Selamat datang di seri artikel baru, kali ini membahas topik investigasi insiden, khususnya analisis malware menggunakan forensik Check Point. Sebelumnya, kami telah menerbitkan tentang bekerja di Smart Event, tapi kali ini kita akan melihat laporan forensik pada kejadian tertentu di berbagai produk Check Point:
Mengapa analisis forensik atas insiden yang dicegah itu penting? Anda mungkin merasa seperti terjangkit virus, jadi mengapa repot-repot menanganinya? Pengalaman menunjukkan bahwa penting tidak hanya untuk memblokir serangan, tetapi juga untuk memahami cara kerjanya: titik masuknya, kerentanan apa yang dieksploitasi, proses apa yang terlibat, apakah registri dan sistem berkas terpengaruh, keluarga virus apa, potensi kerusakan apa yang ditimbulkannya, dll. Data-data ini dan data bermanfaat lainnya dapat diperoleh dari laporan forensik Check Point yang komprehensif (baik teks maupun grafis). Mendapatkan laporan semacam itu secara manual sangatlah sulit. Data ini kemudian dapat membantu Anda mengambil tindakan yang tepat dan mencegah serangan serupa terulang di masa mendatang. Hari ini, kita akan membahas laporan forensik Check Point SandBlast Network.
Jaringan SandBlast
Penggunaan sandbox untuk memperkuat keamanan perimeter jaringan telah lama menjadi hal yang umum dan merupakan komponen penting seperti IPS. Fungsionalitas sandbox Check Point ditangani oleh blade Threat Emulation, yang merupakan bagian dari teknologi SandBlast-nya (yang juga mencakup Threat Extraction). Kami telah menerbitkan artikel ini sebelumnya. Kembali ke Gaia versi 77.30 (saya sangat merekomendasikan menontonnya jika Anda tidak mengerti apa yang kami bicarakan). Dari perspektif arsitektur, tidak ada yang berubah secara fundamental sejak saat itu. Jika Anda telah memasang Check Point Gateway di perimeter jaringan Anda, Anda memiliki dua opsi untuk integrasi sandbox:
- Peralatan Lokal SandBlast —alat SandBlast tambahan dipasang pada jaringan Anda, tempat file dikirim untuk dianalisis.
- Awan SandBlast — file dikirim ke cloud Check Point untuk dianalisis.
Sandbox dapat dianggap sebagai garis pertahanan terakhir di perimeter jaringan. Sandbox hanya diaktifkan setelah dianalisis oleh perangkat lunak tradisional, seperti perangkat lunak antivirus dan IPS. Meskipun perangkat lunak berbasis tanda tangan tradisional hampir tidak menyediakan analisis, sandbox dapat memberikan informasi detail tentang alasan pemblokiran berkas dan aktivitas berbahaya apa yang dilakukannya. Laporan forensik ini dapat diperoleh dari sandbox lokal maupun berbasis cloud.
Laporan Forensik Check Point
Katakanlah Anda, sebagai spesialis keamanan informasi, datang bekerja dan membuka dasbor SmartConsole. Anda melihat insiden selama 24 jam terakhir, dan perhatian Anda tertuju pada peristiwa Emulasi Ancaman—serangan paling berbahaya yang tidak diblokir oleh analisis tanda tangan.
Anda dapat menelusuri kejadian-kejadian ini dan melihat semua log untuk blade Emulasi Ancaman.
Setelah ini, Anda dapat memfilter log lebih lanjut berdasarkan tingkat keparahan ancaman (Severity), serta berdasarkan Confidence Level (keandalan pemicu):
Dengan memperluas peristiwa yang kita minati, kita dapat melihat informasi umum (src, dst, tingkat keparahan, pengirim, dll.):
Dan di sana Anda juga dapat melihat bagian Forensik dengan aksesibel Ringkasan laporan. Mengkliknya akan membuka analisis detail malware sebagai halaman HTML interaktif:
(Ini adalah bagian dari halaman. )
Dari laporan yang sama, kita dapat mengunduh malware asli (dalam arsip yang dilindungi kata sandi) atau segera menghubungi tim respons Check Point.
Di bawah ini, Anda dapat melihat animasi indah yang menunjukkan persentase malware yang diketahui yang cocok dengan sampel kami (termasuk kode itu sendiri dan makro). Analisis ini dilakukan menggunakan pembelajaran mesin di Check Point Threat Cloud.
Anda kemudian dapat melihat aktivitas sandbox spesifik apa yang mengarah pada kesimpulan bahwa berkas ini berbahaya. Dalam kasus ini, kita melihat penggunaan teknik penghindaran dan upaya mengunduh ransomware:
Anda dapat melihat bahwa dalam kasus ini, emulasi dilakukan pada dua sistem (Win 7, Win XP) dan versi perangkat lunak yang berbeda (Office, Adobe). Berikut adalah video (slideshow) yang menunjukkan proses pembukaan berkas ini di sandbox:
Contoh video:
Di bagian paling akhir, kita dapat melihat perkembangan serangan secara rinci, baik dalam bentuk tabel maupun grafik:
Kita juga dapat mengunduh informasi ini dalam format RAW dan file pcap untuk analisis terperinci lalu lintas yang dihasilkan di Wireshark:
Kesimpulan
Dengan menggunakan informasi ini, Anda dapat memperkuat keamanan jaringan secara signifikan. Anda dapat memblokir host penyebaran virus, menambal kerentanan yang dieksploitasi, memblokir potensi umpan balik ke C&C, dan banyak lagi. Analisis ini tidak boleh diabaikan.
Di artikel mendatang, kami juga akan membahas laporan SandBlast Agent, SnadBlast Mobile, dan CloudGiard SaaS. Jadi, nantikan terus (, , , )!
Sumber: www.habr.com
