Hûn bi xêr hatin rêzikek nû ya gotaran, vê carê li ser mijara lêpirsîna bûyerê, ango analîzkirina malware bi karanîna dadweriya Check Point. Me berê çap kiribû li ser xebata di Smart Event de, lê vê carê em ê li raporên dadrêsî yên li ser bûyerên taybetî yên di hilberên cihêreng ên Check Point de binêrin:
Çima edlî pêşîlêgirtina bûyerê girîng e? Wusa dixuye ku we vîrus girtiye, jixwe baş e, çima bi wê re mijûl bibin? Wekî ku pratîk destnîşan dike, tê pêşniyar kirin ku ne tenê êrîşek asteng bikin, lê di heman demê de bi rastî jî fêm bikin ka ew çawa dixebite: xala têketinê çi bû, çi qelsî hate bikar anîn, çi pêvajo tê de ne, gelo qeyd û pergala pelan bandor dibe, çi malbat yên vîrusan, çi zirarên potansiyel, hwd. Ev û daneyên din ên kêrhatî dikarin ji raporên dadrêsî yên berfireh ên Check Point (hem nivîs û hem jî grafîkî) werin bidestxistin. Pir zehmet e ku bi destan raporek weha bi dest bixe. Dûv re ev dane dikare bibe alîkar ku tedbîrên guncav bigirin û pêşî li serkeftinên bi vî rengî di pêşerojê de bigirin. Îro em ê li rapora dadrêsî ya Tora Check Point SandBlast binêrin.
Tora SandBlast
Bikaranîna sandboxan ji bo xurtkirina parastina perimeterê torê ji mêj ve bûye gelemperî û bi qasî IPS-ê hêmanek mecbûrî ye. Li Check Point, blade Emulation Threat, ku beşek ji teknolojiyên SandBlast e (di heman demê de Derxistina Tehdîdê jî heye), ji fonksiyona sandboxê berpirsiyar e. Me berê jî çap kiribû di heman demê de ji bo guhertoya Gaia 77.30 jî (Ez bi tundî pêşniyar dikim ku hûn lê temaşe bikin ger hûn fêm nakin ka em niha li ser çi diaxivin). Ji hêla mîmarî ve, ji wê demê ve tiştek bingehîn nehatiye guhertin. Ger li ser perimetra tora we dergehek Check Point heye, wê hingê hûn dikarin du vebijarkan ji bo entegrasyonê bi sandbox re bikar bînin:
- SandBlast Local Appliance - Li ser tora we amûrek SandBlast ya din hatî saz kirin, ku pel ji bo analîzê jê re têne şandin.
- SandBlast Cloud - Pelên ji bo analîzê ji ewrê Check Point re têne şandin.
Sandbox dikare xeta paşîn a parastinê li perimetra torê were hesibandin. Ew tenê piştî analîzê bi rêgezên klasîk ve girêdayî ye - antivirus, IPS. Û heke amûrên bi vî rengî yên îmzeya kevneşopî bi pratîkî ti analîtîk peyda nakin, wê hingê sandbox dikare bi hûrgulî "bibêje" çima pel hate asteng kirin û ew bi rastî çi xirab dike. Ev rapora dadrêsî dikare hem ji sandboxek herêmî û hem jî ji ewr were wergirtin.
Rapora Edlî ya Xalê kontrol bikin
Em bibêjin hûn, wekî pisporek ewlehiya agahdariyê, hatine ser kar û di SmartConsole de dashboardek vekiriye. Tavilê hûn bûyerên 24 saetên dawîn dibînin û bala we dikişîne ser bûyerên Emûlasyona Gefê - êrîşên herî xeternak ên ku ji hêla analîza îmzeyê ve nehatine asteng kirin.
Hûn dikarin di van bûyeran de "biqedînin" û hemî têketinên ji bo blade Emulation Threat bibînin.
Piştî vê yekê, hûn dikarin têketinên din ji hêla asta krîtîkbûna xetereyê (Zindî), û hem jî ji hêla Asta Baweriyê (pêbaweriya bersivê) ve fîlter bikin:
Piştî ku bûyera ku em jê re eleqedar in berfireh kirin, em dikarin bi agahdariya gelemperî (src, dst, giranî, şander, hwd.) nas bikin:
Û li wir hûn dikarin beşê bibînin Forensics bi berdest Berhevkirinî nûçe. Bi tikandina wê dê di forma rûpelek HTML ya înteraktîf de analîzek berfireh a malware veke:
(Ev beşek ji rûpelê ye. )
Ji heman raporê, em dikarin malwareya orîjînal dakêşînin (di arşîvek parastî ya şîfreyê de), an tavilê bi tîmê bersivê ya Check Point re têkilî daynin.
Hema li jêr hûn dikarin anîmasyonek xweşik bibînin ku bi rêjeya ji sedî nîşan dide ku koda xirab a ku berê naskirî ye mînaka me ya hevpar (tevî koda xwe û makroyan). Van analîtîk bi karanîna fêrbûna makîneyê di Check Point Threat Cloud de têne radest kirin.
Wê hingê hûn dikarin tam bibînin ka çi çalakiyên di sandboxê de hişt ku em encam bidin ku ev pel xirab e. Di vê rewşê de, em karanîna teknîkên derbazkirinê û hewldanek dakêşana ransomware dibînin:
Dikare were zanîn ku di vê rewşê de, emûlasyon di du pergalên (Win 7, Win XP) û guhertoyên nermalava cihêreng (Office, Adobe) de hate kirin. Li jêr vîdyoyek (slide show) bi pêvajoya vekirina vê pelê di sandboxê de heye:
Mînak vîdyoyê:
Di dawiyê de em dikarin bi berfirehî bibînin ka êrîş çawa pêşket. Bi forma tabloyî an grafîkî:
Li wir em dikarin vê agahiyê bi formata RAW û pelek pcap dakêşin ji bo analîtîkên hûrgulî yên seyrûsefera hatî çêkirin li Wireshark:
encamê
Bi karanîna vê agahiyê, hûn dikarin bi girîngî parastina tora xwe xurt bikin. Mêvandarên belavkirina vîrusê asteng bikin, qelsiyên îstîsmarkirî bigirin, bertekên gengaz ên ji C&C û hêj bêtir asteng bikin. Divê ev analîz neyê paşguh kirin.
Di gotarên jêrîn de, em ê bi heman rengî li raporên SandBlast Agent, SnadBlast Mobile, û her weha CloudGiard SaaS binêrin. Ji ber vê yekê hişyar bimînin (, , , )!
Source: www.habr.com
