Dobrodošli v novi seriji člankov, tokrat na temo preiskave incidentov, in sicer analize zlonamerne programske opreme s pomočjo forenzike Check Point. Pred tem smo objavili o delu v Smart Event, vendar si bomo tokrat ogledali forenzična poročila o določenih dogodkih v različnih izdelkih Check Point:
Zakaj je forenzika za preprečevanje incidentov pomembna? Zdi se, da ste ujeli virus, to je že dobro, zakaj bi se ukvarjali z njim? Kot kaže praksa, je priporočljivo ne samo blokirati napad, ampak tudi natančno razumeti, kako deluje: kakšna je bila vstopna točka, katera ranljivost je bila uporabljena, kateri procesi so vključeni, ali sta prizadeta register in datotečni sistem, katera družina virusov, kakšna morebitna škoda itd. Te in druge uporabne podatke je mogoče pridobiti iz Check Pointovih obsežnih forenzičnih poročil (tako besedilnih kot grafičnih). Zelo težko je ročno pridobiti takšno poročilo. Ti podatki lahko nato pomagajo pri ustreznem ukrepanju in preprečijo, da bi podobni napadi v prihodnje uspeli. Danes si bomo ogledali forenzično poročilo Check Point SandBlast Network.
Omrežje SandBlast
Uporaba peskovnikov za krepitev zaščite perimetra omrežja je že dolgo postala vsakdanja in je tako obvezna komponenta kot IPS. Pri Check Pointu je za funkcionalnost peskovnika odgovoren rezilo Threat Emulation, ki je del tehnologij SandBlast (obstaja tudi Threat Extraction). Prej smo že objavili tudi za različico Gaia 77.30 (toplo priporočam ogled, če ne razumete, o čem zdaj govorimo). Z arhitekturnega vidika se od takrat ni nič bistveno spremenilo. Če imate prehod Check Point na obodu svojega omrežja, lahko uporabite dve možnosti integracije s peskovnikom:
- Lokalni aparat SandBlast — v vašem omrežju je nameščena dodatna naprava SandBlast, ki se ji pošiljajo datoteke v analizo.
- SandBlast Cloud — datoteke se pošljejo v analizo v oblak Check Point.
Peskovnik lahko štejemo za zadnjo obrambno črto na obodu omrežja. Povezuje se šele po analizi s klasičnimi sredstvi - antivirus, IPS. In če takšna tradicionalna orodja za podpisovanje ne zagotavljajo praktično nobene analitike, lahko peskovnik podrobno "pove", zakaj je bila datoteka blokirana in kaj točno zlonamerno počne. To forenzično poročilo je mogoče pridobiti iz lokalnega peskovnika in peskovnika v oblaku.
Check Point forenzično poročilo
Recimo, da ste kot strokovnjak za informacijsko varnost prišli v službo in odprli nadzorno ploščo v SmartConsole. Takoj vidite incidente za zadnjih 24 ur in vašo pozornost pritegnejo dogodki emulacije groženj – najnevarnejši napadi, ki jih analiza podpisa ni blokirala.
Te dogodke lahko »poglobite« in si ogledate vse dnevnike za rezilo Threat Emulation.
Po tem lahko dodatno filtrirate dnevnike glede na stopnjo kritičnosti grožnje (Severity) in glede na stopnjo zaupanja (zanesljivost odziva):
Ko razširimo dogodek, ki nas zanima, se lahko seznanimo s splošnimi informacijami (src, dst, resnost, pošiljatelj itd.):
In tam lahko vidite razdelek Forenziki z razpoložljivim Povzetek poročilo. S klikom nanj se odpre podrobna analiza zlonamerne programske opreme v obliki interaktivne strani HTML:
(To je del strani. )
Iz istega poročila lahko prenesemo izvirno zlonamerno programsko opremo (v arhivu, zaščitenem z geslom) ali takoj stopimo v stik z odzivno skupino Check Point.
Tik spodaj lahko vidite čudovito animacijo, ki v odstotkih prikazuje, katera že znana zlonamerna koda je skupna našemu primerku (vključno s samo kodo in makri). Ta analitika se izvaja s pomočjo strojnega učenja v oblaku Check Point Threat Cloud.
Nato lahko natančno vidite, katere dejavnosti v peskovniku so nam omogočile sklep, da je ta datoteka zlonamerna. V tem primeru vidimo uporabo tehnik obvoda in poskus prenosa izsiljevalske programske opreme:
Ugotovimo lahko, da je bila v tem primeru emulacija izvedena v dveh sistemih (Win 7, Win XP) in različnih različicah programske opreme (Office, Adobe). Spodaj je video (diaprojekcija) s postopkom odpiranja te datoteke v peskovniku:
Primer videa:
Čisto na koncu lahko podrobno vidimo, kako se je napad razvil. V obliki tabele ali grafično:
Tam lahko prenesemo te informacije v formatu RAW in datoteko pcap za podrobno analizo ustvarjenega prometa v Wiresharku:
Zaključek
Z uporabo teh informacij lahko znatno okrepite zaščito svojega omrežja. Blokirajte gostitelje za distribucijo virusov, zaprite izkoriščene ranljivosti, blokirajte morebitne povratne informacije s strani C&C in še veliko več. Te analize ne smemo zanemariti.
V naslednjih člankih si bomo podobno ogledali poročila SandBlast Agent, SnadBlast Mobile in CloudGiard SaaS. Zato ostanite z nami (, , , )!
Vir: www.habr.com