නව ලිපි මාලාවකට සාදරයෙන් පිළිගනිමු, මෙවර සිදුවීම් විමර්ශනය යන මාතෘකාව මත, එනම් Check Point forensics භාවිතයෙන් අනිෂ්ට මෘදුකාංග විශ්ලේෂණය. අපි කලින් පළ කළා
සිදුවීම් වැළැක්වීමේ අධිකරණ වෛද්ය විද්යාව වැදගත් වන්නේ ඇයි? ඔබ වෛරසය අල්ලාගෙන ඇති බව පෙනේ, එය දැනටමත් හොඳයි, එය සමඟ කටයුතු කරන්නේ ඇයි? ප්රායෝගිකව පෙන්නුම් කරන පරිදි, ප්රහාරයක් අවහිර කිරීම පමණක් නොව, එය ක්රියාත්මක වන ආකාරය හරියටම තේරුම් ගැනීම ද සුදුසු ය: ඇතුල්වීමේ ස්ථානය කුමක්ද, කුමන අවදානමක් භාවිතා කළේද, කුමන ක්රියාවලීන් සම්බන්ධද, රෙජිස්ට්රි සහ ගොනු පද්ධතියට බලපාන්නේද, කුමන පවුලද? වෛරස්, කුමන විය හැකි හානිය, ආදිය. මෙය සහ අනෙකුත් ප්රයෝජනවත් දත්ත චෙක් පොයින්ට් හි විස්තීර්ණ අධිකරණ වෛද්ය වාර්තා (පෙළ සහ චිත්රක යන දෙකම) ලබා ගත හැක. එවැනි වාර්තාවක් අතින් ලබා ගැනීම ඉතා අපහසුය. මෙම දත්තවලට පසුව සුදුසු ක්රියාමාර්ග ගැනීමට සහ අනාගතයේදී එවැනි ප්රහාර සාර්ථක වීම වැළැක්විය හැක. අද අපි Check Point SandBlast Network forensics වාර්තාව දෙස බලමු.
SandBlast ජාලය
ජාල පරිමිතිය ආරක්ෂා කිරීම ශක්තිමත් කිරීම සඳහා වැලි පෙට්ටි භාවිතා කිරීම දිගු කලක් තිස්සේ සාමාන්ය දෙයක් වී ඇති අතර IPS වැනි අනිවාර්ය අංගයකි. Check Point හි, SandBlast තාක්ෂණයේ කොටසක් වන Threat Emulation තලය (තර්ජන නිස්සාරණය ද ඇත), වැලිපිල්ල ක්රියාකාරීත්වය සඳහා වගකිව යුතුය. අපි මීට පෙර පළ කර ඇත
- SandBlast දේශීය උපකරණ — ඔබේ ජාලයේ අතිරේක SandBlast උපකරණයක් ස්ථාපනය කර ඇති අතර, විශ්ලේෂණය සඳහා ගොනු යවනු ලැබේ.
- SandBlast Cloud — ගොනු විශ්ලේෂණය සඳහා Check Point cloud වෙත යවනු ලැබේ.
වැලිපිල්ල ජාල පරිමිතියෙහි අවසාන ආරක්ෂක රේඛාව ලෙස සැලකිය හැකිය. එය සම්බන්ධ වන්නේ සම්භාව්ය ක්රම මගින් විශ්ලේෂණය කිරීමෙන් පසුව පමණි - ප්රති-වයිරස, IPS. එවැනි සාම්ප්රදායික අත්සන මෙවලම් ප්රායෝගිකව කිසිදු විශ්ලේෂණයක් ලබා නොදෙන්නේ නම්, ගොනුව අවහිර කළේ මන්දැයි සහ එය හරියටම අනිෂ්ට කරන්නේ කුමක්ද යන්න වැලිපිල්ලට විස්තරාත්මකව “කියන්න” හැකිය. මෙම අධිකරණ වෛද්ය වාර්තාව දේශීය සහ වලාකුළු වැලි පෙට්ටියකින් ලබා ගත හැක.
Point Forensics වාර්තාව පරීක්ෂා කරන්න
ඔබ තොරතුරු ආරක්ෂණ විශේෂඥයෙකු ලෙස වැඩට පැමිණ SmartConsole හි උපකරණ පුවරුවක් විවෘත කළ බව කියමු. වහාම ඔබ පසුගිය පැය 24 තුළ සිදුවීම් දකින අතර ඔබේ අවධානය තර්ජන අනුකරණ සිදුවීම් වෙත යොමු කෙරේ - අත්සන විශ්ලේෂණය මගින් අවහිර නොකළ වඩාත් භයානක ප්රහාර.
