پرو هوسٽر > بلاگ > انتظاميه > 1. چيڪ پوائنٽ فارنڪس استعمال ڪندي مالويئر جو تجزيو. SandBlast نيٽ ورڪ

1. چيڪ پوائنٽ فارنڪس استعمال ڪندي مالويئر جو تجزيو. SandBlast نيٽ ورڪ

1. چيڪ پوائنٽ فارنڪس استعمال ڪندي مالويئر جو تجزيو. SandBlast نيٽ ورڪ

مضمونن جي نئين سيريز ۾ ڀليڪار، هن ڀيري واقعي جي تحقيق جي موضوع تي، يعني چيڪ پوائنٽ فارنڪس استعمال ڪندي مالويئر تجزيو. اسان اڳ ۾ شايع ڪيو ڪيترائي وڊيو سبق سمارٽ ايونٽ ۾ ڪم ڪرڻ تي، پر هن ڀيري اسان مختلف چيڪ پوائنٽ پراڊڪٽس ۾ مخصوص واقعن تي فارنزڪ رپورٽون ڏسنداسين:

واقعي جي روڪٿام لاءِ فارنزڪ ڇو ضروري آهي؟ اهو لڳي ٿو ته توهان وائرس کي پڪڙيو آهي، اهو اڳ ۾ ئي سٺو آهي، ان سان معاملو ڇو؟ جيئن ته مشق ڏيکاري ٿو، اهو مشورو ڏنو ويو آهي ته نه رڳو هڪ حملي کي بلاڪ ڪرڻ، پر اهو پڻ سمجهڻ لاء ته اهو ڪيئن ڪم ڪري ٿو: داخلا جو نقطو ڇا هو، ڪهڙو نقصان استعمال ڪيو ويو، ڪهڙا عمل شامل آهن، ڇا رجسٽري ۽ فائل سسٽم متاثر ٿيا آهن، ڇا خاندان. وائرس جو، ڪهڙو امڪاني نقصان، وغيره. هي ۽ ٻيو مفيد ڊيٽا چيڪ پوائنٽ جي جامع فرانزڪ رپورٽن (ٻنهي متن ۽ گرافڪ) مان حاصل ڪري سگھجي ٿو. اهڙي رپورٽ دستي طور تي حاصل ڪرڻ تمام ڏکيو آهي. هي ڊيٽا وري مناسب قدم کڻڻ ۾ مدد ڪري سگهي ٿي ۽ مستقبل ۾ ڪامياب ٿيڻ کان ساڳئي حملن کي روڪڻ ۾ مدد ڪري سگهي ٿي. اڄ اسان ڏسنداسين چيڪ پوائنٽ SandBlast نيٽورڪ فارنڪس رپورٽ.

SandBlast نيٽ ورڪ

نيٽ ورڪ جي دائري جي حفاظت کي مضبوط ڪرڻ لاءِ سينڊ باڪس جو استعمال گهڻو وقت عام ٿي چڪو آهي ۽ IPS جيترو لازمي جزو آهي. چيڪ پوائنٽ تي، Threat Emulation بليڊ، جيڪو SandBlast ٽيڪنالاجيز جو حصو آهي (اتي پڻ Threat Extraction آهي)، سينڊ باڪس جي ڪارڪردگيءَ جو ذميوار آهي. اسان اڳ ۾ ئي شايع ڪيو آهي چيڪ پوائنٽ SandBlast تي ننڍڙو ڪورس پڻ Gaia 77.30 ورجن لاءِ (مان ان کي ڏسڻ جي تمام گهڻي صلاح ڏيان ٿو جيڪڏهن توهان نٿا سمجهو ته اسان هاڻي ڇا ڳالهايون ٿا). فن تعمير جي نقطي نظر کان، بنيادي طور تي ڪجھ به نه تبديل ٿي چڪو آهي. جيڪڏهن توهان وٽ آهي چيڪ پوائنٽ گيٽ وي توهان جي نيٽ ورڪ جي فريم تي، ته پوءِ توهان استعمال ڪري سگهو ٿا ٻه آپشنز سينڊ باڪس سان انضمام لاءِ:

  1. SandBlast مقامي سامان - توهان جي نيٽ ورڪ تي هڪ اضافي SandBlast ڊوائيس نصب ٿيل آهي، جنهن تي فائلون تجزيو لاء موڪليا ويا آهن.
  2. SandBlast Cloud - فائلون تجزيو لاءِ موڪليا وڃن ٿا چيڪ پوائنٽ ڪلائوڊ تي.

