د مقالو نوې لړۍ ته ښه راغلاست ، دا ځل د پیښې څیړنې موضوع باندې ، د چیک پوائنټ فارنزیک په کارولو سره د مالویر تحلیل. موږ مخکې خپور کړ په سمارټ پیښه کې کار کولو باندې، مګر دا ځل به موږ په مختلفو چیک پوائنټ محصولاتو کې د ځانګړو پیښو په اړه عدلي راپورونه وګورو:
ولې د پیښې مخنیوي عدلي طب مهم دی؟ داسې بریښي چې تاسو ویروس نیولی وي ، دا دمخه ښه دی ، ولې ورسره معامله کوئ؟ لکه څنګه چې تمرین ښیي، دا مشوره ورکول کیږي چې نه یوازې د برید مخنیوی وکړي، بلکې په سمه توګه پوه شي چې دا څنګه کار کوي: د ننوتلو نقطه څه وه، کوم زیانونه کارول شوي، کوم پروسې پکې شاملې دي، ایا د ثبت او فایل سیسټم اغیزمن شوی، کوم کورنۍ د ویروسونو، کوم احتمالي زیان، او داسې نور. دا او نور ګټور معلومات د چیک پوائنټ هراړخیز عدلي راپورونو (دواړه متن او ګرافیکي) څخه ترلاسه کیدی شي. په لاسي ډول د داسې راپور ترلاسه کول خورا ستونزمن دي. دا ډاټا کولی شي د مناسب اقدام په ترسره کولو کې مرسته وکړي او په راتلونکي کې د ورته بریدونو مخه ونیسي. نن ورځ موږ به د چیک پوائنټ سینډ بلاسټ شبکې عدلي راپور وګورو.
د SandBlast شبکه
د شبکې محیط محافظت پیاوړي کولو لپاره د شګو بکسونو کارول له اوږدې مودې راهیسې عادي شوي او د IPS په څیر لازمي اجزا دي. په چیک پوائنټ کې ، د ګواښ ایمولیشن بلیډ ، کوم چې د سانډ بلاسټ ټیکنالوژیو برخه ده (دلته د ګواښ استخراج هم شتون لري) د سانډ باکس فعالیت لپاره مسؤل دی. موږ لا دمخه خپاره کړي دي د ګیا 77.30 نسخه لپاره هم (زه په کلکه وړاندیز کوم چې دا وګورم که تاسو نه پوهیږئ چې موږ اوس د څه په اړه خبرې کوو). د معمارۍ له نظره، له هغه وخت راهیسې هیڅ شی په بنسټیز ډول نه دی بدل شوی. که تاسو د خپلې شبکې په احاطه کې د چیک پوائنټ ګیټ وے لرئ ، نو تاسو کولی شئ د سینڈ باکس سره د ادغام لپاره دوه اختیارونه وکاروئ:
- د SandBlast محلي وسیله - ستاسو په شبکه کې د سانډ بلاسټ اضافي وسیله نصب شوې ، کوم چې فایلونه د تحلیل لپاره لیږل کیږي.
- د سانډ بلاسټ بادل - فایلونه د چیک پوائنټ کلاوډ ته د تحلیل لپاره لیږل کیږي.
د شګو بکس د شبکې په چوکاټ کې د دفاع وروستۍ کرښه ګڼل کیدی شي. دا یوازې د کلاسیک وسیلو لخوا تحلیل وروسته وصل کیږي - انټي ویروس ، IPS. او که چیرې دا ډول دودیز لاسلیک وسیلې په عملي ډول هیڅ تحلیلات نه وړاندې کوي ، نو سینڈ باکس کولی شي په تفصیل سره "وښیي" چې ولې فایل بند شوی او کوم واقعیا ناوړه کار کوي. دا عدلي راپور دواړه د محلي او بادل سینڈ باکس څخه ترلاسه کیدی شي.
