Vitajte pri novej sérii článkov, tentoraz na tému vyšetrovania incidentov, konkrétne analýzy malvéru pomocou forenznej analýzy Check Point. Predtým sme publikovali o práci v Smart Event, ale tentoraz sa pozrieme na forenzné správy o konkrétnych udalostiach v rôznych produktoch Check Point:
Prečo je forenzná prevencia incidentov dôležitá? Zdá sa, že ste chytili vírus, už je dobrý, prečo sa tým zaoberať? Ako ukazuje prax, je vhodné nielen zablokovať útok, ale tiež presne pochopiť, ako to funguje: aký bol vstupný bod, aká zraniteľnosť bola použitá, aké procesy sú zahrnuté, či je ovplyvnený register a súborový systém, aká rodina vírusov, aké potenciálne škody atď. Tieto a ďalšie užitočné údaje možno získať z komplexných forenzných správ Check Point (textových aj grafických). Je veľmi ťažké získať takúto správu ručne. Tieto údaje potom môžu pomôcť prijať vhodné opatrenia a zabrániť úspechu podobných útokov v budúcnosti. Dnes sa pozrieme na forenznú správu Check Point SandBlast Network.
SandBlast Network
Používanie sandboxov na posilnenie ochrany perimetra siete je už dlho samozrejmosťou a je rovnako povinnou súčasťou ako IPS. V Check Point je za funkcionalitu sandboxu zodpovedná čepeľ Threat Emulation, ktorá je súčasťou technológií SandBlast (existuje aj Threat Extraction). Už sme publikovali aj pre verziu Gaia 77.30 (vrelo odporúčam pozrieť, ak nerozumiete, o čom teraz hovoríme). Z architektonického hľadiska sa odvtedy nič zásadne nezmenilo. Ak máte bránu Check Point Gateway na okraji vašej siete, môžete použiť dve možnosti integrácie s karanténou:
- Miestne zariadenie SandBlast — vo vašej sieti je nainštalované ďalšie zariadenie SandBlast, do ktorého sa odosielajú súbory na analýzu.
- SandBlast Cloud — súbory sa odošlú na analýzu do cloudu Check Point.
Sandbox možno považovať za poslednú obrannú líniu na okraji siete. Pripojí sa až po analýze klasickými prostriedkami - antivírus, IPS. A ak takéto tradičné podpisové nástroje neposkytujú prakticky žiadnu analýzu, karanténa môže „povedať“ podrobne, prečo bol súbor zablokovaný a čo presne robí škodlivé. Túto forenznú správu možno získať z lokálnej aj cloudovej karantény.
Forenzná správa Check Point
Povedzme, že ste ako špecialista na informačnú bezpečnosť prišli do práce a otvorili ste dashboard v SmartConsole. Okamžite uvidíte incidenty za posledných 24 hodín a vašu pozornosť upútajú udalosti emulácie hrozieb – najnebezpečnejšie útoky, ktoré neboli zablokované analýzou signatúr.
Môžete si „prehĺbiť“ tieto udalosti a zobraziť všetky protokoly čepele emulácie hrozby.
Potom môžete protokoly dodatočne filtrovať podľa úrovne kritickosti hrozby (závažnosť), ako aj podľa úrovne spoľahlivosti (spoľahlivosť odozvy):
Po rozšírení udalosti, o ktorú máme záujem, sa môžeme zoznámiť so všeobecnými informáciami (src, dst, závažnosť, odosielateľ atď.):
A tam môžete vidieť sekciu Forenzná s dostupnými zhrnutie správa. Kliknutím naň sa otvorí podrobná analýza malvéru vo forme interaktívnej HTML stránky:
(Toto je časť stránky. )
Z toho istého hlásenia si môžeme stiahnuť pôvodný malvér (v archíve chránenom heslom) alebo okamžite kontaktovať tím reakcie Check Point.
Hneď nižšie môžete vidieť krásnu animáciu, ktorá v percentách ukazuje, ktorý známy škodlivý kód má naša inštancia spoločný (vrátane samotného kódu a makier). Tieto analýzy sa poskytujú pomocou strojového učenia v cloude Check Point Threat Cloud.
Potom môžete presne vidieť, aké aktivity v karanténe nám umožnili dospieť k záveru, že tento súbor je škodlivý. V tomto prípade vidíme použitie obchádzacích techník a pokus o stiahnutie ransomvéru:
Je možné poznamenať, že v tomto prípade bola emulácia vykonaná v dvoch systémoch (Win 7, Win XP) a rôznych verziách softvéru (Office, Adobe). Nižšie je video (prezentácia) s procesom otvárania tohto súboru v karanténe:
Príklad videa:
Na samom konci môžeme detailne vidieť, ako sa útok vyvíjal. Buď v tabuľkovej forme alebo graficky:
Tam si môžeme stiahnuť tieto informácie vo formáte RAW a súbor pcap na podrobnú analýzu generovanej návštevnosti vo Wiresharku:
Záver
Pomocou týchto informácií môžete výrazne posilniť ochranu vašej siete. Blokujte hostiteľov distribúcie vírusov, zatvorte zneužité zraniteľné miesta, blokujte možnú spätnú väzbu od C&C a oveľa viac. Túto analýzu netreba zanedbávať.
V nasledujúcich článkoch sa podobne pozrieme na správy SandBlast Agent, SnadBlast Mobile, ako aj CloudGiard SaaS. Takže zostaňte naladení (, , , )!
Zdroj: hab.com