Bem-vindo a uma nova série de artigos, desta vez sobre o tema da investigação de incidentes, nomeadamente análise de malware utilizando análise forense da Check Point. Publicamos anteriormente sobre como trabalhar no Smart Event, mas desta vez veremos relatórios forenses sobre eventos específicos em diferentes produtos da Check Point:
Por que a análise forense de prevenção de incidentes é importante? Parece que você pegou o vírus, já está bom, por que lidar com isso? Como mostra a prática, é aconselhável não apenas bloquear um ataque, mas também entender exatamente como ele funciona: qual foi o ponto de entrada, qual vulnerabilidade foi utilizada, quais processos estão envolvidos, se o registro e o sistema de arquivos foram afetados, que família de vírus, quais danos potenciais, etc. Estes e outros dados úteis podem ser obtidos nos relatórios forenses abrangentes da Check Point (textos e gráficos). É muito difícil obter tal relatório manualmente. Esses dados podem então ajudar a tomar as medidas adequadas e evitar que ataques semelhantes tenham sucesso no futuro. Hoje veremos o relatório forense da Check Point SandBlast Network.
Rede SandBlast
O uso de sandboxes para fortalecer a proteção do perímetro da rede já se tornou comum e é um componente tão obrigatório quanto o IPS. Na Check Point, o blade Threat Emulation, que faz parte das tecnologias SandBlast (há também Threat Extraction), é responsável pela funcionalidade do sandbox. Já publicamos antes também para a versão Gaia 77.30 (recomendo fortemente assistir se você não entendeu do que estamos falando agora). Do ponto de vista arquitetônico, nada mudou fundamentalmente desde então. Se você possui um Check Point Gateway no perímetro da sua rede, você pode usar duas opções de integração com o sandbox:
- Aparelho Local SandBlast — um dispositivo SandBlast adicional está instalado na sua rede, para o qual os arquivos são enviados para análise.
- Nuvem de jato de areia — os arquivos são enviados para análise na nuvem Check Point.
A sandbox pode ser considerada a última linha de defesa no perímetro da rede. Ele se conecta somente após análise por meios clássicos - antivírus, IPS. E se essas ferramentas de assinatura tradicionais não fornecerem praticamente nenhuma análise, o sandbox poderá “dizer” em detalhes por que o arquivo foi bloqueado e o que exatamente ele faz de malicioso. Este relatório forense pode ser obtido em uma sandbox local e na nuvem.
Relatório forense da Check Point
Digamos que você, como especialista em segurança da informação, veio trabalhar e abriu um painel no SmartConsole. Imediatamente você vê os incidentes das últimas 24 horas e sua atenção é atraída para os eventos de Threat Emulation - os ataques mais perigosos que não foram bloqueados pela análise de assinatura.
Você pode “detalhar” esses eventos e ver todos os logs da folha Threat Emulation.
Depois disso, você também pode filtrar os logs por nível de criticidade da ameaça (gravidade), bem como por nível de confiança (confiabilidade de resposta):
Expandido o evento que nos interessa, podemos conhecer as informações gerais (src, dst, gravidade, remetente, etc.):
E lá você pode ver a seção Forense com disponível Resumo relatório. Clicar nele abrirá uma análise detalhada do malware na forma de uma página HTML interativa:
(Isso faz parte da página. )
A partir do mesmo relatório, podemos baixar o malware original (em um arquivo protegido por senha) ou entrar em contato imediatamente com a equipe de resposta da Check Point.
Logo abaixo você pode ver uma bela animação que mostra em termos percentuais quais códigos maliciosos já conhecidos nossa instância tem em comum (incluindo o próprio código e macros). Essas análises são fornecidas usando aprendizado de máquina no Check Point Threat Cloud.
Então você pode ver exatamente quais atividades na sandbox nos permitiram concluir que esse arquivo é malicioso. Neste caso, vemos o uso de técnicas de bypass e uma tentativa de download de ransomware:
Pode-se notar que neste caso a emulação foi realizada em dois sistemas (Win 7, Win XP) e diferentes versões de software (Office, Adobe). Abaixo segue um vídeo (apresentação de slides) com o processo de abertura deste arquivo no sandbox:
Exemplo de vídeo:
No final podemos ver em detalhes como o ataque se desenvolveu. Seja em forma tabular ou gráfica:
Lá podemos baixar essas informações em formato RAW e um arquivo pcap para análises detalhadas do tráfego gerado no Wireshark:
Conclusão
Usando essas informações, você pode fortalecer significativamente a proteção da sua rede. Bloqueie hosts de distribuição de vírus, feche vulnerabilidades exploradas, bloqueie possíveis comentários de C&C e muito mais. Esta análise não deve ser negligenciada.
Nos artigos a seguir, veremos de forma semelhante os relatórios do SandBlast Agent, SnadBlast Mobile, bem como do CloudGiard SaaS. Então fique ligado (, , , )!
Fonte: habr.com