Жаңа мақалалар сериясына қош келдіңіздер, бұл жолы оқиғаларды тергеу, атап айтқанда Check Point криминалистикасын қолдана отырып зиянды бағдарламаларды талдау тақырыбына арналған мақалалар сериясы. Біз бұрын жариялаған Smart Event бағдарламасында жұмыс істеу туралы, бірақ бұл жолы біз әртүрлі Check Point өнімдеріндегі нақты оқиғалар бойынша сот-медициналық сараптама есептерін қарастырамыз:
Алдын алынған оқиғаларды сот-медициналық талдау неліктен маңызды? Вирус жұқтырғандай көрінуі мүмкін, сондықтан онымен күресудің қажеті не? Тәжірибе көрсеткендей, шабуылды бұғаттау ғана емес, сонымен қатар оның қалай жұмыс істейтінін түсіну де маңызды: кіру нүктесі қандай болды, қандай осалдық пайдаланылды, қандай процестер қатысты, тізілім мен файлдық жүйеге әсер етілді ме, қандай вирустар тұқымдасы болды, қандай ықтимал залал келтірді және т.б. Осы және басқа да пайдалы деректерді Check Point кешенді сот-медициналық есептерінен (мәтіндік және графикалық) алуға болады. Мұндай есепті қолмен алу өте қиын. Бұл деректер сізге тиісті шаралар қабылдауға және болашақта осындай шабуылдардың сәтті болуына жол бермеуге көмектеседі. Бүгін біз Check Point SandBlast Network сот-медициналық есебін қарастырамыз.
SandBlast желісі
Желі периметрінің қауіпсіздігін күшейту үшін құм жәшіктерін пайдалану ұзақ уақыт бойы кең таралған және IPS сияқты маңызды құрамдас бөлік болып табылады. Check Point құм жәшігінің функционалдығы SandBlast технологияларының бөлігі болып табылатын (бұл технологияға Threat Extraction кіреді) Threat Emulation blade арқылы өңделеді. Біз бұл мақаланы бұрын жариялаған болатынбыз. Gaia 77.30 нұсқасына оралайық (егер сіз не туралы айтып отырғанымызды түсінбесеңіз, оны көруге кеңес беремін). Сәулет тұрғысынан алғанда, содан бері ештеңе түбегейлі өзгерген жоқ. Егер сіздің желіңіздің периметріне Check Point Gateway орнатылған болса, сізде құм жәшігін біріктірудің екі нұсқасы бар:
- SandBlast жергілікті тұрмыстық техникасы — желіңізде қосымша SandBlast құрылғысы орнатылған, оған файлдар талдау үшін жіберіледі.
- Құмды бұлт — файлдар талдау үшін Check Point бұлтына жіберіледі.
Құмсалғыш желі периметріндегі соңғы қорғаныс сызығы деп санауға болады. Ол тек антивирустық бағдарламалық жасақтама және IPS сияқты дәстүрлі құралдармен талдаудан кейін ғана іске қосылады. Дәстүрлі қолтаңбаға негізделген құралдар іс жүзінде ешқандай талдау жасамаса да, құмсалғыш файлдың неліктен бұғатталғаны және қандай зиянды әрекетті орындайтыны туралы егжей-тегжейлі ақпарат бере алады. Бұл сот-медициналық есепті жергілікті және бұлттық құмсалғыштан алуға болады.
Check Point криминалистикалық сараптамасы туралы есеп
Айталық, сіз ақпараттық қауіпсіздік маманы ретінде жұмысқа келіп, SmartConsole басқару тақтасын аштыңыз. Сіз соңғы 24 сағат ішінде болған оқиғаларды көресіз және сіздің назарыңыз қолтаңба талдауымен бұғатталмаған ең қауіпті шабуылдар - Қауіп эмуляциясы оқиғаларына аударылады.
Сіз осы оқиғаларды егжей-тегжейлі зерттеп, Threat Emulation blade үшін барлық журналдарды көре аласыз.
Осыдан кейін, журналдарды қауіп дәрежесі (Ауырлық), сондай-ақ сенімділік деңгейі (іске қосудың сенімділігі) бойынша сүзгіден өткізе аласыз:
Бізді қызықтыратын оқиғаны кеңейту арқылы біз жалпы ақпаратты (src, dst, severity, sender және т.б.) көре аламыз:
Сондай-ақ, сол жерде сіз бөлімді байқай аласыз Сот сараптамасы қолжетімді қысқаша мазмұндама есеп. Оны басу зиянды бағдарламаның интерактивті HTML беті ретіндегі егжей-тегжейлі талдауын ашады:
(Бұл парақшаның бір бөлігі. )
Осы есептен біз бастапқы зиянды бағдарламаны (құпия сөзбен қорғалған мұрағатта) жүктей аламыз немесе Check Point жауап беру тобына дереу хабарласа аламыз.
Төменде біздің үлгімізге сәйкес келетін белгілі зиянды бағдарламалардың пайызын көрсететін әдемі анимацияны көруге болады (кодтың өзі мен макростарды қоса алғанда). Бұл талдау Check Point Threat Cloud жүйесіндегі машиналық оқытуды пайдалану арқылы жүзеге асырылады.
Содан кейін сіз бұл файлдың зиянды деген қорытындыға әкелген нақты құмсалғыш әрекетін көре аласыз. Бұл жағдайда біз жалтару әдістерін және ransomware жүктеу әрекетін көреміз:
Бұл жағдайда эмуляция екі жүйеде (Win 7, Win XP) және әртүрлі бағдарламалық жасақтама нұсқаларында (Office, Adobe) орындалғанын көруге болады. Төменде осы файлды құм жәшігінде ашу процесін көрсететін бейне (слайдшоу) берілген:
Бейне мысал:
Ең соңында шабуылдың барысын кесте немесе график түрінде егжей-тегжейлі көре аламыз:
Сондай-ақ, біз бұл ақпаратты RAW форматында және Wireshark-та жасалған трафикті егжей-тегжейлі талдау үшін pcap файлын жүктей аламыз:
қорытынды
Бұл ақпаратты пайдалана отырып, сіз желіңіздің қауіпсіздігін айтарлықтай нығайта аласыз. Вирус тарату хосттарын бұғаттауға, пайдаланылған осалдықтарды түзетуге, C&C-ге ықтимал кері байланысты бұғаттауға және тағы басқаларға қол жеткізе аласыз. Бұл аналитиканы елемеуге болмайды.
Болашақ мақалаларда біз SandBlast Agent, SnadBlast Mobile және CloudGiard SaaS есептерін де осыған ұқсас қарастырамыз. Сондықтан бізбен бірге болыңыз (, , , )!
Ақпарат көзі: www.habr.com
