Witamy w nowej serii artykułów, tym razem na temat badania incydentów, a mianowicie analizy złośliwego oprogramowania za pomocą kryminalistyki Check Point. Publikowaliśmy wcześniej o pracy w Smart Event, ale tym razem przyjrzymy się raportom kryminalistycznym dotyczącym konkretnych zdarzeń w różnych produktach Check Point:
Dlaczego kryminalistyka zapobiegająca incydentom jest ważna? Wygląda na to, że złapałeś wirusa, jest już dobrze, po co się tym przejmować? Jak pokazuje praktyka, wskazane jest nie tylko zablokowanie ataku, ale także dokładne zrozumienie jego działania: jaki był punkt wejścia, jaka luka została wykorzystana, jakie procesy są zaangażowane, czy dotyczy to rejestru i systemu plików, jaka rodzina wirusów, jakie potencjalne szkody, itp. . Te i inne przydatne dane można uzyskać z kompleksowych raportów kryminalistycznych firmy Check Point (zarówno tekstowych, jak i graficznych). Uzyskanie takiego raportu ręcznie jest bardzo trudne. Dane te mogą następnie pomóc w podjęciu odpowiednich działań i zapobiec powodzeniu podobnych ataków w przyszłości. Dzisiaj przyjrzymy się raportowi kryminalistycznemu Check Point SandBlast Network.
Sieć SandBlast
Stosowanie piaskownic w celu wzmocnienia ochrony obwodu sieci stało się już dawno powszechne i jest równie obowiązkowym elementem jak IPS. W Check Point za funkcjonalność sandboxa odpowiada blade Threat Emulation, będące częścią technologii SandBlast (jest też Threat Extraction). Publikowaliśmy już wcześniej także dla wersji Gaia 77.30 (gorąco polecam obejrzeć, jeśli nie rozumiesz o czym teraz mówimy). Z architektonicznego punktu widzenia od tego czasu nic się zasadniczo nie zmieniło. Jeśli posiadasz bramkę Check Point na obrzeżach swojej sieci, możesz skorzystać z dwóch opcji integracji z piaskownicą:
- Urządzenie lokalne SandBlast — w Twojej sieci instalowane jest dodatkowe urządzenie SandBlast, do którego wysyłane są pliki do analizy.
- Chmura SandBlast — pliki przesyłane są do analizy do chmury Check Point.
Piaskownicę można uznać za ostatnią linię obrony na obwodzie sieci. Łączy się dopiero po analizie klasycznymi metodami - antywirusem, IPS. A jeśli takie tradycyjne narzędzia do podpisów nie zapewniają praktycznie żadnej analityki, wówczas piaskownica może szczegółowo „powiedzieć”, dlaczego plik został zablokowany i co dokładnie robi złośliwego. Ten raport kryminalistyczny można uzyskać zarówno z piaskownicy lokalnej, jak i chmurowej.
Raport kryminalistyki Check Point
Załóżmy, że jako specjalista ds. bezpieczeństwa informacji przyszedłeś do pracy i otworzyłeś dashboard w SmartConsole. Natychmiast widzisz incydenty z ostatnich 24 godzin i twoją uwagę przyciągają zdarzenia związane z emulacją zagrożeń - najniebezpieczniejsze ataki, które nie zostały zablokowane przez analizę sygnatur.
Możesz „przeanalizować” te zdarzenia i wyświetlić wszystkie dzienniki bloku Emulacja zagrożeń.
Następnie możesz dodatkowo filtrować logi po poziomie krytyczności zagrożenia (Severity), a także po Poziomie ufności (niezawodności odpowiedzi):
Po rozwinięciu interesującego nas wydarzenia możemy zapoznać się z informacjami ogólnymi (src, dst, istotność, nadawca itp.):
I tam możesz zobaczyć sekcję Sądownictwo z dostępnymi Podsumowanie raport. Kliknięcie go otworzy szczegółową analizę szkodliwego oprogramowania w formie interaktywnej strony HTML:
(To jest część strony. )
Z tego samego raportu możemy pobrać oryginalne złośliwe oprogramowanie (w archiwum chronionym hasłem) lub natychmiast skontaktować się z zespołem reagowania Check Point.
Tuż poniżej możesz zobaczyć piękną animację, która pokazuje w procentach, jaki znany już szkodliwy kod ma wspólnego nasza instancja (w tym sam kod i makra). Te analizy są dostarczane za pomocą uczenia maszynowego w chmurze zagrożeń Check Point.
Wtedy możesz dokładnie zobaczyć, jakie działania w piaskownicy pozwoliły nam stwierdzić, że ten plik jest złośliwy. W tym przypadku widzimy zastosowanie technik obejścia i próbę pobrania oprogramowania ransomware:
Można zauważyć, że w tym przypadku emulacja została przeprowadzona w dwóch systemach (Win 7, Win XP) i różnych wersjach oprogramowania (Office, Adobe). Poniżej filmik (pokaz slajdów) przedstawiający proces otwierania tego pliku w piaskownicy:
Przykład wideo:
Na samym końcu możemy szczegółowo zobaczyć, jak rozwijał się atak. W formie tabelarycznej lub graficznej:
Tam możemy pobrać te informacje w formacie RAW i plik pcap w celu szczegółowej analizy wygenerowanego ruchu w Wireshark:
wniosek
Korzystając z tych informacji, możesz znacznie wzmocnić ochronę swojej sieci. Blokuj hosty dystrybucji wirusów, zamykaj wykorzystywane luki, blokuj możliwe informacje zwrotne od C&C i wiele więcej. Tej analizy nie należy lekceważyć.
W kolejnych artykułach podobnie przyjrzymy się raportom SandBlast Agent, SnadBlast Mobile, a także CloudGiard SaaS. Bądźcie na bieżąco (, , , )!
Źródło: www.habr.com