Benvenuti in una nuova serie di articoli, questa volta sul tema dell'investigazione degli incidenti, ovvero l'analisi del malware utilizzando l'analisi forense di Check Point. Abbiamo precedentemente pubblicato sul lavoro in Smart Event, ma questa volta esamineremo i rapporti forensi su eventi specifici in diversi prodotti Check Point:
Perché è importante la prevenzione forense degli incidenti? Sembrerebbe che tu abbia preso il virus, è già buono, perché affrontarlo? Come dimostra la pratica, è consigliabile non solo bloccare un attacco, ma anche capire esattamente come funziona: qual era il punto di ingresso, quale vulnerabilità è stata sfruttata, quali processi sono coinvolti, se sono interessati il registro e il file system, quale famiglia di virus, quali danni potenziali, ecc. Questi e altri dati utili possono essere ottenuti dai report forensi completi di Check Point (sia testuali che grafici). È molto difficile ottenere manualmente un rapporto del genere. Questi dati possono quindi aiutare a intraprendere le azioni appropriate e impedire che attacchi simili abbiano successo in futuro. Oggi esamineremo il rapporto forense di Check Point SandBlast Network.
Rete SandBlast
L'uso di sandbox per rafforzare la protezione del perimetro di rete è da tempo un luogo comune ed è un componente obbligatorio quanto l'IPS. In Check Point, il pannello Threat Emulation, che fa parte delle tecnologie SandBlast (c'è anche Threat Extraction), è responsabile della funzionalità sandbox. Abbiamo già pubblicato prima anche per la versione Gaia 77.30 (consiglio vivamente di guardarlo se non avete capito di cosa stiamo parlando adesso). Dal punto di vista architettonico da allora non è cambiato sostanzialmente nulla. Se disponi di un Check Point Gateway sul perimetro della tua rete, puoi utilizzare due opzioni per l'integrazione con la sandbox:
- Dispositivo locale SandBlast — Sulla rete è installata un'appliance SandBlast aggiuntiva alla quale vengono inviati i file per l'analisi.
- Nuvola di sabbiatura — i file vengono inviati per l'analisi al cloud Check Point.
La sandbox può essere considerata l'ultima linea di difesa del perimetro della rete. Si connette solo dopo l'analisi con mezzi classici: antivirus, IPS. E se questi strumenti di firma tradizionali non forniscono praticamente alcuna analisi, allora la sandbox può “dire” in dettaglio perché il file è stato bloccato e cosa fa esattamente di dannoso. Questo rapporto forense può essere ottenuto sia da un sandbox locale che da quello cloud.
Rapporto forense di Check Point
Supponiamo che tu, come specialista della sicurezza delle informazioni, sia venuto al lavoro e abbia aperto una dashboard in SmartConsole. Immediatamente vengono visualizzati gli incidenti delle ultime 24 ore e la tua attenzione viene attirata dagli eventi di Threat Emulation, gli attacchi più pericolosi che non sono stati bloccati dall'analisi delle firme.
È possibile approfondire questi eventi e visualizzare tutti i registri per il pannello Threat Emulation.
Successivamente è possibile filtrare ulteriormente i registri in base al livello di criticità della minaccia (gravità) e al livello di confidenza (affidabilità della risposta):
Dopo aver ampliato l'evento che ci interessa, possiamo conoscere le informazioni generali (src, dst, gravità, mittente, ecc.):
E lì puoi vedere la sezione Forense con disponibile Sommario rapporto. Facendo clic su di esso si aprirà un'analisi dettagliata del malware sotto forma di una pagina HTML interattiva:
(Questa fa parte della pagina. )
Dalla stessa segnalazione possiamo scaricare il malware originale (in un archivio protetto da password), oppure contattare immediatamente il team di risposta di Check Point.
Subito sotto puoi vedere una bellissima animazione che mostra in termini percentuali quale codice dannoso già noto ha in comune la nostra istanza (incluso il codice stesso e le macro). Queste analisi vengono fornite utilizzando l'apprendimento automatico in Check Point Threat Cloud.
Quindi puoi vedere esattamente quali attività nella sandbox ci hanno permesso di concludere che questo file è dannoso. In questo caso vediamo l'uso di tecniche di bypass e il tentativo di scaricare ransomware:
Si noti che in questo caso l'emulazione è stata effettuata su due sistemi (Win 7, Win XP) e diverse versioni software (Office, Adobe). Di seguito è riportato un video (presentazione) con il processo di apertura di questo file nella sandbox:
Esempio video:
Alla fine possiamo vedere nel dettaglio come si è sviluppato l'attacco. Sia in forma tabellare che graficamente:
Lì possiamo scaricare queste informazioni in formato RAW e un file pcap per un'analisi dettagliata del traffico generato in Wireshark:
conclusione
Utilizzando queste informazioni, puoi rafforzare significativamente la protezione della tua rete. Blocca gli host di distribuzione dei virus, chiudi le vulnerabilità sfruttate, blocca possibili feedback da C&C e molto altro ancora. Questa analisi non dovrebbe essere trascurata.
Negli articoli seguenti esamineremo in modo simile i rapporti di SandBlast Agent, SnadBlast Mobile e CloudGiard SaaS. Quindi rimanete sintonizzati (, , , )!
Fonte: habr.com