Жаңа мақалалар сериясына қош келдіңіз, бұл жолы оқыс оқиғаны зерттеу тақырыбы, атап айтқанда Check Point криминалистикасының көмегімен зиянды бағдарламаларды талдау. Біз бұрын жариялаған болатынбыз Smart Event-те жұмыс істеу туралы, бірақ бұл жолы біз әртүрлі Check Point өнімдеріндегі нақты оқиғалар туралы криминалистикалық есептерді қарастырамыз:
Неліктен оқиғаның алдын алу криминалистика маңызды? Сіз вирусты жұқтырған сияқтысыз, ол жақсы, онымен неге күресу керек? Тәжірибе көрсеткендей, шабуылды бұғаттау ғана емес, сонымен қатар оның қалай жұмыс істейтінін түсіну керек: кіру нүктесі қандай болды, қандай осалдық пайдаланылды, қандай процестер қатысады, тізілім мен файлдық жүйе әсер етті ме, қандай отбасы. вирустар, қандай ықтимал зақым және т.б.. Осы және басқа да пайдалы деректерді Check Point компаниясының жан-жақты криминалистикалық есептерінен (мәтіндік және графикалық) алуға болады. Мұндай есепті қолмен алу өте қиын. Бұл деректер сәйкес әрекетті жасауға және болашақта ұқсас шабуылдардың сәтті болуының алдын алуға көмектеседі. Бүгін біз Check Point SandBlast Network сот сараптамасының есебін қарастырамыз.
SandBlast желісі
Желінің периметрін қорғауды күшейту үшін құм жәшіктерін пайдалану көптен бері үйреншікті жағдайға айналды және IPS сияқты міндетті компонент болып табылады. Тексеру нүктесінде SandBlast технологияларының бөлігі болып табылатын Қауіпті эмуляциялау тақтасы (қатерлерді шығару да бар) құм жәшігінің функционалдығы үшін жауап береді. Біз бұған дейін жариялағанбыз сонымен қатар Gaia 77.30 нұсқасы үшін (қазір не туралы айтып жатқанымызды түсінбесеңіз, оны көруге кеңес беремін). Архитектуралық тұрғыдан алғанда, содан бері түбегейлі ештеңе өзгерген жоқ. Егер желіңіздің периметрінде Check Point Gateway болса, құм жәшігімен біріктірудің екі опциясын пайдалануға болады:
- SandBlast жергілікті құрылғысы — файлдар талдауға жіберілетін желіде қосымша SandBlast құрылғысы орнатылған.
- SandBlast бұлты — файлдар Check Point бұлтына талдауға жіберіледі.
Құм жәшігін желі периметрі бойынша соңғы қорғаныс сызығы деп санауға болады. Ол классикалық құралдар - антивирус, IPS арқылы талдаудан кейін ғана қосылады. Ал егер мұндай дәстүрлі қолтаңба құралдары іс жүзінде ешқандай аналитиканы қамтамасыз етпесе, онда құмсалғыш файлдың не үшін бұғатталғанын және оның қандай зиянды әрекет ететінін егжей-тегжейлі «айтып бере алады». Бұл сот сараптамасының есебін жергілікті және бұлттық құм жәшігінен алуға болады.
Тексеру нүктесінің сот сараптамасының есебі
Сіз ақпараттық қауіпсіздік маманы ретінде жұмысқа келіп, SmartConsole жүйесінде бақылау тақтасын аштыңыз делік. Сіз бірден соңғы 24 сағаттағы оқиғаларды көресіз және сіздің назарыңызды Қауіпті эмуляциялау оқиғаларына аударасыз - қолтаңбаны талдау арқылы бұғатталмаған ең қауіпті шабуылдар.
Сіз осы оқиғаларға «төмен қарай» аласыз және Қауіпті эмуляция жолағына арналған барлық журналдарды көре аласыз.
Осыдан кейін журналдарды қауіп сыни деңгейі (ауырлық), сондай-ақ сенімділік деңгейі (жауап сенімділігі) бойынша қосымша сүзуге болады:
Бізді қызықтыратын оқиғаны кеңейте отырып, біз жалпы ақпаратпен (src, dst, ауырлық дәрежесі, жіберуші және т.б.) таныса аламыз:
Онда сіз бөлімді көре аласыз Сот сараптамасы қол жетімді қысқаша мазмұндама есеп беру. Оны басу интерактивті HTML беті түрінде зиянды бағдарламаның егжей-тегжейлі талдауын ашады:
(Бұл беттің бөлігі. )
Сол есептен біз бастапқы зиянды бағдарламаны жүктей аламыз (құпия сөзбен қорғалған мұрағатта) немесе дереу Check Point жауап беру тобына хабарласа аламыз.
Дәл төменде сіз біздің данамызға ортақ зиянды кодты (кодтың өзі мен макростарды қоса) пайызбен көрсететін әдемі анимацияны көре аласыз. Бұл талдаулар Check Point Threat бұлтында машиналық оқыту арқылы жеткізіледі.
Содан кейін сіз құм жәшігіндегі қандай әрекеттер бұл файлды зиянды деп қорытындылауға мүмкіндік бергенін көре аласыз. Бұл жағдайда біз айналып өту әдістерін қолдануды және төлемдік бағдарламаны жүктеу әрекетін көреміз:
Бұл жағдайда эмуляция екі жүйеде (Win 7, Win XP) және әртүрлі бағдарламалық жасақтама нұсқаларында (Office, Adobe) жүргізілгенін атап өтуге болады. Төменде осы файлды құм жәшігінде ашу процесі бар бейне (слайд-шоу) бар:
Бейне мысалы:
Соңында біз шабуылдың қалай дамығанын егжей-тегжейлі көре аламыз. Кесте түрінде немесе графикалық түрде:
Ол жерде біз бұл ақпаратты RAW пішімінде және Wireshark-те жасалған трафиктің егжей-тегжейлі талдауы үшін pcap файлында жүктей аламыз:
қорытынды
Бұл ақпаратты пайдалана отырып, сіз желіңізді қорғауды айтарлықтай күшейте аласыз. Вирус тарату хосттарын бұғаттау, пайдаланылған осалдықтарды жабу, C&C-тен ықтимал кері байланысты блоктау және т.б. Бұл талдауды елемеуге болмайды.
Келесі мақалаларда біз SandBlast Agent, SnadBlast Mobile, сондай-ақ CloudGiard SaaS есептерін қарастырамыз. Сондықтан хабардар болыңыз (, , , )!
Ақпарат көзі: www.habr.com