Selamat datang ke siri artikel baharu, kali ini mengenai topik penyiasatan insiden, khususnya analisis perisian hasad menggunakan forensik Check Point. Kami sebelum ini menerbitkan bekerja dalam Acara Pintar, tetapi kali ini kita akan melihat laporan forensik tentang acara tertentu dalam produk Check Point yang berbeza:
Mengapa analisis forensik kejadian yang dicegah penting? Ia mungkin kelihatan seperti anda telah menangkap virus, jadi mengapa perlu bersusah payah menanganinya? Pengalaman menunjukkan bahawa penting bukan sahaja untuk menyekat serangan tetapi juga untuk memahami cara ia berfungsi: apakah titik masuknya, apakah kerentanan yang dieksploitasi, apakah proses yang terlibat, sama ada pendaftaran dan sistem fail telah terjejas, jenis virus apa itu, kemungkinan kerosakan yang disebabkannya, dsb. Ini dan data berguna yang lain boleh diperoleh daripada laporan forensik Check Point yang komprehensif (kedua-dua teks dan grafik). Mendapatkan laporan sedemikian secara manual adalah sangat sukar. Data ini kemudiannya boleh membantu anda mengambil tindakan yang sewajarnya dan menghalang serangan serupa daripada berjaya pada masa hadapan. Hari ini, kita akan melihat laporan forensik Rangkaian Check Point SandBlast.
Rangkaian SandBlast
Menggunakan kotak pasir untuk mengukuhkan keselamatan perimeter rangkaian telah lama menjadi perkara biasa dan sama pentingnya dengan komponen IPS. Fungsi kotak pasir Check Point dikendalikan oleh bilah Emulasi Ancaman, yang merupakan sebahagian daripada teknologi SandBlastnya (yang turut merangkumi Pengekstrakan Ancaman). Kami telah menerbitkan artikel ini sebelum ini. Kembali ke Gaia versi 77.30 (Saya sangat mengesyorkan menontonnya jika anda tidak faham apa yang kami bincangkan). Dari perspektif seni bina, tiada apa yang berubah secara asas sejak itu. Jika anda telah memasang Check Point Gateway pada perimeter rangkaian anda, anda mempunyai dua pilihan untuk penyepaduan kotak pasir:
- Perkakas Tempatan SandBlast — perkakas SandBlast tambahan dipasang pada rangkaian anda, yang mana fail dihantar untuk analisis.
- Awan SandBlast — fail dihantar ke awan Check Point untuk analisis.
Kotak pasir boleh dianggap sebagai barisan pertahanan terakhir pada perimeter rangkaian. Ia diaktifkan hanya selepas analisis oleh alat tradisional, seperti perisian antivirus dan IPS. Walaupun alat berasaskan tandatangan tradisional tidak memberikan analisis, kotak pasir boleh memberikan maklumat terperinci tentang sebab fail disekat dan aktiviti hasad yang dilakukannya. Laporan forensik ini boleh diperolehi daripada kotak pasir tempatan dan berasaskan awan.
Laporan Forensik Check Point
Katakan anda, sebagai pakar keselamatan maklumat, datang bekerja dan membuka papan pemuka SmartConsole. Anda melihat insiden selama 24 jam yang lalu dan perhatian anda tertuju kepada peristiwa Emulasi Ancaman—serangan paling berbahaya yang tidak disekat oleh analisis tandatangan.
Anda boleh menelusuri acara ini dan melihat semua log untuk bilah Emulasi Ancaman.
Selepas ini, anda boleh menapis log selanjutnya mengikut tahap keterukan ancaman (Keterukan), serta oleh Tahap Keyakinan (kebolehpercayaan pencetus):
Dengan mengembangkan acara yang kami minati, kami boleh melihat maklumat umum (src, dst, keterukan, penghantar, dll.):
Dan di sana anda juga boleh melihat bahagian forensik dengan boleh diakses Ringkasan laporan. Mengklik padanya akan membuka analisis terperinci perisian hasad sebagai halaman HTML interaktif:
(Ini adalah sebahagian daripada halaman. )
Daripada laporan yang sama ini, kami boleh memuat turun perisian hasad asal (dalam arkib yang dilindungi kata laluan) atau segera menghubungi pasukan respons Check Point.
Di bawah, anda boleh melihat animasi cantik yang menunjukkan peratusan perisian hasad yang diketahui padanan sampel kami (termasuk kod itu sendiri dan makro). Analisis ini disediakan menggunakan pembelajaran mesin dalam Awan Ancaman Titik Semak.
Anda kemudian boleh melihat aktiviti kotak pasir tertentu yang membawa kepada kesimpulan bahawa fail ini berniat jahat. Dalam kes ini, kami melihat penggunaan teknik pengelakan dan percubaan untuk memuat turun perisian tebusan:
Anda dapat melihat bahawa dalam kes ini, emulasi dilakukan pada dua sistem (Win 7, Win XP) dan versi perisian yang berbeza (Office, Adobe). Di bawah ialah video (tayangan slaid) yang menunjukkan proses membuka fail ini dalam kotak pasir:
Contoh video:
Pada penghujungnya, kita boleh melihat perkembangan serangan secara terperinci, sama ada dalam bentuk jadual atau grafik:
Kami juga boleh memuat turun maklumat ini dalam format RAW dan fail pcap untuk analisis terperinci trafik yang dijana dalam Wireshark:
Kesimpulan
Menggunakan maklumat ini, anda boleh mengukuhkan keselamatan rangkaian anda dengan ketara. Anda boleh menyekat hos pengedaran virus, menambal kelemahan yang dieksploitasi, menyekat maklum balas berpotensi kepada C&C dan banyak lagi. Analitis ini tidak boleh diabaikan.
Dalam artikel akan datang, kami juga akan meliputi laporan SandBlast Agent, SnadBlast Mobile dan CloudGiard SaaS. Jadi nantikan (, , , )!
Sumber: www.habr.com
