Dobrodošli u novu seriju članaka, ovaj put na temu istrage incidenata, odnosno analize zlonamjernog softvera pomoću forenzike Check Pointa. Prethodno smo objavili o radu u Smart Eventu, ali ovaj put ćemo pogledati forenzička izvješća o određenim događajima u različitim Check Point proizvodima:
Zašto je forenzika prevencije incidenata važna? Čini se da ste uhvatili virus, već je dobro, zašto se baviti time? Kao što pokazuje praksa, preporučljivo je ne samo blokirati napad, već i razumjeti kako točno funkcionira: koja je bila ulazna točka, koja je ranjivost korištena, koji su procesi uključeni, jesu li zahvaćeni registar i sustav datoteka, koja je obitelj virusa, kakva potencijalna šteta itd. . Ovi i drugi korisni podaci mogu se dobiti iz Check Pointovih sveobuhvatnih forenzičkih izvješća (i tekstualnih i grafičkih). Vrlo je teško dobiti takvo izvješće ručno. Ti podaci tada mogu pomoći u poduzimanju odgovarajućih radnji i spriječiti uspjeh sličnih napada u budućnosti. Danas ćemo pogledati forenzičko izvješće Check Point SandBlast Network.
SandBlast mreža
Korištenje sandboxa za jačanje zaštite perimetra mreže odavno je uobičajena pojava i obavezna je komponenta kao i IPS. U Check Pointu je za funkcionalnost sandboxa odgovoran Threat Emulation blade, koji je dio SandBlast tehnologija (postoji i Threat Extraction). Već smo ranije objavili također za verziju Gaia 77.30 (preporučam da je pogledate ako ne razumijete o čemu sada govorimo). S arhitektonskog gledišta, od tada se ništa bitno nije promijenilo. Ako imate Check Point Gateway na perimetru vaše mreže, tada možete koristiti dvije opcije za integraciju s sandboxom:
- Lokalni uređaj za pjeskarenje — na vašoj mreži je instaliran dodatni SandBlast uređaj na koji se datoteke šalju na analizu.
- SandBlast Cloud — datoteke se šalju na analizu u oblak Check Point.
Pješčanik se može smatrati posljednjom linijom obrane na perimetru mreže. Spaja se tek nakon analize klasičnim sredstvima - antivirus, IPS. A ako takvi tradicionalni alati za potpis ne pružaju praktički nikakvu analitiku, tada sandbox može detaljno "reći" zašto je datoteka blokirana i što točno zlonamjerno radi. Ovo forenzičko izvješće može se dobiti iz lokalnog i cloud sandboxa.
Izvješće o forenzici Check Pointa
Recimo da ste kao stručnjak za informacijsku sigurnost došli na posao i otvorili nadzornu ploču u SmartConsoleu. Odmah vidite incidente u posljednja 24 sata i pozornost vam privlače događaji emulacije prijetnji - najopasniji napadi koji nisu blokirani analizom potpisa.
Možete "produbiti" te događaje i vidjeti sve zapisnike za oštricu simulacije prijetnji.
Nakon toga možete dodatno filtrirati zapise prema razini kritičnosti prijetnje (Severity), kao i prema razini pouzdanosti (pouzdanosti odgovora):
Proširivši događaj koji nas zanima, možemo se upoznati s općim informacijama (src, dst, ozbiljnost, pošiljatelj itd.):
I tamo možete vidjeti odjeljak Forenzičari s dostupnim rezime izvješće. Klikom na nju otvara se detaljna analiza zlonamjernog softvera u obliku interaktivne HTML stranice:
(Ovo je dio stranice. )
Iz istog izvješća možemo preuzeti izvorni malware (u arhivi zaštićenoj lozinkom) ili odmah kontaktirati tim za odgovor Check Pointa.
Ispod možete vidjeti prekrasnu animaciju koja u postotcima pokazuje koji je već poznati maliciozni kod našoj instanci zajednički (uključujući sam kod i makronaredbe). Ova se analitika isporučuje pomoću strojnog učenja u Check Point Threat Cloudu.
Zatim možete točno vidjeti koje su nam aktivnosti u sandboxu omogućile da zaključimo da je ova datoteka zlonamjerna. U ovom slučaju vidimo korištenje tehnika zaobilaženja i pokušaj preuzimanja ransomwarea:
Može se primijetiti da je u ovom slučaju emulacija provedena u dva sustava (Win 7, Win XP) i različitim verzijama softvera (Office, Adobe). Ispod je video (slide show) s postupkom otvaranja ove datoteke u sandboxu:
Primjer videa:
Na samom kraju možemo detaljno vidjeti kako se razvijao napad. Bilo u obliku tablice ili grafički:
Tamo možemo preuzeti ove podatke u RAW formatu i pcap datoteku za detaljnu analizu generiranog prometa u Wiresharku:
Zaključak
Korištenjem ovih podataka možete značajno ojačati zaštitu svoje mreže. Blokirajte hostove za distribuciju virusa, zatvorite iskorištene ranjivosti, blokirajte moguće povratne informacije od C&C i još mnogo toga. Ovu analizu ne treba zanemariti.
U sljedećim člancima ćemo na sličan način pogledati izvješća SandBlast Agenta, SnadBlast Mobilea, kao i CloudGiard SaaS-a. Zato ostanite s nama (, , , )!
Izvor: www.habr.com