Жаңы макалалар сериясына кош келиңиз, бул жолу окуяны иликтөө темасында, тактап айтканда, Check Point криминалистикасынын жардамы менен зыяндуу программаларды талдоо. Биз мурда жарыялаганбыз Smart Eventте иштөө боюнча, бирок бул жолу биз ар кандай Check Point өнүмдөрүндөгү конкреттүү окуялар боюнча криминалистикалык отчетторду карайбыз:
Эмне үчүн инциденттерди алдын алуу боюнча соттук экспертиза маанилүү? Сиз вирусту жуктуруп алдыңыз окшойт, бул жакшы, эмне үчүн аны менен күрөшүү керек? Практика көрсөткөндөй, чабуулду бөгөттөө гана эмес, анын кантип иштээрин түшүнүү да жөндүү: кирүү чекити эмне болгон, кандай аялуу жер колдонулган, кандай процесстер тартылган, реестр жана файл системасы жабыркап жатабы, кайсы үй-бүлө вирустар, кандай потенциалдуу зыян ж.б. Бул жана башка пайдалуу маалыматтарды Check Point'тин ар тараптуу криминалистикалык отчетторунан (тексттик жана графикалык) алууга болот. Мындай отчетту кол менен алуу абдан кыйын. Бул маалыматтар андан кийин тийиштүү чараларды көрүүгө жана келечекте ушуга окшогон чабуулдардын ийгиликтүү болушуна жол бербөөгө жардам берет. Бүгүн биз Check Point SandBlast Network криминалистикалык отчетун карайбыз.
SandBlast Network
Тармактын периметрин коргоону күчөтүү үчүн кумкоргондорду колдонуу көптөн бери эле кеңири таралган жана IPS сыяктуу милдеттүү компонент болуп саналат. Текшерүү пунктунда, SandBlast технологияларынын бир бөлүгү болгон Threat Emululation blade (Treat Extraction да бар) кум кутусунун иштеши үчүн жооптуу. Буга чейин жарыялаганбыз ошондой эле Gaia 77.30 версиясы үчүн (эгер сиз азыр эмне жөнүндө сөз болуп жатканыбызды түшүнбөсөңүз, аны көрүүнү сунуштайм). Архитектуралык көз караштан алганда, андан бери эч нерсе түп тамырынан бери өзгөргөн жок. Тармагыңыздын периметринде Check Point Gateway бар болсо, анда сиз кумдук чөйрө менен интеграциялоо үчүн эки вариантты колдоно аласыз:
- SandBlast жергиликтүү шайман — тармакка кошумча SandBlast аппараты орнотулган, ага файлдар талдоо үчүн жөнөтүлөт.
- SandBlast Cloud — файлдар Check Point булутуна талдоо үчүн жөнөтүлөт.
Кумдук тармактын периметри боюнча коргонуунун акыркы линиясы катары каралышы мүмкүн. Ал классикалык каражаттар менен анализден кийин гана туташат - антивирус, IPS. Жана эгерде мындай салттуу кол коюу куралдары дээрлик эч кандай аналитиканы камсыз кылбаса, анда кумдук мейкиндик файл эмне үчүн бөгөттөлгөндүгүн жана анын кандай зыяндуу экенин майда-чүйдөсүнө чейин "айтып бере алат". Бул соттук экспертизанын отчетун жергиликтүү жана булут кум чөйрөсүнөн алууга болот.
Криминалистикалык текшерүүнүн отчету
Айталы, сиз маалыматтык коопсуздук боюнча адис катары жумушка келип, SmartConsoleдо башкаруу тактасын ачты. Дароо сиз акыркы 24 саат ичиндеги инциденттерди көрөсүз жана сиздин көңүлүңүздү Threat Emulation окуяларына бурасыз - кол талдоо менен бөгөттөлбөгөн эң коркунучтуу чабуулдар.
Сиз бул окуяларды "төмөндөп" жана Threat Emulation blade үчүн бардык журналдарды көрө аласыз.
Андан кийин, сиз кошумча журналдарды коркунучтун критикалык деңгээли (Катуулугу), ошондой эле ишеним деңгээли (жооптун ишенимдүүлүгү) боюнча чыпкалай аласыз:
Бизди кызыктырган окуяны кеңейтип, биз жалпы маалымат менен тааныша алабыз (src, dst, оордук, жөнөтүүчү ж.б.):
Жана ал жерде сиз бөлүмдү көрө аласыз Соттук-медициналык экспертиза жеткиликтүү менен Жыйынтык отчет. Аны чыкылдатуу интерактивдүү HTML баракчасы түрүндө кесепеттүү программанын деталдуу талдоосун ачат:
(Бул барактын бир бөлүгү. )
Ошол эле отчеттон биз оригиналдуу зыяндуу программаны (парол менен корголгон архивде) жүктөй алабыз же дароо Check Point жооп берүү тобуна кайрылсак болот.
Төмөндө сиз биздин инстанциябызга белгилүү зыяндуу кодду (анын ичинде коддун өзүн жана макросторду) пайыздык көрсөткүчтө көрсөткөн кооз анимацияны көрө аласыз. Бул аналитика Check Point Threat Булутунда машина үйрөнүү аркылуу жеткирилет.
Ошондо сиз кумкоргондогу кандай аракеттер бул файл зыяндуу деген тыянак чыгарууга мүмкүндүк бергенин так көрө аласыз. Бул учурда, биз айланып өтүү ыкмаларын колдонууну жана ransomware жүктөп алуу аракетин көрөбүз:
Белгилей кетсек, бул учурда эмуляция эки системада (Win 7, Win XP) жана программалык камсыздоонун ар кандай версияларында (Office, Adobe) жүргүзүлгөн. Төмөндө бул файлды кумкоргондо ачуу процесси менен видео (слайд-шоу) бар:
Мисал видео:
Эң аягында кол салуунун кандайча өнүгүп кеткенин майда-чүйдөсүнө чейин көрө алабыз. Таблица түрүндө же графикалык түрдө:
Ал жерден биз бул маалыматты RAW форматында жана Wiresharkта түзүлгөн трафиктин деталдуу аналитикасы үчүн pcap файлын жүктөй алабыз:
жыйынтыктоо
Бул маалыматты колдонуу менен сиз тармактын коргоосун олуттуу түрдө күчөтө аласыз. Вирус таратуучу хостторду бөгөттөө, пайдаланылган аялуу жерлерди жабуу, C&Cден мүмкүн болгон пикирлерди бөгөттөө жана башка көптөгөн нерселер. Бул анализди көңүл сыртында калтырбоо керек.
Кийинки макалаларда биз SandBlast Agent, SnadBlast Mobile, ошондой эле CloudGiard SaaS отчетторун карап чыгабыз. Андыктан күтө туруңуз (, , , )!
Source: www.habr.com