Laipni lūdzam jaunā rakstu sērijā, šoreiz par incidentu izmeklēšanas tēmu, proti, ļaunprātīgas programmatūras analīzi, izmantojot Check Point kriminālistikas. Mēs iepriekš publicējām par darbu Smart Event, bet šoreiz apskatīsim kriminālistikas ziņojumus par konkrētiem notikumiem dažādos Check Point produktos:
Kāpēc incidentu novēršanas kriminālistika ir svarīga? Šķiet, ka esat noķēris vīrusu, tas jau ir labi, kāpēc ar to rīkoties? Kā liecina prakse, ir ieteicams ne tikai bloķēt uzbrukumu, bet arī precīzi saprast, kā tas darbojas: kāds bija ieejas punkts, kāda ievainojamība tika izmantota, kādi procesi ir iesaistīti, vai tiek ietekmēta reģistra un failu sistēma, kāda ģimene par vīrusiem, kādiem iespējamiem bojājumiem utt. Šos un citus noderīgus datus var iegūt no Check Point visaptverošajiem kriminālistikas pārskatiem (gan teksta, gan grafiskiem). Ir ļoti grūti iegūt šādu ziņojumu manuāli. Šie dati var palīdzēt veikt atbilstošus pasākumus un novērst līdzīgu uzbrukumu veiksmīgu iznākumu nākotnē. Šodien mēs apskatīsim Check Point SandBlast tīkla kriminālistikas ziņojumu.
SandBlast tīkls
Smilškastes izmantošana tīkla perimetra aizsardzības stiprināšanai jau sen ir ierasta lieta un ir tikpat obligāta sastāvdaļa kā IPS. Check Point par smilškastes funkcionalitāti atbild Threat Emulation asmens, kas ir daļa no SandBlast tehnoloģijām (ir arī Threat Extraction). Mēs jau esam publicējuši iepriekš arī versijai Gaia 77.30 (ļoti iesaku to noskatīties, ja nesaprotat, par ko mēs tagad runājam). No arhitektūras viedokļa kopš tā laika nekas būtiski nav mainījies. Ja jūsu tīkla perimetrā ir Check Point Gateway, varat izmantot divas iespējas integrācijai ar smilškaste:
- SandBlast vietējā iekārta — jūsu tīklā ir instalēta papildu SandBlast ierīce, uz kuru tiek nosūtīti faili analīzei.
- SandBlast mākonis — faili tiek nosūtīti analīzei uz Check Point mākoni.
Smilšu kasti var uzskatīt par pēdējo aizsardzības līniju tīkla perimetrā. Tas savienojas tikai pēc analīzes ar klasiskajiem līdzekļiem - antivīrusu, IPS. Un, ja šādi tradicionālie parakstu rīki nesniedz praktiski nekādu analīzi, tad smilškaste var detalizēti “pastāstīt”, kāpēc fails tika bloķēts un ko tieši tas dara. Šo kriminālistikas ziņojumu var iegūt gan vietējā, gan mākoņa smilšu kastē.
Check Point kriminālistikas ziņojums
Pieņemsim, ka jūs kā informācijas drošības speciālists atnācāt uz darbu un atvērāt informācijas paneli programmā SmartConsole. Nekavējoties redzat incidentus pēdējo 24 stundu laikā, un jūsu uzmanība tiek pievērsta draudu emulācijas notikumiem — visbīstamākajiem uzbrukumiem, kas netika bloķēti ar parakstu analīzi.
Varat “iedziļināties” šajos notikumos un skatīt visus draudu emulācijas asmens žurnālus.
Pēc tam varat papildus filtrēt žurnālus pēc draudu kritiskuma līmeņa (nopietnības), kā arī pēc uzticamības līmeņa (reakcijas uzticamība):
Paplašinot mūs interesējošo pasākumu, varam iepazīties ar vispārīgo informāciju (src, dst, smaguma pakāpe, sūtītājs utt.):
Un tur jūs varat redzēt sadaļu kriminālistikas ar pieejamo Kopsavilkums Ziņot. Noklikšķinot uz tā, tiks atvērta detalizēta ļaunprātīgas programmatūras analīze interaktīvas HTML lapas veidā:
(Šī ir lapas daļa. )
No tā paša ziņojuma mēs varam lejupielādēt oriģinālo ļaunprogrammatūru (ar paroli aizsargātā arhīvā) vai nekavējoties sazināties ar Check Point atbildes komandu.
Tieši zemāk ir redzama skaista animācija, kas procentos parāda, kurš jau zināmais kaitīgais kods ir kopīgs mūsu instancei (ieskaitot pašu kodu un makro). Šī analīze tiek nodrošināta, izmantojot mašīnmācīšanos Check Point Threat Cloud.
Tad jūs varat precīzi redzēt, kādas darbības smilškastes ļāva mums secināt, ka šis fails ir ļaunprātīgs. Šajā gadījumā mēs redzam apiešanas paņēmienu izmantošanu un mēģinājumu lejupielādēt izspiedējvīrusu:
Var atzīmēt, ka šajā gadījumā emulācija tika veikta divās sistēmās (Win 7, Win XP) un dažādās programmatūras versijās (Office, Adobe). Zemāk ir video (slaidrāde) ar šī faila atvēršanas procesu smilšu kastē:
Video piemērs:
Pašās beigās mēs varam detalizēti redzēt, kā uzbrukums attīstījās. Tabulas veidā vai grafiski:
Tur mēs varam lejupielādēt šo informāciju RAW formātā un pcap failu, lai iegūtu detalizētu Wireshark ģenerētās trafika analīzi:
Secinājums
Izmantojot šo informāciju, jūs varat ievērojami pastiprināt sava tīkla aizsardzību. Bloķējiet vīrusu izplatīšanas saimniekdatorus, aizveriet izmantotās ievainojamības, bloķējiet iespējamās atsauksmes no C&C un daudz ko citu. Šo analīzi nevajadzētu atstāt novārtā.
Nākamajos rakstos mēs līdzīgi aplūkosim SandBlast Agent, SnadBlast Mobile, kā arī CloudGiard SaaS ziņojumus. Tāpēc sekojiet līdzi informācijai (, , , )!
Avots: www.habr.com