Üdvözöljük egy új cikksorozatban, amely ezúttal az incidensek kivizsgálásáról szól, nevezetesen a malware-elemzésről a Check Point forensics segítségével. Korábban közzétettük a Smart Eventben való munkáról, de ezúttal a különböző Check Point termékek konkrét eseményeiről szóló kriminalisztikai jelentéseket tekintjük meg:
Miért fontos az incidensmegelőzési kriminalisztika? Úgy tűnik, elkaptad a vírust, ez már jó, miért foglalkozol vele? Ahogy a gyakorlat azt mutatja, nem csak a támadás blokkolása tanácsos, hanem annak pontos működésének megértése is: mi volt a belépési pont, milyen sérülékenységet használtak, milyen folyamatok érintettek, érintett-e a rendszerleíró adatbázis és a fájlrendszer, milyen család a vírusokról, a lehetséges károkról stb. Ez és más hasznos adatok beszerezhetők a Check Point átfogó (szöveges és grafikus) kriminalisztikai jelentéseiből. Nagyon nehéz manuálisan beszerezni egy ilyen jelentést. Ezek az adatok segíthetnek a megfelelő intézkedések megtételében, és megakadályozhatják a hasonló támadások jövőbeni sikerét. Ma megnézzük a Check Point SandBlast Network kriminalisztikai jelentését.
SandBlast hálózat
A homokozók használata a hálózati kerület védelmének megerősítésére már régóta általánossá vált, és ugyanolyan kötelező komponens, mint az IPS. A Check Pointnál a SandBlast technológiák részét képező Threat Emulation blade (van Threat Extraction is) felel a sandbox funkcióért. Korábban már publikáltunk a Gaia 77.30 verzióhoz is (nagyon ajánlom, hogy nézze meg, ha nem érted, miről beszélünk most). Építészeti szempontból azóta sem változott alapvetően semmi. Ha van egy Check Point Gateway a hálózata peremén, akkor két lehetőség közül választhat a homokozóval való integrációhoz:
- SandBlast helyi készülék — egy további SandBlast készülék van telepítve a hálózatra, amelyre a fájlok elemzésre kerülnek.
- SandBlast felhő — a fájlok elemzésre a Check Point felhőbe kerülnek.
A homokozó tekinthető az utolsó védelmi vonalnak a hálózat peremén. Csak a klasszikus eszközökkel - vírusirtó, IPS - végzett elemzés után csatlakozik. És ha az ilyen hagyományos aláírási eszközök gyakorlatilag nem adnak elemzést, akkor a sandbox részletesen „meg tudja mondani”, miért blokkolták a fájlt, és pontosan milyen rosszindulatú. Ez a kriminalisztikai jelentés helyi és felhőalapú homokozóból is beszerezhető.
Check Point Forensics jelentés
Tegyük fel, hogy Ön, mint információbiztonsági szakember, dolgozni jött, és megnyitott egy irányítópultot a SmartConsole-ban. Azonnal látja az elmúlt 24 óra eseményeit, és felhívja a figyelmét a fenyegetés-emulációs eseményekre – a legveszélyesebb támadásokra, amelyeket nem blokkolt az aláírás-elemzés.
„Lefúrhatja” ezeket az eseményeket, és megtekintheti a fenyegetésemulációs panel összes naplóját.
Ezt követően a naplókat a fenyegetés kritikussági szintje (Súlyosság), valamint a bizalmi szint (a válasz megbízhatósága) szerint is szűrheti:
A minket érdeklő eseményt kibővítve megismerkedhetünk az általános információkkal (src, dst, súlyosság, feladó stb.):
És ott láthatod a részt törvényszéki rendelkezésre állóval Összegzésként jelentés. Ha rákattint, megnyílik a kártevő részletes elemzése egy interaktív HTML oldal formájában:
(Ez az oldal része. )
Ugyanebből a jelentésből letölthetjük az eredeti kártevőt (jelszóval védett archívumban), vagy azonnal kapcsolatba léphetünk a Check Point válaszcsapatával.
Közvetlenül alatta egy gyönyörű animáció látható, amely százalékban megmutatja, hogy a példányunkban melyik a már ismert rosszindulatú kód közös (beleértve magát a kódot és a makrókat is). Ezeket az elemzéseket a Check Point Threat Cloud gépi tanulásának segítségével szállítjuk.
Ezután pontosan láthatja, hogy a homokozóban milyen tevékenységek engedték arra következtetni, hogy ez a fájl rosszindulatú. Ebben az esetben bypass technikákat és ransomware letöltési kísérletet látunk:
Megjegyzendő, hogy ebben az esetben az emuláció két rendszerben (Win 7, Win XP) és különböző szoftververziókban (Office, Adobe) történt. Az alábbiakban egy videó (diavetítés) látható a fájl megnyitásának folyamatáról a homokozóban:
Példa videó:
A legvégén részletesen láthatjuk, hogyan alakult a támadás. Akár táblázatos formában, akár grafikusan:
Innen letölthetjük ezeket az információkat RAW formátumban és egy pcap fájlt a Wiresharkban generált forgalom részletes elemzéséhez:
Következtetés
Ezen információk felhasználásával jelentősen megerősítheti hálózata védelmét. Blokkolja a vírusterjesztő gazdagépeket, zárja be a kihasznált sebezhetőségeket, blokkolja a C&C esetleges visszajelzéseit és még sok más. Ezt az elemzést nem szabad figyelmen kívül hagyni.
A következő cikkekben hasonlóképpen megvizsgáljuk a SandBlast Agent, a SnadBlast Mobile, valamint a CloudGiard SaaS jelentéseit. Szóval maradj velünk (, , , )!
Forrás: will.com