Mirë se vini në një seri të re artikujsh, këtë herë me temën e hetimit të incidentit, përkatësisht analizën e malware duke përdorur mjekësinë ligjore të Check Point. Ne kemi publikuar më parë mbi punën në Smart Event, por këtë herë do të shikojmë raportet e mjekësisë ligjore për ngjarje specifike në produkte të ndryshme Check Point:
Pse është e rëndësishme mjekësia ligjore për parandalimin e incidenteve? Duket se e keni kapur virusin, tashmë është mirë, pse të merreni me të? Siç tregon praktika, këshillohet jo vetëm të bllokoni një sulm, por edhe të kuptoni saktësisht se si funksionon: cila ishte pika e hyrjes, çfarë cenueshmërie u përdor, cilat procese përfshihen, nëse regjistri dhe sistemi i skedarëve preken, cila familje të viruseve, çfarë dëmesh të mundshme, etj. Këto dhe të dhëna të tjera të dobishme mund të merren nga raportet gjithëpërfshirëse të mjekësisë ligjore të Check Point (me tekst dhe grafik). Është shumë e vështirë për të marrë një raport të tillë me dorë. Këto të dhëna më pas mund të ndihmojnë në marrjen e masave të duhura dhe parandalimin e suksesit të sulmeve të ngjashme në të ardhmen. Sot do të shikojmë raportin e mjekësisë ligjore të Rrjetit Check Point SandBlast.
Rrjeti SandBlast
Përdorimi i kutive të rërës për të forcuar mbrojtjen e perimetrit të rrjetit është bërë prej kohësh i zakonshëm dhe është një komponent i detyrueshëm sa IPS. Në Check Point, blade Threat Emulation, e cila është pjesë e teknologjive SandBlast (ekziston edhe Threat Extraction), është përgjegjës për funksionalitetin e sandbox. Ne kemi publikuar tashmë më parë gjithashtu për versionin Gaia 77.30 (Unë rekomandoj shumë ta shikoni nëse nuk e kuptoni se për çfarë po flasim tani). Nga pikëpamja arkitekturore, asgjë nuk ka ndryshuar rrënjësisht që atëherë. Nëse keni një "Check Point Gateway" në perimetrin e rrjetit tuaj, atëherë mund të përdorni dy opsione për integrim me sandbox:
- Pajisje lokale SandBlast — Një pajisje shtesë SandBlast është instaluar në rrjetin tuaj, në të cilën skedarët dërgohen për analizë.
- SandBlast Cloud — skedarët dërgohen për analizë në renë Check Point.
Sandbox mund të konsiderohet linja e fundit e mbrojtjes në perimetrin e rrjetit. Ai lidhet vetëm pas analizës me mjete klasike - antivirus, IPS. Dhe nëse mjete të tilla tradicionale të nënshkrimit nuk ofrojnë praktikisht ndonjë analitikë, atëherë sandbox mund të "tregojë" në detaje pse skedari u bllokua dhe çfarë saktësisht shkakton keqdashje. Ky raport i mjekësisë ligjore mund të merret si nga një sandbox lokal ashtu edhe nga cloud.
Raporti i mjekësisë ligjore të pikës së kontrollit
Le të themi se ju, si specialist i sigurisë së informacionit, keni ardhur në punë dhe keni hapur një panel kontrolli në SmartConsole. Menjëherë ju shihni incidente për 24 orët e fundit dhe vëmendja juaj tërhiqet nga ngjarjet e Emulimit të Kërcënimeve - sulmet më të rrezikshme që nuk u bllokuan nga analiza e nënshkrimit.
Ju mund të "shponi" në këto ngjarje dhe të shihni të gjitha regjistrat për tehun e Emulimit të Kërcënimit.
Pas kësaj, mund t'i filtroni gjithashtu regjistrat sipas nivelit të kritikës së kërcënimit (Ashpërsia), si dhe sipas nivelit të besimit (besueshmëria e përgjigjes):
Pas zgjerimit të ngjarjes për të cilën jemi të interesuar, mund të njihemi me informacionin e përgjithshëm (src, dst, ashpërsia, dërguesi, etj.):
Dhe atje mund të shihni seksionin Mjekësinë Ligjore me disponim përmbledhje raporti. Klikimi mbi të do të hapë një analizë të detajuar të malware në formën e një faqe HTML interaktive:
(Kjo është pjesë e faqes. )
Nga i njëjti raport, ne mund të shkarkojmë malware-in origjinal (në një arkiv të mbrojtur me fjalëkalim) ose të kontaktojmë menjëherë ekipin e përgjigjes së Check Point.
Pak më poshtë mund të shihni një animacion të bukur që tregon në përqindje se cilin kod keqdashës të njohur tashmë ka të përbashkët shembulli ynë (duke përfshirë vetë kodin dhe makrot). Këto analitike shpërndahen duke përdorur mësimin e makinerive në renë kompjuterike të kërcënimit të pikës së kontrollit.
Pastaj mund të shihni saktësisht se cilat aktivitete në sandbox na lejuan të konkludojmë se ky skedar është me qëllim të keq. Në këtë rast, ne shohim përdorimin e teknikave të anashkalimit dhe një përpjekje për të shkarkuar ransomware:
Mund të vërehet se në këtë rast, emulimi u krye në dy sisteme (Win 7, Win XP) dhe versione të ndryshme të softuerit (Office, Adobe). Më poshtë keni një video (slide show) me procesin e hapjes së këtij skedari në sandbox:
Shembull video:
Në fund mund të shohim në detaje se si u zhvillua sulmi. Ose në formë tabelare ose grafike:
Aty mund ta shkarkojmë këtë informacion në format RAW dhe një skedar pcap për analitikë të detajuar të trafikut të gjeneruar në Wireshark:
Përfundim
Duke përdorur këtë informacion, ju mund të forconi ndjeshëm mbrojtjen e rrjetit tuaj. Bllokoni hostet e shpërndarjes së virusit, mbyllni dobësitë e shfrytëzuara, bllokoni reagimet e mundshme nga C&C dhe shumë më tepër. Kjo analizë nuk duhet neglizhuar.
Në artikujt e mëposhtëm, ne do të shikojmë në mënyrë të ngjashme raportet e SandBlast Agent, SnadBlast Mobile, si dhe CloudGiard SaaS. Kështu që qëndroni të sintonizuar (, , , )!
Burimi: www.habr.com