ברוכים הבאים לסדרת מאמרים חדשה, הפעם בנושא חקירת אירועים, כלומר ניתוח תוכנות זדוניות באמצעות ניתוח פורנזי של Check Point. בעבר פרסמנו, על עבודה ב-Smart Event, אבל הפעם נבחן דוחות פורנזיים על אירועים ספציפיים במוצרי Check Point שונים:
מדוע חשוב לבצע בדיקות פורנזיות של אירועים שנמנעו? נראה שאם נתקלתם בווירוס, זה טוב, למה להתמודד איתו? כפי שמראה בפועל, מומלץ לא רק לחסום מתקפה, אלא גם להבין כיצד היא פועלת בדיוק: מה הייתה נקודת הכניסה, איזו פגיעות הייתה בשימוש, אילו תהליכים מעורבים, האם הרישום ומערכת הקבצים מושפעים, איזו משפחת וירוסים, מהו הנזק הפוטנציאלי וכו'. ניתן לקבל נתונים שימושיים אלה ואחרים בדוחות פורנזיים מקיפים של Check Point (הן בטקסט והן בצורה גרפית). קשה מאוד להשיג דוח כזה באופן ידני. לאחר מכן נתונים אלה יכולים לסייע בנקיטת האמצעים הדרושים ולשלול את האפשרות של הצלחת מתקפות דומות בעתיד. היום נבחן את דוח הפורנזיקה של Check Point SandBlast Network.
רשת SandBlast
שימוש בארגזי חול (sandboxes) לשיפור הגנת ההיקף של הרשת היה זה מכבר נוהג נפוץ ומרכיב חובה, בדיוק כמו IPS. צ'ק פוינט משתמשת ב-Threat Emulation blade, שהוא חלק מטכנולוגיות SandBlast (יש גם Threat Extraction, לפונקציונליות של ארגז חול). כבר פרסמנו קודם לכן. עבור Gaia גרסה 77.30 (אני ממליץ בחום לצפות בו אם אינכם מבינים על מה אנחנו מדברים כעת). מנקודת מבט ארכיטקטונית, שום דבר לא השתנה באופן מהותי מאז. אם יש לכם Check Point Gateway בהיקף הרשת שלכם, תוכלו להשתמש בשתי אפשרויות לשילוב עם ארגז החול:
- מכשיר מקומי להתזת חול — מותקן ברשת שלך מכשיר SandBlast נוסף, שאליו נשלחים קבצים לניתוח.
- ענן SandBlast — קבצים נשלחים לענן של צ'ק פוינט לצורך ניתוח.
ניתן להתייחס לארגז החול כקו ההגנה האחרון בהיקף הרשת. הוא מחובר רק לאחר ניתוח באמצעים קלאסיים - אנטי-וירוס, IPS. ואם כלי חתימה מסורתיים כאלה אינם מספקים כמעט שום ניתוח, אז ארגז החול יכול "לספר" בפירוט מדוע הקובץ נחסם ואיזה תוכנה זדונית הוא עושה. ניתן לקבל דוח פורנזי כזה הן מארגז חול מקומי והן מארגז חול בענן.
דו"ח זיהוי פלילי של צ'ק פוינט
נניח שאתה, כמומחה אבטחת מידע, מגיע לעבודה ופותח את לוח המחוונים ב-SmartConsole. כאן אתה רואה אירועים ב-24 השעות האחרונות ותשומת לבך מופנית לאירועי Threat Emulation - ההתקפות המסוכנות ביותר שלא נחסמו על ידי ניתוח חתימות.
באפשרותך להתעמק באירועים אלה ולראות את כל יומני הרישום עבור להב אמולציית האיומים.
לאחר מכן, ניתן גם לסנן את היומנים לפי רמת קריטיות האיום (חומרה), וכן לפי רמת ביטחון (אמינות ההפעלה):
על ידי הרחבת האירוע בו אנו מעוניינים, נוכל לראות את המידע הכללי (מקור, שעון קיץ, חומרה, שולח וכו'):
ושם אפשר גם לראות קטע המעבדה לזיהוי פלילי עם זמין <br>
סיכום דוח. על ידי לחיצה עליו, נראה ניתוח מפורט של התוכנה הזדונית בצורת דף HTML אינטראקטיבי:
(זה חלק מהדף.) )
מאותו דוח נוכל להוריד את הנוזקה המקורית (בארכיון המוגן בסיסמה), או ליצור קשר מיידי עם צוות התגובה של Check Point.
למטה תוכלו לראות אנימציה יפהפייה המציגה באחוזים איזה קוד זדוני ידוע שכבר חופף לקוד שלנו (כולל הקוד עצמו ומקרואים). ניתוח זה מסופק באמצעות למידת מכונה בענן האיומים של Check Point.
לאחר מכן תוכלו לראות אילו פעילויות בארגז החול אפשרו לנו להסיק שהקובץ הזה זדוני. במקרה זה, אנו רואים שימוש בטכניקות עקיפה וניסיון להוריד מצפנים:
ניתן לציין שבמקרה זה האמולציה בוצעה בשתי מערכות (Win 7, Win XP) ובגרסאות שונות של תוכנה (Office, Adobe). להלן סרטון (מצגת) עם תהליך פתיחת קובץ זה בארגז החול:
דוגמה לסרטון:
ממש בסוף נוכל לראות בפירוט כיצד התפתחה ההתקפה. בין אם בטבלה או בצורה גרפית:
שם נוכל גם להוריד מידע זה בפורמט RAW וקובץ pcap לניתוח מפורט של התעבורה שנוצרה ב-Wireshark:
מסקנה
בעזרת מידע זה, תוכלו לחזק משמעותית את הגנת הרשת שלכם. לחסום מארחי הפצת וירוסים, לסגור פגיעויות מנוצלות, לחסום משוב אפשרי באמצעות C&C ועוד. אל תזניחו את הניתוח הזה.
במאמרים עתידיים נסקור באופן דומה את דוחות SandBlast Agent, SnadBlast Mobile ו-CloudGiard SaaS. אז הישארו מעודכנים (, , , )!
מקור: www.habr.com
