Byenveni nan yon nouvo seri atik, fwa sa a sou sijè envestigasyon ensidan an, sètadi, analiz malveyan lè l sèvi avèk Check Point Forensics. Nou te pibliye deja sou travay nan Smart Event, men fwa sa a nou pral gade rapò legal pou evènman espesifik nan diferan pwodwi Check Point:
Poukisa Forensics of Prevented Ensidan yo enpòtan? Li ta sanble ke li kenbe viris la, li deja bon, poukisa fè fas ak li? Kòm pratik montre, li se dezirab pa sèlman bloke yon atak, men tou, konprann egzakteman ki jan li fonksyone: ki sa ki te pwen an antre, ki vilnerabilite yo te itilize, ki pwosesis ki enplike, si wi ou non rejis la ak sistèm dosye yo afekte, ki fanmi. nan viris, ki domaj potansyèl, elatriye. Sa a ak lòt done itil yo ka jwenn nan rapò konplè Check Point Forensics (tou de tèks ak grafik). Li trè difisil pou jwenn yon rapò konsa lamen. Done sa yo ka ede w pran aksyon pou anpeche atak menm jan an reyisi alavni. Jodi a nou pral revize rapò legal Check Point SandBlast Network la.
SandBlast Rezo
Itilize sandboxes pou ranfòse pwoteksyon perimèt rezo a depi lontan te komen ak endispansab kòm IPS. Nan Check Point, lam Emulation Menas la responsab pou fonksyonalite sandbox la, ki se yon pati nan teknoloji SandBlast yo (gen tou Ekstraksyon Menas). Nou te pibliye anvan tou pou vèsyon Gaia 77.30 (Mwen rekòmande anpil gade si ou pa konprann sa yo ap diskite kounye a). Soti nan yon pwen de vi achitekti, pa gen anyen ki fondamantalman chanje depi lè sa a. Si ou gen yon Check Point Gateway sou perimèt rezo a, Lè sa a, ou ka itilize de opsyon entegrasyon sandbox:
- Sandblast Aparèy Lokal - yon lòt aparèy SandBlast enstale sou rezo w la, kote yo voye dosye pou analize.
- SandBlast Cloud - Yo voye fichye yo pou analize nan nwaj Check Point la.
Sandbox la ka konsidere kòm dènye liy defans nan perimèt rezo a. Li konekte sèlman apre analiz pa mwayen klasik - antivirus, IPS. Men, si zouti tradisyonèl siyati sa yo pa bay prèske nenpòt analiz, Lè sa a, sandbox la ka "di" an detay poukisa yo te bloke dosye a ak ki sa egzakteman li fè malveyan. Ou ka jwenn yon rapò legal konsa nan tou de bwat sab lokal ak nwaj.
Rapò Legal Point Check Point
Ann di ou, kòm yon espesyalis sekirite enfòmasyon, te vin travay epi ouvè yon tablodbò nan SmartConsole. Isit la ou ka wè ensidan sou 24 èdtan ki sot pase yo ak evènman Emulation Menas, atak ki pi danjere ki pa te bloke pa analiz siyati, atire atansyon ou.
Ou ka "fè egzèsis" evènman sa yo epi wè tout mòso bwa pou lam Emulation Menas la.
Apre sa, ou ka anplis filtre mòso bwa yo pa nivo kritik nan menas (Severite), osi byen ke pa Nivo Konfyans (fyab nan operasyon):
Lè w te louvri evènman an ki enterese nou, ou ka fè konesans ak enfòmasyon jeneral yo (src, dst, severite, moun k ap voye, elatriye):
Epi la ou ka wè seksyon an Medsin legal ak disponib Rezime rapò. Lè w klike sou li, nou pral wè yon analiz detaye sou malveyan an nan fòm yon paj HTML entèaktif:
(Sa a se yon pati nan paj la. )
Soti nan menm rapò a, nou ka telechaje malveyan orijinal la (nan yon achiv ki pwoteje pa modpas), oswa imedyatman kontakte ekip repons Check Point la.
Yon ti kras pi ba ou ka wè yon bèl animasyon ki montre an tèm pousantaj sa ki deja konnen move kòd egzanp nou an gen yon bagay an komen ak (ki gen ladan kòd nan tèt li ak makro). Yo bay analiz sa yo lè l sèvi avèk aprantisaj machin nan Check Point Threat Cloud la.
Lè sa a, ou ka wè ki aktivite nan bwat sab la te fè li posib pou konkli ke dosye sa a se move. Nan ka sa a, nou wè itilizasyon teknik kontoune ak yon tantativ pou telechaje ransomware:
Ou ka wè ke nan ka sa a, emulation te pote soti nan de sistèm (Win 7, Win XP) ak diferan vèsyon lojisyèl (Biwo, Adobe). Anba a se yon videyo (slide show) ak pwosesis pou ouvèti fichye sa a nan sandbox la:
Egzanp videyo:
Nan fen a anpil, nou ka wè an detay ki jan atak la devlope. Swa sou fòm tab oswa sou fòm grafik:
An menm kote a, nou ka telechaje enfòmasyon sa yo nan fòma RAW ak yon fichye pcap, pou analiz detaye sou trafik ki pwodui nan Wireshark:
Konklizyon
Sèvi ak enfòmasyon sa yo, ou ka siyifikativman amelyore pwoteksyon rezo ou a. Bloke lame distribisyon viris, fèmen frajilite ki kapab eksplwate, bloke potansyèl fidbak C&C, ak plis ankò. Pa neglije analiz sa a.
Nan atik sa yo, nou pral gade menm jan an nan rapò SandBlast Agent, SnadBlast Mobile, ak CloudGiard SaaS. Se konsa, rete branche, , , )!
Sous: www.habr.com