ඔබට මෙම සිදුවීම් වලට "පහළට සරඹ" කළ හැකි අතර Threat Emulation තලය සඳහා සියලුම ලොග් බලන්න.
මෙයින් පසු, ඔබට තර්ජන විවේචනාත්මක මට්ටම (තීව්රතාවය) මෙන්ම විශ්වාස මට්ටම (ප්රතිචාරයේ විශ්වසනීයත්වය) මගින් ද ලඝු පෙරහන් කළ හැකිය:
අප උනන්දුවක් දක්වන සිදුවීම පුළුල් කිරීමෙන්, අපට සාමාන්ය තොරතුරු (src, dst, බරපතලකම, යවන්නා, ආදිය) සමඟ දැන හඳුනා ගත හැකිය:
තවද එහි ඔබට කොටස දැකිය හැකිය අධිකරණ වෛද්ය විද්යාව ලබා ගත හැකි සමග සාරාංශය වාර්තාව. එය මත ක්ලික් කිරීමෙන් අනිෂ්ට මෘදුකාංග පිළිබඳ සවිස්තරාත්මක විශ්ලේෂණයක් අන්තර්ක්රියාකාරී HTML පිටුවක ආකාරයෙන් විවෘත වනු ඇත:
(මෙය පිටුවේ කොටසකි.
එම වාර්තාවෙන්, අපට මුල් අනිෂ්ට මෘදුකාංග (මුරපද ආරක්ෂිත ලේඛනාගාරයක) බාගත කළ හැකිය, නැතහොත් වහාම චෙක් පොයින්ට් ප්රතිචාර කණ්ඩායම අමතන්න.
මඳක් පහළින් ඔබට අපගේ නිදසුනෙහි පොදුවේ ඇති (කේතය සහ මැක්රෝ ඇතුළුව) දැනටමත් දන්නා අනිෂ්ට කේතය ප්රතිශත අනුව පෙන්වන ලස්සන සජීවිකරණයක් දැකිය හැක. මෙම විශ්ලේෂණ ලබා දෙන්නේ Check Point Threat Cloud තුළ යන්ත්ර ඉගෙනීම භාවිතා කරමිනි.
එවිට ඔබට මෙම ගොනුව අනිෂ්ට බව නිගමනය කිරීමට සෑන්ඩ්බොක්ස් හි ඇති ක්රියාකාරකම් හරියටම දැක ගත හැකිය. මෙම අවස්ථාවේදී, අපි බයිපාස් ක්රම භාවිතා කිරීම සහ ransomware බාගත කිරීමේ උත්සාහයක් දකිමු:
මෙම අවස්ථාවෙහිදී, අනුකරණය පද්ධති දෙකකින් (Win 7, Win XP) සහ විවිධ මෘදුකාංග අනුවාදයන් (Office, Adobe) සිදු කරන ලද බව සටහන් කළ හැකිය. වැලිපිල්ල තුළ මෙම ගොනුව විවෘත කිරීමේ ක්රියාවලිය සමඟ වීඩියෝවක් (විනිවිදක දර්ශනය) පහත ඇත:
උදාහරණ වීඩියෝව:
අවසානයේ දී ප්රහාරය වර්ධනය වූ ආකාරය විස්තරාත්මකව අපට දැක ගත හැකිය. වගු ආකාරයෙන් හෝ චිත්රක ආකාරයෙන්:
එහිදී අපට මෙම තොරතුරු RAW ආකෘතියෙන් සහ Wireshark හි ජනනය කරන ලද ගමනාගමනය පිළිබඳ සවිස්තරාත්මක විශ්ලේෂණ සඳහා pcap ගොනුවක් බාගත කළ හැකිය:
නිගමනය
මෙම තොරතුරු භාවිතා කිරීමෙන්, ඔබේ ජාලයේ ආරක්ෂාව සැලකිය යුතු ලෙස ශක්තිමත් කළ හැකිය. වෛරස් බෙදා හැරීමේ ධාරක අවහිර කිරීම, සූරාකෑමට ලක් වූ දුර්වලතා වසා දැමීම, C&C වෙතින් විය හැකි ප්රතිපෝෂණ අවහිර කිරීම සහ තවත් බොහෝ දේ. මෙම විශ්ලේෂණය නොසලකා හැරිය යුතු නොවේ.
පහත ලිපිවලදී, අපි ඒ හා සමානව SandBlast Agent, SnadBlast Mobile, මෙන්ම CloudGiard SaaS හි වාර්තා දෙස බලමු. එබැවින් රැඳී සිටින්න (
මූලාශ්රය: www.habr.com