Merħba għal sensiela ġdida ta' artikli, din id-darba dwar is-suġġett ta' investigazzjoni ta' inċidenti, jiġifieri analiżi tal-malware bl-użu tal-forensika ta' Check Point. Aħna ppublikajna qabel dwar il-ħidma fi Smart Event, iżda din id-darba se nħarsu lejn rapporti forensiċi dwar avvenimenti speċifiċi fi prodotti ta’ Check Point differenti:
Għaliex hija importanti l-forensika tal-prevenzjoni tal-inċidenti? Jidher li qabad il-virus, diġà huwa tajjeb, għaliex tittrattah? Kif turi l-prattika, huwa rakkomandabbli mhux biss li timblokka attakk, iżda wkoll li tifhem eżattament kif taħdem: x'kien il-punt tad-dħul, liema vulnerabbiltà ntużat, liema proċessi huma involuti, jekk ir-reġistru u s-sistema tal-fajl humiex affettwati, liema familja tal-viruses, liema ħsara potenzjali, eċċ. Din u dejta utli oħra tista' tinkiseb mir-rapporti forensiċi komprensivi ta' Check Point (kemm bit-test kif ukoll bil-grafika). Huwa diffiċli ħafna li tikseb tali rapport manwalment. Din id-dejta mbagħad tista' tgħin biex tieħu azzjoni xierqa u tevita attakki simili milli jirnexxu fil-futur. Illum se nħarsu lejn ir-rapport tal-forensika tan-Netwerk ta' Check Point SandBlast.
Netwerk SandBlast
L-użu ta 'sandboxes biex tissaħħaħ il-protezzjoni tal-perimetru tan-netwerk ilu komuni u huwa komponent obbligatorju daqs l-IPS. F'Check Point, ix-xafra tal-Emulazzjoni tat-Theddida, li hija parti mit-teknoloġiji SandBlast (hemm ukoll Threat Extraction), hija responsabbli għall-funzjonalità tal-kaxxa tar-ramel. Aħna diġà ppublikajna qabel ukoll għall-verżjoni Gaia 77.30 (nirrakkomanda ħafna li taraha jekk ma tifhimx dwar xiex qed nitkellmu issa). Mil-lat arkitettoniku, xejn ma nbidel b’mod fundamentali minn dakinhar. Jekk għandek Check Point Gateway fuq il-perimetru tan-netwerk tiegħek, allura tista' tuża żewġ għażliet għall-integrazzjoni mas-sandbox:
- Appliance Lokali SandBlast — appliance SandBlast addizzjonali huwa installat fuq in-netwerk tiegħek, li għalih jintbagħtu l-fajls għall-analiżi.
- SandBlast Cloud — il-fajls jintbagħtu għall-analiżi lis-sħaba tal-Punt ta’ Kontroll.
Il-kaxxa tar-ramel tista 'titqies bħala l-aħħar linja ta' difiża fil-perimetru tan-netwerk. Jgħaqqad biss wara analiżi b'mezzi klassiċi - antivirus, IPS. U jekk għodod tal-firma tradizzjonali bħal dawn ma jipprovdu prattikament l-ebda analiżi, allura s-sandbox tista '"tgħid" fid-dettall għaliex il-fajl ġie mblukkat u x'jagħmel eżattament malizzjuż. Dan ir-rapport forensiku jista’ jinkiseb kemm minn sandbox lokali kif ukoll minn sħaba.
Rapport tal-Forensika tal-Punt ta' Kontroll
Ejja ngħidu li int, bħala speċjalista tas-sigurtà tal-informazzjoni, ġejt għax-xogħol u ftaħt dashboard fi SmartConsole. Minnufih tara inċidenti għall-aħħar 24 siegħa u l-attenzjoni tiegħek tinġibed għall-avvenimenti tal-Emulazzjoni tat-Theddid - l-aktar attakki perikolużi li ma ġewx imblukkati mill-analiżi tal-firma.
Tista '"drill down" f'dawn l-avvenimenti u tara r-zkuk kollha għax-xafra tal-Emulazzjoni tat-Theddida.
Wara dan, tista' wkoll tiffiltra r-reġistri skont il-livell ta' kritika tat-theddid (Severità), kif ukoll skont il-Livell ta' Kunfidenza (affidabbiltà tar-rispons):
Wara li espandew l-avveniment li aħna interessati fih, nistgħu niffamiljarizzaw ruħhom mal-informazzjoni ġenerali (src, dst, severità, mittent, eċċ.):
U hemm tista 'tara t-taqsima Forensika ma disponibbli sommarju rapport. Meta tikklikkja fuqha se tiftaħ analiżi dettaljata tal-malware fil-forma ta' paġna HTML interattiva:
(Din hija parti mill-paġna. )
Mill-istess rapport, nistgħu tniżżel il-malware oriġinali (f'arkivju protett bil-password), jew immedjatament tikkuntattja lit-tim ta' rispons tal-Check Point.
Eżatt hawn taħt tista' tara animazzjoni sabiħa li turi f'termini perċentwali liema kodiċi malizzjuż diġà magħruf għandha komuni l-istanza tagħna (inkluż il-kodiċi innifsu u macros). Dawn l-analitiċi jitwasslu bl-użu ta’ tagħlim tal-magni fil- Check Point Threat Cloud.
Imbagħad tista 'tara eżattament liema attivitajiet fil-kaxxa tar-ramel ippermettewna nikkonkludu li dan il-fajl huwa malizzjuż. F'dan il-każ, naraw l-użu ta 'tekniki ta' bypass u tentattiv biex tniżżel ransomware:
Wieħed jista’ jinnota li f’dan il-każ, l-emulazzjoni saret f’żewġ sistemi (Win 7, Win XP) u verżjonijiet differenti tas-softwer (Office, Adobe). Hawn taħt hemm vidjo (slide show) bil-proċess tal-ftuħ ta' dan il-fajl fis-sandbox:
Eżempju tal-vidjo:
Fl-aħħar nett nistgħu naraw fid-dettall kif żviluppa l-attakk. Jew f'forma tabulari jew b'mod grafiku:
Hemmhekk nistgħu tniżżel din l-informazzjoni f'format RAW u fajl pcap għal analiżi dettaljata tat-traffiku ġġenerat f'Wireshark:
Konklużjoni
Billi tuża din l-informazzjoni, tista 'ssaħħaħ b'mod sinifikanti l-protezzjoni tan-netwerk tiegħek. Imblokka l-hosts tad-distribuzzjoni tal-virus, qrib il-vulnerabbiltajiet sfruttati, imblokka l-feedback possibbli minn C&C u ħafna aktar. Din l-analiżi m'għandhiex tiġi traskurata.
Fl-artikoli li ġejjin, se nħarsu bl-istess mod lejn ir-rapporti ta 'SandBlast Agent, SnadBlast Mobile, kif ukoll CloudGiard SaaS. Mela ibqa' sintonizzat (, , , )!
Sors: www.habr.com