Բարի գալուստ հոդվածների նոր շարք՝ այս անգամ միջադեպերի հետաքննության թեմայի վերաբերյալ, մասնավորապես՝ չարամիտ ծրագրերի վերլուծություն՝ օգտագործելով Check Point-ի դատաբժշկական փորձաքննությունը: Նախկինում հրապարակել էինք Smart Event-ում աշխատելու մասին, սակայն այս անգամ մենք կդիտարկենք դատաբժշկական հաշվետվությունները որոշակի իրադարձությունների վերաբերյալ տարբեր Check Point արտադրանքներում.
Ինչու՞ է կարևոր միջադեպերի կանխարգելման դատաբժշկական փորձաքննությունը: Թվում է, թե դուք բռնել եք վիրուսը, դա արդեն լավ է, ինչո՞ւ զբաղվել դրա հետ: Ինչպես ցույց է տալիս պրակտիկան, նպատակահարմար է ոչ միայն արգելափակել հարձակումը, այլև հասկանալ, թե ինչպես է այն աշխատում. որն էր մուտքի կետը, ինչ խոցելիություն է օգտագործվել, ինչ գործընթացներ են ներգրավված, արդյոք ռեեստրն ու ֆայլային համակարգը տուժում են, ինչ ընտանիք: վիրուսների, ինչ հնարավոր վնասների և այլն: Այս և այլ օգտակար տվյալներ կարելի է ձեռք բերել Check Point-ի համապարփակ դատաբժշկական հաշվետվություններից (և՛ տեքստային, և՛ գրաֆիկական): Ձեռքով նման հաշվետվություն ձեռք բերելը շատ դժվար է։ Այնուհետև այս տվյալները կարող են օգնել ձեռնարկել համապատասխան գործողություններ և կանխել նմանատիպ հարձակումները ապագայում: Այսօր մենք կանդրադառնանք Check Point SandBlast ցանցի դատաբժշկական զեկույցին:
SandBlast ցանց
Ցանցի պարագծի պաշտպանությունն ուժեղացնելու համար ավազարկղերի օգտագործումը վաղուց արդեն սովորական է դարձել և նույնքան պարտադիր բաղադրիչ է, որքան IPS-ը: Check Point-ում Threat Emulation blade-ը, որը SandBlast տեխնոլոգիաների մի մասն է (կա նաև Threat Extraction), պատասխանատու է ավազատուփի ֆունկցիոնալության համար: Նախկինում արդեն հրապարակել ենք նաև Gaia 77.30 տարբերակի համար (խորհուրդ եմ տալիս դիտել այն, եթե չեք հասկանում, թե ինչի մասին է խոսքը հիմա): Ճարտարապետական տեսանկյունից դրանից հետո սկզբունքորեն ոչինչ չի փոխվել։ Եթե դուք ունեք Check Point Gateway ձեր ցանցի պարագծում, ապա կարող եք օգտագործել ավազատուփի հետ ինտեգրվելու երկու տարբերակ.
- SandBlast տեղական սարքավորում — Ձեր ցանցում տեղադրված է SandBlast լրացուցիչ սարք, որին ֆայլերը ուղարկվում են վերլուծության:
- SandBlast Cloud — ֆայլերը ուղարկվում են վերլուծության Check Point ամպին:
Ավազարկղը կարելի է համարել ցանցի պարագծի վերջին պաշտպանական գիծը: Միանում է միայն դասական միջոցներով վերլուծությունից հետո՝ հակավիրուս, IPS։ Եվ եթե նման ավանդական ստորագրության գործիքները գործնականում որևէ վերլուծություն չեն ապահովում, ապա ավազարկղը կարող է մանրամասնորեն «պատմել», թե ինչու է ֆայլն արգելափակվել և կոնկրետ ինչ վնասակար է այն: Այս դատաբժշկական հաշվետվությունը կարելի է ձեռք բերել ինչպես տեղական, այնպես էլ ամպային ավազատուփից:
Check Point դատաբժշկական հաշվետվություն
Ենթադրենք, դուք, որպես տեղեկատվական անվտանգության մասնագետ, եկել եք աշխատանքի և բացել եք SmartConsole-ի վահանակը: Անմիջապես տեսնում եք միջադեպեր վերջին 24 ժամվա ընթացքում, և ձեր ուշադրությունը հրավիրվում է սպառնալիքների էմուլյացիայի իրադարձությունների վրա՝ ամենավտանգավոր հարձակումները, որոնք չեն արգելափակվել ստորագրության վերլուծության միջոցով:
Դուք կարող եք «խորատել» այս իրադարձությունների մեջ և տեսնել սպառնալիքների էմուլյացիայի սայրի բոլոր տեղեկամատյանները:
Դրանից հետո դուք կարող եք լրացուցիչ զտել տեղեկամատյանները՝ ըստ սպառնալիքների կրիտիկական մակարդակի (Խստություն), ինչպես նաև ըստ վստահության մակարդակի (պատասխանի հուսալիություն).
