مضمونن جي نئين سيريز ۾ ڀليڪار، هن ڀيري واقعي جي تحقيق جي موضوع تي، يعني چيڪ پوائنٽ فارنڪس استعمال ڪندي مالويئر تجزيو. اسان اڳ ۾ شايع ڪيو
واقعي جي روڪٿام لاءِ فارنزڪ ڇو ضروري آهي؟ اهو لڳي ٿو ته توهان وائرس کي پڪڙيو آهي، اهو اڳ ۾ ئي سٺو آهي، ان سان معاملو ڇو؟ جيئن ته مشق ڏيکاري ٿو، اهو مشورو ڏنو ويو آهي ته نه رڳو هڪ حملي کي بلاڪ ڪرڻ، پر اهو پڻ سمجهڻ لاء ته اهو ڪيئن ڪم ڪري ٿو: داخلا جو نقطو ڇا هو، ڪهڙو نقصان استعمال ڪيو ويو، ڪهڙا عمل شامل آهن، ڇا رجسٽري ۽ فائل سسٽم متاثر ٿيا آهن، ڇا خاندان. وائرس جو، ڪهڙو امڪاني نقصان، وغيره. هي ۽ ٻيو مفيد ڊيٽا چيڪ پوائنٽ جي جامع فرانزڪ رپورٽن (ٻنهي متن ۽ گرافڪ) مان حاصل ڪري سگھجي ٿو. اهڙي رپورٽ دستي طور تي حاصل ڪرڻ تمام ڏکيو آهي. هي ڊيٽا وري مناسب قدم کڻڻ ۾ مدد ڪري سگهي ٿي ۽ مستقبل ۾ ڪامياب ٿيڻ کان ساڳئي حملن کي روڪڻ ۾ مدد ڪري سگهي ٿي. اڄ اسان ڏسنداسين چيڪ پوائنٽ SandBlast نيٽورڪ فارنڪس رپورٽ.
SandBlast نيٽ ورڪ
نيٽ ورڪ جي دائري جي حفاظت کي مضبوط ڪرڻ لاءِ سينڊ باڪس جو استعمال گهڻو وقت عام ٿي چڪو آهي ۽ IPS جيترو لازمي جزو آهي. چيڪ پوائنٽ تي، Threat Emulation بليڊ، جيڪو SandBlast ٽيڪنالاجيز جو حصو آهي (اتي پڻ Threat Extraction آهي)، سينڊ باڪس جي ڪارڪردگيءَ جو ذميوار آهي. اسان اڳ ۾ ئي شايع ڪيو آهي
- SandBlast مقامي سامان - توهان جي نيٽ ورڪ تي هڪ اضافي SandBlast ڊوائيس نصب ٿيل آهي، جنهن تي فائلون تجزيو لاء موڪليا ويا آهن.
- SandBlast Cloud - فائلون تجزيو لاءِ موڪليا وڃن ٿا چيڪ پوائنٽ ڪلائوڊ تي.
سينڊ باڪس کي سمجهي سگهجي ٿو دفاع جي آخري لائين نيٽ ورڪ جي پردي تي. اهو ڳنڍي ٿو صرف تجزيي کان پوء ڪلاسيڪل طريقن سان - اينٽي وائرس، IPS. ۽ جيڪڏهن اهڙا روايتي دستخطي اوزار عملي طور تي ڪا به تجزياتي مهيا نه ڪندا آهن، پوء سينڊ باڪس تفصيل سان "ٻڌائي" ڪري سگهي ٿو ڇو ته فائل کي بلاڪ ڪيو ويو آهي ۽ ڇا اهو بلڪل خراب آهي. هي فارنزڪ رپورٽ مقامي ۽ ڪلائوڊ سينڊ باڪس ٻنهي مان حاصل ڪري سگهجي ٿي.
چيڪ پوائنٽ فارنزڪ رپورٽ
اچو ته توهان کي چئو، هڪ معلوماتي سيڪيورٽي ماهر جي حيثيت ۾، ڪم تي آيو ۽ SmartConsole ۾ هڪ ڊيش بورڊ کوليو. فوري طور تي توهان گذريل 24 ڪلاڪن جا واقعا ڏسندا آهيو ۽ توهان جو ڌيان ڇڪايو ويندو آهي Threat Emulation واقعن - سڀ کان وڌيڪ خطرناڪ حملا جيڪي دستخط جي تجزيي ذريعي بند نه ڪيا ويا هئا.
