Sugeng rawuh ing seri artikel anyar, wektu iki babagan topik penyelidikan insiden, yaiku analisis malware nggunakake forensik Check Point. Kita sadurunge diterbitake nalika nggarap Acara Cerdas, nanging wektu iki kita bakal ndeleng laporan forensik babagan acara khusus ing produk Check Point sing beda:
Napa forensik pencegahan insiden penting? Kayane sampeyan wis nangkep virus, wis apik, kenapa kudu ditangani? Minangka praktik nuduhake, disaranake ora mung kanggo mblokir serangan, nanging uga ngerti persis cara kerjane: apa titik entri kasebut, kerentanan apa sing digunakake, proses apa sing ditindakake, apa registri lan sistem file kena pengaruh, kulawarga apa. saka virus, apa karusakan potensial, etc. Iki lan data migunani liyane bisa dipikolehi saka laporan forensik lengkap Check Point (loro teks lan grafis). Pancen angel banget entuk laporan kasebut kanthi manual. Data iki banjur bisa mbantu njupuk tindakan sing cocog lan nyegah serangan sing padha supaya ora bisa sukses ing mangsa ngarep. Dina iki kita bakal ndeleng laporan forensik Check Point SandBlast Network.
Jaringan SandBlast
Panggunaan kothak wedhi kanggo ngiyataken pangayoman saka perimeter jaringan wis dawa wis umum lan minangka prentah minangka komponen IPS. Ing Check Point, lading Emulasi Ancaman, sing minangka bagean saka teknologi SandBlast (ana uga Ekstraksi Ancaman), tanggung jawab kanggo fungsi kothak wedhi. Kita wis nerbitake sadurunge uga kanggo versi Gaia 77.30 (Aku banget nyaranake nonton yen sampeyan ora ngerti apa kita ngomong bab saiki). Saka sudut pandang arsitektur, ora ana owah-owahan dhasar wiwit iku. Yen sampeyan duwe Check Point Gateway ing keliling jaringan, sampeyan bisa nggunakake rong pilihan kanggo integrasi karo kothak wedhi:
- Alat Lokal SandBlast - piranti SandBlast tambahan wis diinstal ing jaringan, sing file dikirim kanggo analisis.
- Awan SandBlast - file dikirim kanggo analisis menyang maya Check Point.
Kothak wedhi bisa dianggep minangka baris pertahanan pungkasan ing keliling jaringan. Sambungake mung sawise analisis kanthi cara klasik - antivirus, IPS. Lan yen alat teken tradisional kasebut ora nyedhiyakake analitik apa wae, banjur kothak wedhi bisa "nyritakake" kanthi rinci kenapa file kasebut diblokir lan apa sing ditindakake. Laporan forensik iki bisa dipikolehi saka kothak wedhi lokal lan awan.
Laporan Forensik Check Point
Contone, sampeyan, minangka spesialis keamanan informasi, teka kerja lan mbukak dasbor ing SmartConsole. Langsung sampeyan ndeleng kedadeyan sajrone 24 jam pungkasan lan perhatian sampeyan ditarik menyang acara Emulasi Ancaman - serangan paling mbebayani sing ora diblokir dening analisis teken.
Sampeyan bisa "ngebor mudhun" menyang acara iki lan ndeleng kabeh log kanggo agul-agul Emulation Ancaman.
Sawise iki, sampeyan uga bisa nyaring log kanthi tingkat kritisitas ancaman (Keruwetan), uga Tingkat Kapercayan (reliabilitas respon):
Sawise nggedhekake acara sing dikarepake, kita bisa kenal karo informasi umum (src, dst, keruwetan, pangirim, lsp):
Lan ing kana sampeyan bisa ndeleng bagean kasebut Forensics karo kasedhiya Summary laporan. Ngeklik bakal mbukak analisis rinci babagan malware ing wangun kaca HTML interaktif:
(Iki minangka bagΓ©an saka kaca. )
Saka laporan sing padha, kita bisa ngundhuh malware asli (ing arsip sing dilindhungi sandi), utawa langsung hubungi tim respon Check Point.
Ing ngisor iki sampeyan bisa ndeleng animasi sing apik sing ditampilake kanthi persentase sing wis dingerteni kode jahat sing ana ing conto kita (kalebu kode kasebut lan makro). Analytics iki dikirim nggunakake machine learning ing Check Point Threat Cloud.
Banjur sampeyan bisa ndeleng persis apa kegiatan ing kothak wedhi ngidini kita nyimpulake yen file iki angkoro. Ing kasus iki, kita bisa ndeleng nggunakake teknik bypass lan nyoba ndownload ransomware:
Bisa dicathet yen ing kasus iki, emulasi ditindakake ing rong sistem (Win 7, Win XP) lan versi piranti lunak sing beda (Office, Adobe). Ing ngisor iki ana video (tampilan slide) kanthi proses mbukak file iki ing kothak wedhi:
Tuladha video:
Ing pungkasan kita bisa ndeleng kanthi rinci babagan serangan kasebut. Ing wangun tabel utawa grafis:
Ing kana kita bisa ndownload informasi iki ing format RAW lan file pcap kanggo analisis rinci babagan lalu lintas sing digawe ing Wireshark:
kesimpulan
Nggunakake informasi iki, sampeyan bisa kanthi signifikan ngiyataken pangayoman jaringan. Blokir host distribusi virus, nutup kerentanan sing dieksploitasi, mblokir umpan balik saka C&C lan liya-liyane. Analisis iki ora kudu dilalekake.
Ing artikel ing ngisor iki, kita uga bakal ndeleng laporan SandBlast Agent, SnadBlast Mobile, uga CloudGiard SaaS. Dadi tetep tresno (, , , )!
Source: www.habr.com