1. چيڪ پوائنٽ فارنڪس استعمال ڪندي مالويئر جو تجزيو. SandBlast نيٽ ورڪ

سينڊ باڪس کي سمجهي سگهجي ٿو دفاع جي آخري لائين نيٽ ورڪ جي پردي تي. اهو ڳنڍي ٿو صرف تجزيي کان پوء ڪلاسيڪل طريقن سان - اينٽي وائرس، IPS. ۽ جيڪڏهن اهڙا روايتي دستخطي اوزار عملي طور تي ڪا به تجزياتي مهيا نه ڪندا آهن، پوء سينڊ باڪس تفصيل سان "ٻڌائي" ڪري سگهي ٿو ڇو ته فائل کي بلاڪ ڪيو ويو آهي ۽ ڇا اهو بلڪل خراب آهي. هي فارنزڪ رپورٽ مقامي ۽ ڪلائوڊ سينڊ باڪس ٻنهي مان حاصل ڪري سگهجي ٿي.

چيڪ پوائنٽ فارنزڪ رپورٽ

اچو ته توهان کي چئو، هڪ معلوماتي سيڪيورٽي ماهر جي حيثيت ۾، ڪم تي آيو ۽ SmartConsole ۾ هڪ ڊيش بورڊ کوليو. فوري طور تي توهان گذريل 24 ڪلاڪن جا واقعا ڏسندا آهيو ۽ توهان جو ڌيان ڇڪايو ويندو آهي Threat Emulation واقعن - سڀ کان وڌيڪ خطرناڪ حملا جيڪي دستخط جي تجزيي ذريعي بند نه ڪيا ويا هئا.

1. چيڪ پوائنٽ فارنڪس استعمال ڪندي مالويئر جو تجزيو. SandBlast نيٽ ورڪ

توھان ڪري سگھو ٿا ”ڊرل ھيٺ“ انھن واقعن ۾ ۽ ڏسو سڀ لاگ ان لاءِ تھريٽ ايموليشن بليڊ.

1. چيڪ پوائنٽ فارنڪس استعمال ڪندي مالويئر جو تجزيو. SandBlast نيٽ ورڪ

ان کان پوءِ، توھان اضافي ڪري سگھو ٿا لاگز کي خطري جي تنقيدي سطح (شدت)، ۽ گڏوگڏ اعتماد جي سطح (جواب جي اعتبار سان):

1. چيڪ پوائنٽ فارنڪس استعمال ڪندي مالويئر جو تجزيو. SandBlast نيٽ ورڪ

انهي واقعي کي وڌايو جنهن ۾ اسان دلچسپي رکون ٿا، اسان عام معلومات (src، dst، شدت، موڪليندڙ، وغيره) سان واقف ٿي سگهون ٿا:

1. چيڪ پوائنٽ فارنڪس استعمال ڪندي مالويئر جو تجزيو. SandBlast نيٽ ورڪ

۽ اتي توهان سيڪشن ڏسي سگهو ٿا فارنڪس دستياب سان خلاصو رپورٽ. ان تي ڪلڪ ڪرڻ سان مالويئر جو تفصيلي تجزيو کليل HTML صفحي جي صورت ۾ ٿيندو:

1. چيڪ پوائنٽ فارنڪس استعمال ڪندي مالويئر جو تجزيو. SandBlast نيٽ ورڪ
(هي صفحي جو حصو آهي. اصل هتي ڏسي سگھجي ٿو)

ساڳئي رپورٽ مان، اسان ڊائون لوڊ ڪري سگھون ٿا اصل مالويئر (پاسورڊ محفوظ ٿيل آرڪائيو ۾)، يا فوري طور تي چيڪ پوائنٽ جي جوابي ٽيم سان رابطو ڪريو.