توھان ڪري سگھو ٿا ”ڊرل ھيٺ“ انھن واقعن ۾ ۽ ڏسو سڀ لاگ ان لاءِ تھريٽ ايموليشن بليڊ.
ان کان پوءِ، توھان اضافي ڪري سگھو ٿا لاگز کي خطري جي تنقيدي سطح (شدت)، ۽ گڏوگڏ اعتماد جي سطح (جواب جي اعتبار سان):
انهي واقعي کي وڌايو جنهن ۾ اسان دلچسپي رکون ٿا، اسان عام معلومات (src، dst، شدت، موڪليندڙ، وغيره) سان واقف ٿي سگهون ٿا:
۽ اتي توهان سيڪشن ڏسي سگهو ٿا فارنڪس دستياب سان خلاصو رپورٽ. ان تي ڪلڪ ڪرڻ سان مالويئر جو تفصيلي تجزيو کليل HTML صفحي جي صورت ۾ ٿيندو:
(هي صفحي جو حصو آهي.
ساڳئي رپورٽ مان، اسان ڊائون لوڊ ڪري سگھون ٿا اصل مالويئر (پاسورڊ محفوظ ٿيل آرڪائيو ۾)، يا فوري طور تي چيڪ پوائنٽ جي جوابي ٽيم سان رابطو ڪريو.
بس هيٺان توهان هڪ خوبصورت اينيميشن ڏسي سگهو ٿا جيڪو ڏيکاري ٿو فيصد جي اصطلاحن ۾ جيڪو اڳ ۾ ئي ڄاڻايل خراب ڪوڊ اسان جي مثال ۾ عام آهي (بشمول ڪوڊ پاڻ ۽ ميڪرو). اهي تجزياتي چيڪ پوائنٽ ٿريٽ ڪلائوڊ ۾ مشين لرننگ استعمال ڪندي پهچائي رهيا آهن.
پوءِ توھان ڏسي سگھوٿا ته سينڊ باڪس ۾ ڪھڙيون سرگرميون اسان کي ان نتيجي تي پھچائڻ جي اجازت ڏين ٿيون ته ھي فائل خراب آھي. انهي حالت ۾، اسان ڏسون ٿا بائي پاس ٽيڪنالاجي جو استعمال ۽ ransomware ڊائون لوڊ ڪرڻ جي ڪوشش:
اهو نوٽ ڪري سگهجي ٿو ته هن معاملي ۾، emulation ٻن نظامن ۾ ڪيو ويو (Win 7، Win XP) ۽ مختلف سافٽ ويئر ورجن (Office، Adobe). ھيٺ ڏنل ھڪڙي وڊيو آھي (سلائڊ شو) ھن فائل کي سينڊ باڪس ۾ کولڻ جي عمل سان.
مثال وڊيو:
بلڪل آخر ۾ اسان تفصيل سان ڏسي سگھون ٿا ته حملي ڪيئن ترقي ڪئي. يا ته ٽيبلولر فارم ۾ يا گرافڪ طور تي:
اتي اسان هن معلومات کي RAW فارميٽ ۾ ڊائون لوڊ ڪري سگھون ٿا ۽ Wireshark ۾ ٺاهيل ٽرئفڪ جي تفصيلي تجزيي لاءِ هڪ pcap فائل:
ٿڪل
ھن معلومات کي استعمال ڪندي، توھان پنھنجي نيٽ ورڪ جي حفاظت کي خاص طور تي مضبوط ڪري سگھو ٿا. بلاڪ وائرس ورهائڻ جي ميزباني، بند استحصال نقصانڪار، بلاڪ ممڪن موٽ C&C کان ۽ گهڻو ڪجهه. هن تجزيي کي نظرانداز نه ڪيو وڃي.
هيٺ ڏنل مضمونن ۾، اسان ساڳئي طرح سينڊ بلاسٽ ايجنٽ، سنيڊ بلاسٽ موبائل، ۽ گڏوگڏ CloudGiard SaaS جي رپورٽن تي نظر ڪنداسين. پوء ڏسندا رهو (
جو ذريعو: www.habr.com