Velkommen til en ny serie med artikler, denne gangen om temaet etterforskning av hendelser, nemlig analyse av skadevare ved hjelp av Check Point etterforskning. Vi publiserte tidligere om å jobbe i Smart Event, men denne gangen skal vi se på kriminaltekniske rapporter om spesifikke hendelser i forskjellige Check Point-produkter:
Hvorfor er kriminalteknisk forebygging av hendelser viktig? Det ser ut til at du har fanget viruset, det er allerede bra, hvorfor takle det? Som praksis viser, er det tilrådelig ikke bare å blokkere et angrep, men også å forstå nøyaktig hvordan det fungerer: hva inngangspunktet var, hvilken sårbarhet som ble brukt, hvilke prosesser er involvert, om registeret og filsystemet er berørt, hvilken familie av virus, hvilken potensiell skade, etc. . Denne og andre nyttige data kan hentes fra Check Points omfattende etterforskningsrapporter (både tekst og grafisk). Det er svært vanskelig å få en slik rapport manuelt. Disse dataene kan da bidra til å iverksette passende tiltak og forhindre at lignende angrep lykkes i fremtiden. I dag skal vi se på Check Point SandBlast Networks rettsmedisinske rapport.
SandBlast Network
Bruken av sandkasser for å styrke beskyttelsen av nettverksperimeteren har lenge blitt vanlig og er en like obligatorisk komponent som IPS. Hos Check Point er Threat Emulation-bladet, som er en del av SandBlast-teknologiene (det er også Threat Extraction), ansvarlig for sandkassefunksjonaliteten. Vi har allerede publisert før også for versjon Gaia 77.30 (jeg anbefaler på det sterkeste å se den hvis du ikke forstår hva vi snakker om nå). Fra et arkitektonisk synspunkt har ingenting fundamentalt endret seg siden den gang. Hvis du har en Check Point Gateway i omkretsen av nettverket ditt, kan du bruke to alternativer for integrasjon med sandkassen:
- SandBlast lokalt apparat — en ekstra SandBlast-enhet er installert på nettverket ditt, som filer sendes til for analyse.
- SandBlast Cloud — filer sendes for analyse til Check Point-skyen.
Sandkassen kan betraktes som den siste forsvarslinjen ved nettverkets omkrets. Den kobles kun til etter analyse med klassiske midler - antivirus, IPS. Og hvis slike tradisjonelle signaturverktøy ikke gir praktisk talt noen analyse, kan sandkassen "fortelle" i detalj hvorfor filen ble blokkert og nøyaktig hva den gjør. Denne kriminaltekniske rapporten kan fås fra både en lokal og skysandkasse.
Check Point etterforskningsrapport
La oss si at du som informasjonssikkerhetsspesialist kom på jobb og åpnet et dashbord i SmartConsole. Umiddelbart ser du hendelser de siste 24 timene, og oppmerksomheten din trekkes til hendelser med trusselemulering - de farligste angrepene som ikke ble blokkert av signaturanalyse.
Du kan "bore ned" i disse hendelsene og se alle loggene for Threat Emulation-bladet.
Etter dette kan du i tillegg filtrere loggene etter trusselkritiskhetsnivå (alvorlighetsgrad), samt etter konfidensnivå (reliabilitet av respons):
Etter å ha utvidet arrangementet vi er interessert i, kan vi bli kjent med den generelle informasjonen (src, dst, alvorlighetsgrad, avsender, etc.):
Og der kan du se avsnittet Forensics med tilgjengelig Oppsummering rapportere. Ved å klikke på den åpnes en detaljert analyse av skadelig programvare i form av en interaktiv HTML-side:
(Dette er en del av siden. )
Fra den samme rapporten kan vi laste ned den originale skadevare (i et passordbeskyttet arkiv), eller umiddelbart kontakte Check Points responsteam.
Rett under kan du se en vakker animasjon som viser i prosentvis hvilken allerede kjent ondsinnet kode vår instans har til felles (inkludert selve koden og makroer). Disse analysene leveres ved hjelp av maskinlæring i Check Point Threat Cloud.
Da kan du se nøyaktig hvilke aktiviteter i sandkassen som tillot oss å konkludere med at denne filen er skadelig. I dette tilfellet ser vi bruken av bypass-teknikker og et forsøk på å laste ned løsepengeprogramvare:
Det kan bemerkes at i dette tilfellet ble emulering utført i to systemer (Win 7, Win XP) og forskjellige programvareversjoner (Office, Adobe). Nedenfor er det en video (lysbildefremvisning) med prosessen med å åpne denne filen i sandkassen:
Eksempelvideo:
Helt på slutten kan vi se i detalj hvordan angrepet utviklet seg. Enten i tabellform eller grafisk:
Der kan vi laste ned denne informasjonen i RAW-format og en pcap-fil for detaljert analyse av generert trafikk i Wireshark:
Konklusjon
Ved å bruke denne informasjonen kan du betydelig styrke beskyttelsen av nettverket ditt. Blokker virusdistribusjonsverter, lukk utnyttede sårbarheter, blokker mulig tilbakemelding fra C&C og mye mer. Denne analysen bør ikke neglisjeres.
I de følgende artiklene vil vi på samme måte se på rapportene til SandBlast Agent, SnadBlast Mobile, samt CloudGiard SaaS. Så følg med (, , , )!
Kilde: www.habr.com