari s dostupnim rezime izvješće. Klikom na nju otvara se detaljna analiza zlonamjernog softvera u obliku interaktivne HTML stranice:
(Ovo je dio stranice.
Iz istog izvješća možemo preuzeti izvorni malware (u arhivi zaštićenoj lozinkom) ili odmah kontaktirati tim za odgovor Check Pointa.
Ispod možete vidjeti prekrasnu animaciju koja u postotcima pokazuje koji je već poznati maliciozni kod našoj instanci zajednički (uključujući sam kod i makronaredbe). Ova se analitika isporučuje pomoću strojnog učenja u Check Point Threat Cloudu.
Zatim možete točno vidjeti koje su nam aktivnosti u sandboxu omogućile da zaključimo da je ova datoteka zlonamjerna. U ovom slučaju vidimo korištenje tehnika zaobilaženja i pokušaj preuzimanja ransomwarea:
Može se primijetiti da je u ovom slučaju emulacija provedena u dva sustava (Win 7, Win XP) i različitim verzijama softvera (Office, Adobe). Ispod je video (slide show) s postupkom otvaranja ove datoteke u sandboxu:
Primjer videa:
Na samom kraju možemo detaljno vidjeti kako se razvijao napad. Bilo u obliku tablice ili grafički:
Tamo možemo preuzeti ove podatke u RAW formatu i pcap datoteku za detaljnu analizu generiranog prometa u Wiresharku:
Zaključak
Korištenjem ovih podataka možete značajno ojačati zaštitu svoje mreže. Blokirajte hostove za distribuciju virusa, zatvorite iskorištene ranjivosti, blokirajte moguće povratne informacije od C&C i još mnogo toga. Ovu analizu ne treba zanemariti.
U sljedećim člancima ćemo na sličan način pogledati izvješća SandBlast Agenta, SnadBlast Mobilea, kao i CloudGiard SaaS-a. Zato ostanite s nama (
Izvor: www.habr.com