Ընդլայնելով մեզ հետաքրքրող իրադարձությունը, մենք կարող ենք ծանոթանալ ընդհանուր տեղեկատվությանը (src, dst, խստություն, ուղարկող և այլն).
Եվ այնտեղ դուք կարող եք տեսնել բաժինը Դատաբժշկական փորձաքննություն հասանելիությամբ Ամփոփում հաշվետվություն։ Սեղմելով դրա վրա կբացվի չարամիտ ծրագրի մանրամասն վերլուծությունը ինտերակտիվ HTML էջի տեսքով.
(Սա էջի մի մասն է. )
Նույն զեկույցից մենք կարող ենք ներբեռնել բնօրինակ չարամիտ ծրագիրը (գաղտնաբառով պաշտպանված արխիվում) կամ անմիջապես կապվել Check Point արձագանքման խմբի հետ:
Հենց ներքևում դուք կարող եք տեսնել մի գեղեցիկ անիմա, որը տոկոսային արտահայտությամբ ցույց է տալիս, թե որն է մեր օրինակի ընդհանուր հայտնի վնասակար կոդը (ներառյալ հենց կոդը և մակրոները): Այս վերլուծությունները տրամադրվում են մեքենայական ուսուցման միջոցով Check Point Threat Cloud-ում:
Այնուհետև կարող եք տեսնել, թե ավազատուփում ինչ գործողություններն են մեզ թույլ տվել եզրակացնել, որ այս ֆայլը վնասակար է: Այս դեպքում մենք տեսնում ենք շրջանցման տեխնիկայի օգտագործում և փրկագին ներբեռնելու փորձ.
Կարելի է նշել, որ այս դեպքում էմուլյացիան իրականացվել է երկու համակարգերով (Win 7, Win XP) և տարբեր ծրագրային տարբերակներով (Office, Adobe): Ստորև ներկայացված է տեսանյութ (սլայդ շոու) այս ֆայլը ավազարկղում բացելու գործընթացով.
Տեսանյութի օրինակ.
Հենց վերջում մենք կարող ենք մանրամասնորեն տեսնել, թե ինչպես է զարգացել հարձակումը։ Կամ աղյուսակային կամ գրաֆիկական ձևով.
Այնտեղ մենք կարող ենք ներբեռնել այս տեղեկատվությունը RAW ձևաչափով և pcap ֆայլ Wireshark-ում առաջացած տրաֆիկի մանրամասն վերլուծության համար.
Ամփոփում
Օգտագործելով այս տեղեկատվությունը, դուք կարող եք զգալիորեն ուժեղացնել ձեր ցանցի պաշտպանությունը: Արգելափակել վիրուսների բաշխման սերվերները, փակել շահագործվող խոցելիությունները, արգելափակել C&C-ի հնարավոր հետադարձ կապը և շատ ավելին: Այս վերլուծությունը չպետք է անտեսվի:
Հետևյալ հոդվածներում մենք նմանապես կանդրադառնանք SandBlast Agent-ի, SnadBlast Mobile-ի, ինչպես նաև CloudGiard SaaS-ի հաշվետվություններին: Ուրեմն հետևեք (, , , )!
Source: www.habr.com