Wëllkomm op enger neier Serie vun Artikelen, dës Kéier iwwer d'Thema vun der Tëschefall Enquête, nämlech Malware Analyse mat Check Point Forensik. Mir publizéiert virdrun
Firwat ass Incident Preventioun Forensik wichteg? Et géif schéngen datt Dir de Virus gefaang hutt, et ass scho gutt, firwat mat et ëmgoen? Wéi d'Praxis weist, ass et unzeroden net nëmmen en Attack ze blockéieren, awer och genee ze verstoen wéi et funktionnéiert: wat den Entrée war, wéi eng Schwachstelle benotzt gouf, wéi eng Prozesser involvéiert sinn, ob de Registry an de Dateiesystem betraff sinn, wéi eng Famill vun Viren, wat potentiell Schued, etc. Dës an aner nëtzlech Donnéeën kënnen aus Check Point iwwergräifend Forensik Berichter kritt ginn (souwuel Text a grafesch). Et ass ganz schwéier esou e Bericht manuell ze kréien. Dës Donnéeë kënnen dann hëllefe passend Handlung ze huelen an ähnlech Attacken an Zukunft ze verhënneren. Haut wäerte mir de Check Point SandBlast Network Forensik Bericht kucken.
SandBlast Network
D'Benotzung vu Sandkëschte fir de Schutz vum Netzperimeter ze stäerken ass laang allgemeng an ass esou obligatoresch Komponent wéi IPS. Um Check Point ass d'Threat Emulation Blade, déi Deel vun de SandBlast Technologien ass (et gëtt och Threat Extraction), verantwortlech fir d'Sandbox Funktionalitéit. Mir hu scho virdru publizéiert
- SandBlast Lokal Apparat - en zousätzleche SandBlast Apparat ass op Ärem Netz installéiert, op déi Dateie fir Analyse geschéckt ginn.
- SandBlast Cloud - Dateie gi fir Analyse an d'Check Point Cloud geschéckt.
D'Sandkëscht kann als lescht Verteidegungslinn um Netzperimeter ugesi ginn. Et verbënnt nëmmen no Analyse duerch klassesch Mëttelen - Antivirus, IPS. A wann esou traditionell Ënnerschrëft Tools praktesch keng Analyse ubidden, da kann d'Sandkëscht am Detail "soen" firwat d'Datei blockéiert gouf a wat genee béiswëlleg et mécht. Dëse Forensik Bericht kann aus enger lokaler a Wollek Sandkëscht kritt ginn.
Check Point Forensics Bericht
Loosst eis soen datt Dir als Informatiounssécherheetsspezialist op d'Aarbecht komm sidd an en Dashboard an der SmartConsole opgemaach hutt. Direkt gesitt Dir Tëschefäll fir déi lescht 24 Stonnen an Är Opmierksamkeet gëtt op Threat Emulation Eventer gezunn - déi geféierlechst Attacken déi net vun der Ënnerschrëftanalyse blockéiert goufen.
Dir kënnt an dës Eventer "drillen" an all d'Logbicher fir d'Threat Emulation Blade gesinn.
Duerno kënnt Dir d'Logbicher zousätzlech filteren no Bedrohungskritizitéitsniveau (Gravitéit), souwéi no Vertrauensniveau (Zouverlässegkeet vun der Äntwert):
Nodeems mir d'Evenement erweidert hunn, an deem mir interesséiert sinn, kënne mir d'allgemeng Informatioun (src, dst, Gravitéit, Sender, asw.):
An do kënnt Dir d'Sektioun gesinn Forensik mat verfügbar Resumé mellen. Klickt op et wäert eng detailléiert Analyse vun der Malware a Form vun enger interaktiver HTML Säit opmaachen:
(Dëst ass en Deel vun der Säit.
Vum selwechte Bericht kënne mir déi ursprénglech Malware eroflueden (an engem Passwuert-geschützt Archiv), oder direkt d'Check Point Äntwert Team kontaktéieren.
Just hei ënnen kënnt Dir eng schéi Animatioun gesinn, déi a Prozentsaz weist, dee scho bekannte béisaarteg Code eis Instanz gemeinsam huet (inklusiv de Code selwer a Makroen). Dës Analyse gi mat Maschinnléieren an der Check Point Threat Cloud geliwwert.
Da kënnt Dir genee gesinn wéi eng Aktivitéiten an der Sandkëscht eis erlaabt hunn ze schléissen datt dëse Fichier béiswëlleg ass. An dësem Fall gesi mir d'Benotzung vu Bypass-Techniken an e Versuch fir Ransomware erofzelueden:
Et kann feststellen datt an dësem Fall d'Emuléierung an zwee Systemer duerchgefouert gouf (Win 7, Win XP) a verschidde Software Versiounen (Office, Adobe). Drënner ass e Video (Slideshow) mam Prozess fir dës Datei an der Sandkëscht opzemaachen:
Beispill Video:
Ganz um Enn kënne mir am Detail gesinn wéi d'Attack sech entwéckelt huet. Entweder an Tabellform oder grafesch:
Do kënne mir dës Informatioun am RAW Format eroflueden an eng pcap Datei fir detailléiert Analyse vum generéierten Traffic am Wireshark:
Konklusioun
Mat dëser Informatioun kënnt Dir de Schutz vun Ärem Netzwierk wesentlech stäerken. Block Virusverdeelungshost, enk exploitéiert Schwachstelle, blockéiert méigleche Feedback vu C&C a vill méi. Dës Analyse soll net vernoléissegt ginn.
An de folgenden Artikelen wäerte mir ähnlech d'Berichte vum SandBlast Agent, SnadBlast Mobile, souwéi CloudGiard SaaS kucken. Also bleiwt weider (
Source: will.com