چیک پوائنټ فارنزیک راپور
راځئ چې ووایو تاسو د معلوماتو امنیت متخصص په توګه کار ته راغلی او په SmartConsole کې ډشبورډ پرانیزئ. سمدلاسه تاسو د تیرو 24 ساعتونو پیښې ګورئ او ستاسو پام د ګواښ ایمولیشن پیښو ته راجلبوي - خورا خطرناک بریدونه چې د لاسلیک تحلیل لخوا ندي بند شوي.
تاسو کولی شئ پدې پیښو کې "ډرل ډاون" وکړئ او د ګواښ ایمولیشن بلیډ لپاره ټولې لاګونه وګورئ.
له دې وروسته، تاسو کولی شئ لاګونه د ګواښ د حساسیت کچې (شدت) او همدارنګه د باور کچې (د ځواب اعتبار) له مخې فلټر کړئ:
د هغه پیښې پراخولو سره چې موږ یې علاقه لرو، موږ کولی شو د عمومي معلوماتو سره آشنا شو (src، dst، شدت، لیږونکی، او نور):
او هلته تاسو کولی شئ برخه وګورئ عدلی طب د شتون سره لنډیز راپور په دې کلیک کول به د یو متقابل HTML پاڼې په بڼه د مالویر تفصيلي تحلیل خلاص کړي:
(دا د پاڼې یوه برخه ده. )
د ورته راپور څخه، موږ کولی شو اصلي مالویر ډاونلوډ کړو (په پټنوم کې خوندي شوي آرشیف کې)، یا سمدلاسه د چیک پوائنټ غبرګون ټیم سره اړیکه ونیسئ.
یوازې لاندې تاسو کولی شئ یو ښکلی انیمیشن وګورئ چې د فیصدي شرایطو کې ښیې کوم چې دمخه پیژندل شوی ناوړه کوډ زموږ مثال په عام ډول دی (پشمول پخپله کوډ او میکرو). دا تحلیلونه د چیک پوائنټ ګواښ کلاوډ کې د ماشین زده کړې په کارولو سره وړاندې کیږي.
بیا تاسو کولی شئ په ریښتیا وګورئ چې په سینڈ باکس کې کوم فعالیتونه موږ ته اجازه راکوي چې دې پایلې ته ورسوو چې دا فایل ناوړه دی. پدې حالت کې ، موږ د بای پاس تخنیکونو کارول او د ransomware ډاونلوډ کولو هڅه ګورو:
د یادونې وړ ده چې په دې حالت کې، ایمولیشن په دوو سیسټمونو (Win 7، Win XP) او د سافټویر مختلف نسخې (دفتر، اډوب) کې ترسره شوي. لاندې په سینڈ باکس کې د دې فایل خلاصولو پروسې سره ویډیو (سلایډ شو) شتون لري:
بېلګه ویډیو:
په پای کې موږ کولی شو په تفصیل سره وګورو چې برید څنګه وده کړې. یا په جدول کې یا په ګرافیک ډول:
هلته موږ کولی شو دا معلومات د RAW بڼه کې ډاونلوډ کړو او په ویرشارک کې د تولید شوي ترافیک تفصیلي تحلیل لپاره د pcap فایل:
پایلې
د دې معلوماتو په کارولو سره، تاسو کولی شئ د پام وړ ستاسو د شبکې ساتنه پیاوړې کړئ. د ویروس د توزیع کوربه بند کړئ، د ګټې اخیستنې زیانمننې نږدې کړئ، د C&C څخه احتمالي فیډبیک بند کړئ او نور ډیر څه. دا تحلیل باید له پامه ونه غورځول شي.
په لاندې مقالو کې، موږ به په ورته ډول د سانډ بلاسټ اجنټ، SnadBlast موبایل، او همدارنګه د CloudGiard SaaS راپورونو ته وګورو. نو ولاړ شه (, , , )!
سرچینه: www.habr.com