1. چيڪ پوائنٽ فارنڪس استعمال ڪندي مالويئر جو تجزيو. SandBlast نيٽ ورڪ

بس هيٺان توهان هڪ خوبصورت اينيميشن ڏسي سگهو ٿا جيڪو ڏيکاري ٿو فيصد جي اصطلاحن ۾ جيڪو اڳ ۾ ئي ڄاڻايل خراب ڪوڊ اسان جي مثال ۾ عام آهي (بشمول ڪوڊ پاڻ ۽ ميڪرو). اهي تجزياتي چيڪ پوائنٽ ٿريٽ ڪلائوڊ ۾ مشين لرننگ استعمال ڪندي پهچائي رهيا آهن.

1. چيڪ پوائنٽ فارنڪس استعمال ڪندي مالويئر جو تجزيو. SandBlast نيٽ ورڪ

پوءِ توھان ڏسي سگھوٿا ته سينڊ باڪس ۾ ڪھڙيون سرگرميون اسان کي ان نتيجي تي پھچائڻ جي اجازت ڏين ٿيون ته ھي فائل خراب آھي. انهي حالت ۾، اسان ڏسون ٿا بائي پاس ٽيڪنالاجي جو استعمال ۽ ransomware ڊائون لوڊ ڪرڻ جي ڪوشش:

1. چيڪ پوائنٽ فارنڪس استعمال ڪندي مالويئر جو تجزيو. SandBlast نيٽ ورڪ

اهو نوٽ ڪري سگهجي ٿو ته هن معاملي ۾، emulation ٻن نظامن ۾ ڪيو ويو (Win 7، Win XP) ۽ مختلف سافٽ ويئر ورجن (Office، Adobe). ھيٺ ڏنل ھڪڙي وڊيو آھي (سلائڊ شو) ھن فائل کي سينڊ باڪس ۾ کولڻ جي عمل سان.

1. چيڪ پوائنٽ فارنڪس استعمال ڪندي مالويئر جو تجزيو. SandBlast نيٽ ورڪ

مثال وڊيو:

1. چيڪ پوائنٽ فارنڪس استعمال ڪندي مالويئر جو تجزيو. SandBlast نيٽ ورڪ

بلڪل آخر ۾ اسان تفصيل سان ڏسي سگھون ٿا ته حملي ڪيئن ترقي ڪئي. يا ته ٽيبلولر فارم ۾ يا گرافڪ طور تي:

1. چيڪ پوائنٽ فارنڪس استعمال ڪندي مالويئر جو تجزيو. SandBlast نيٽ ورڪ

اتي اسان هن معلومات کي RAW فارميٽ ۾ ڊائون لوڊ ڪري سگھون ٿا ۽ Wireshark ۾ ٺاهيل ٽرئفڪ جي تفصيلي تجزيي لاءِ هڪ pcap فائل:

1. چيڪ پوائنٽ فارنڪس استعمال ڪندي مالويئر جو تجزيو. SandBlast نيٽ ورڪ

ٿڪل

ھن معلومات کي استعمال ڪندي، توھان پنھنجي نيٽ ورڪ جي حفاظت کي خاص طور تي مضبوط ڪري سگھو ٿا. بلاڪ وائرس ورهائڻ جي ميزباني، بند استحصال نقصانڪار، بلاڪ ممڪن موٽ C&C کان ۽ گهڻو ڪجهه. هن تجزيي کي نظرانداز نه ڪيو وڃي.

هيٺ ڏنل مضمونن ۾، اسان ساڳئي طرح سينڊ بلاسٽ ايجنٽ، سنيڊ بلاسٽ موبائل، ۽ گڏوگڏ CloudGiard SaaS جي رپورٽن تي نظر ڪنداسين. پوء ڏسندا رهو (تار, ڪريو, VK, TS حل بلاگ)!

جو ذريعو: www.habr.com

تبصرو شامل ڪريو