Velkomin í nýja röð greina, að þessu sinni um efnið rannsókn atvika, nefnilega greining á spilliforritum með því að nota Check Point réttarrannsóknir. Við birtum áður um að vinna í Smart Event, en að þessu sinni munum við skoða réttarskýrslur um tiltekna atburði í mismunandi Check Point vörum:
Hvers vegna er forvarnarrannsóknir mikilvægar? Það virðist sem þú hafir fengið vírusinn, hann er nú þegar góður, af hverju að takast á við hann? Eins og æfingin sýnir er ráðlegt að loka ekki aðeins fyrir árás heldur einnig að skilja nákvæmlega hvernig hún virkar: hver inngangspunkturinn var, hvaða varnarleysi var notað, hvaða ferla er um að ræða, hvort skrásetning og skráarkerfi hafi áhrif, hvaða fjölskylda af vírusum, hvaða hugsanlegu tjóni o.s.frv. Þessi og önnur gagnleg gögn er hægt að fá úr yfirgripsmiklum réttarskýrslum Check Point (bæði texta og myndrænum). Það er mjög erfitt að fá slíka skýrslu handvirkt. Þessi gögn geta síðan hjálpað til við að grípa til viðeigandi aðgerða og koma í veg fyrir að svipaðar árásir takist í framtíðinni. Í dag munum við skoða réttarskýrslu Check Point SandBlast Network.
SandBlast net
Notkun sandkassa til að styrkja vernd netjaðar hefur lengi tíðkast og er jafn skylduþáttur og IPS. Hjá Check Point er Threat Emulation blaðið, sem er hluti af SandBlast tækninni (það er líka Threat Extraction), ábyrgt fyrir virkni sandkassa. Við höfum þegar gefið út áður líka fyrir útgáfu Gaia 77.30 (ég mæli eindregið með því að horfa á hana ef þú skilur ekki hvað við erum að tala um núna). Frá byggingarfræðilegu sjónarmiði hefur ekkert breyst í grundvallaratriðum síðan þá. Ef þú ert með Check Point Gateway á jaðri netkerfisins þíns geturðu notað tvo valkosti til að samþætta við sandkassann:
- SandBlast staðbundið tæki — SandBlast tæki til viðbótar er sett upp á netinu þínu, sem skrár eru sendar til greiningar.
- SandBlast Cloud — skrár eru sendar til greiningar í Check Point skýið.
Sandkassinn getur talist síðasta varnarlínan við netjaðar. Það tengist aðeins eftir greiningu með klassískum hætti - vírusvarnarefni, IPS. Og ef slík hefðbundin undirskriftarverkfæri veita nánast enga greiningu, þá getur sandkassinn „sagt“ í smáatriðum hvers vegna skráin var læst og hvað nákvæmlega illgjarn hún gerir. Þessa réttarskýrslu er hægt að fá bæði frá staðbundnum og skýjasandkassa.
Check Point réttarskýrsla
Segjum að þú sem sérfræðingur í upplýsingaöryggi komst til starfa og opnaðir mælaborð í SmartConsole. Strax sérðu atvik síðasta sólarhringinn og athygli þín er vakin á Threat Emulation atburðum - hættulegustu árásunum sem ekki var lokað með undirskriftargreiningu.
Þú getur „borað“ niður í þessa atburði og séð allar skrárnar fyrir Threat Emulation blaðið.
Eftir þetta geturðu að auki síað annálana eftir gagnrýni ógnarstigs (alvarleika), sem og eftir öryggisstigi (áreiðanleiki svars):
Eftir að hafa stækkað viðburðinn sem við höfum áhuga á getum við kynnt okkur almennar upplýsingar (src, dst, alvarleiki, sendandi osfrv.):
Og þar má sjá kaflann réttar með í boði Yfirlit skýrslu. Með því að smella á það opnast ítarleg greining á spilliforritinu í formi gagnvirkrar HTML síðu:
(Þetta er hluti af síðunni. )
Úr sömu skýrslu getum við hlaðið niður upprunalega spilliforritinu (í skjalasafni sem er varið með lykilorði), eða strax haft samband við viðbragðsteymi Check Point.
Rétt fyrir neðan má sjá fallega hreyfimynd sem sýnir í prósentum hvaða þegar þekktur illgjarn kóða tilvik okkar á sameiginlegt (þar á meðal kóðann sjálfan og fjölva). Þessar greiningar eru afhentar með því að nota vélanám í Check Point Threat Cloud.
Þá geturðu séð nákvæmlega hvaða athafnir í sandkassanum leyfðu okkur að álykta að þessi skrá sé illgjarn. Í þessu tilfelli sjáum við notkun framhjáhaldstækni og tilraun til að hlaða niður lausnarhugbúnaði:
Þess má geta að í þessu tilviki var hermi gerð í tveimur kerfum (Win 7, Win XP) og mismunandi hugbúnaðarútgáfum (Office, Adobe). Hér að neðan er myndband (skyggnusýning) með því ferli að opna þessa skrá í sandkassanum:
Dæmi myndband:
Í lokin getum við séð í smáatriðum hvernig árásin þróaðist. Annað hvort í töfluformi eða myndrænt:
Þar getum við hlaðið niður þessum upplýsingum á RAW sniði og pcap skrá fyrir nákvæma greiningu á myndaðri umferð í Wireshark:
Ályktun
Með því að nota þessar upplýsingar geturðu styrkt vernd netkerfisins verulega. Lokaðu fyrir vírusdreifingarhýsinga, lokaðu misnotuðum veikleikum, lokaðu á möguleg endurgjöf frá C&C og margt fleira. Þessa greiningu ætti ekki að vanrækja.
Í eftirfarandi greinum munum við á sama hátt skoða skýrslur SandBlast Agent, SnadBlast Mobile, sem og CloudGiard SaaS. Svo fylgist með (, , , )!
Heimild: www.habr.com