Welkom bij een nieuwe serie artikelen, dit keer over het onderwerp incidentonderzoek, namelijk malware-analyse met behulp van Check Point forensisch onderzoek. Wij publiceerden eerder over het werken in Smart Event, maar deze keer zullen we kijken naar forensische rapporten over specifieke gebeurtenissen in verschillende Check Point-producten:
Waarom is forensisch onderzoek naar incidentpreventie belangrijk? Het lijkt erop dat je het virus hebt opgelopen, het is al goed, waarom zou je ermee omgaan? Zoals de praktijk laat zien, is het raadzaam om niet alleen een aanval te blokkeren, maar ook om te begrijpen hoe deze precies werkt: wat het toegangspunt was, welke kwetsbaarheid werd gebruikt, welke processen erbij betrokken zijn, of het register en het bestandssysteem zijn aangetast, welke familie van virussen, welke mogelijke schade, etc. . Deze en andere nuttige gegevens kunnen worden verkregen uit de uitgebreide forensische rapporten van Check Point (zowel tekst als grafisch). Het is erg moeilijk om zo'n rapport handmatig te verkrijgen. Deze gegevens kunnen vervolgens helpen passende actie te ondernemen en te voorkomen dat soortgelijke aanvallen in de toekomst slagen. Vandaag zullen we kijken naar het forensische rapport van Check Point SandBlast Network.
SandBlast-netwerk
Het gebruik van sandboxen om de bescherming van de netwerkperimeter te versterken is al lange tijd gebruikelijk en is een even verplicht onderdeel als IPS. Bij Check Point is de Blade Threat Emulation, onderdeel van de SandBlast-technologieën (er is ook Threat Extraction), verantwoordelijk voor de sandbox-functionaliteit. We hebben al eerder gepubliceerd ook voor versie Gaia 77.30 (ik raad je ten zeerste aan om deze te bekijken als je niet begrijpt waar we het nu over hebben). Vanuit architectonisch oogpunt is er sindsdien niets fundamenteel veranderd. Als u een Check Point Gateway aan de rand van uw netwerk heeft, kunt u twee opties gebruiken voor integratie met de sandbox:
- SandBlast lokaal apparaat — er wordt een extra SandBlast-apparaat op uw netwerk geïnstalleerd, waarnaar bestanden worden verzonden voor analyse.
- Zandstraalwolk — bestanden worden voor analyse naar de Check Point-cloud verzonden.
De sandbox kan worden beschouwd als de laatste verdedigingslinie aan de netwerkperimeter. Het maakt pas verbinding na analyse met klassieke middelen: antivirus, IPS. En als dergelijke traditionele handtekeningtools vrijwel geen enkele analyse bieden, kan de sandbox tot in detail ‘vertellen’ waarom het bestand is geblokkeerd en wat het precies kwaadaardig doet. Dit forensische rapport kan worden verkregen via zowel een lokale sandbox als een cloud-sandbox.
Check Point Forensisch rapport
Stel dat u als informatiebeveiligingsspecialist naar uw werk komt en een dashboard opent in SmartConsole. U ziet onmiddellijk incidenten van de afgelopen 24 uur en uw aandacht wordt gevestigd op Threat Emulation-gebeurtenissen: de gevaarlijkste aanvallen die niet zijn geblokkeerd door handtekeninganalyse.
U kunt dieper ingaan op deze gebeurtenissen en alle logboeken voor de blade Bedreigingsemulatie bekijken.
Hierna kunt u de logboeken bovendien filteren op dreigingskriticiteitsniveau (ernst) en op betrouwbaarheidsniveau (betrouwbaarheid van de reactie):
Nadat we het evenement waarin we geïnteresseerd zijn hebben uitgebreid, kunnen we kennis maken met de algemene informatie (src, dst, ernst, afzender, enz.):
En daar kun je het gedeelte zien Forensics met beschikbaar Samengevat rapport. Als u erop klikt, wordt een gedetailleerde analyse van de malware geopend in de vorm van een interactieve HTML-pagina:
(Dit is een deel van de pagina. )
Vanuit hetzelfde rapport kunnen we de originele malware downloaden (in een met een wachtwoord beveiligd archief) of onmiddellijk contact opnemen met het Check Point-reactieteam.
Hieronder ziet u een prachtige animatie die procentueel laat zien welke reeds bekende kwaadaardige code onze instance gemeen heeft (inclusief de code zelf en macro's). Deze analyses worden geleverd met behulp van machine learning in de Check Point Threat Cloud.
Vervolgens kunt u precies zien welke activiteiten in de sandbox ons hebben doen concluderen dat dit bestand schadelijk is. In dit geval zien we het gebruik van bypass-technieken en een poging om ransomware te downloaden:
Opgemerkt kan worden dat in dit geval de emulatie werd uitgevoerd in twee systemen (Win 7, Win XP) en verschillende softwareversies (Office, Adobe). Hieronder vindt u een video (diavoorstelling) met het proces van het openen van dit bestand in de sandbox:
Voorbeeldvideo:
Helemaal aan het einde kunnen we in detail zien hoe de aanval zich ontwikkelde. Hetzij in tabelvorm of grafisch:
Daar kunnen we deze informatie in RAW-formaat en een pcap-bestand downloaden voor gedetailleerde analyses van het gegenereerde verkeer in Wireshark:
Conclusie
Met deze informatie kunt u de bescherming van uw netwerk aanzienlijk versterken. Blokkeer hosts voor virusdistributie, sluit uitgebuite kwetsbaarheden, blokkeer mogelijke feedback van C&C en nog veel meer. Deze analyse mag niet worden verwaarloosd.
In de volgende artikelen zullen we op dezelfde manier kijken naar de rapporten van SandBlast Agent, SnadBlast Mobile en CloudGiard SaaS. Dus blijf op de hoogte (, , , )!
Bron: www.habr.com