Wilujeng sumping di runtuyan anyar artikel, kali ieu dina topik panalungtikan kajadian, nyaéta analisis malware ngagunakeun Check Point forensik. Urang saméméhna diterbitkeun dina damel di Acara Smart, tapi ayeuna urang bakal ningali laporan forensik ngeunaan acara khusus dina produk Check Point anu béda:
Naha forensik pencegahan kajadian penting? Éta sigana anjeun parantos katéwak virus, éta parantos saé, naha kedah diurus? Salaku prakték nempokeun, éta sasaena henteu ngan pikeun meungpeuk serangan, tapi ogé pikeun ngarti persis kumaha gawéna: naon titik éntri éta, naon kerentanan ieu dipaké, naon prosés anu kalibet, naha pendaptaran sarta sistem file kapangaruhan, naon kulawarga. tina virus, naon poténsi karuksakan, jsb. Ieu sareng data mangpaat sanésna tiasa dicandak tina laporan forensik komprehensif Check Point (duanana téks sareng grafis). Hésé pisan pikeun kéngingkeun laporan sapertos kitu sacara manual. Data ieu teras tiasa ngabantosan nyandak tindakan anu pas sareng nyegah serangan anu sami pikeun suksés di hareup. Dinten ieu kami bakal ningali laporan forensik Check Point SandBlast Network.
Jaringan SandBlast
Pamakéan kotak pasir pikeun nguatkeun panyalindungan perimeter jaringan parantos lami biasa sareng wajib janten komponén sapertos IPS. Di Check Point, sabeulah Threat Emulation, anu mangrupa bagian tina téknologi SandBlast (aya ogé Extraction Threat), tanggung jawab kana fungsionalitas sandbox. Kami parantos diterbitkeun sateuacanna ogé pikeun versi Gaia 77.30 (Kuring kacida nyarankeun nonton eta lamun teu ngarti naon urang ngobrol ngeunaan ayeuna). Ti sudut pandang arsitéktur, euweuh geus fundamentally robah saprak lajeng. Upami anjeun gaduh Check Point Gateway dina perimeter jaringan anjeun, anjeun tiasa nganggo dua pilihan pikeun integrasi sareng kotak pasir:
- SandBlast Alat Lokal - alat SandBlast tambahan dipasang dina jaringan anjeun, dimana file dikirim pikeun dianalisis.
- SandBlast Awan - file dikirim pikeun analisis ka awan Check Point.
Sandbox bisa dianggap garis pertahanan panungtungan di perimeter jaringan. Nyambungkeun ngan sanggeus analisa ku cara klasik - antipirus, IPS. Sareng upami alat tandatangan tradisional sapertos kitu henteu nyayogikeun analitik naon waé, kotak pasir tiasa "ngabejaan" sacara rinci naha filena diblokir sareng naon anu leres-leres jahat. Laporan forensik ieu tiasa dicandak tina kotak pasir lokal sareng awan.
Pariksa Point Forensik Laporan
Sebutkeun anjeun, salaku spesialis kaamanan inpormasi, sumping damel sareng muka dasbor di SmartConsole. Langsung anjeun ningali kajadian salami 24 jam terakhir sareng perhatian anjeun ditarik ka acara Anceman Emulation - serangan anu paling bahaya anu henteu diblokir ku analisa tandatangan.
Anjeun tiasa "bor handap" kana acara ieu tur tingal sagala log pikeun sabeulah Ancaman Emulation.
Saatos ieu, anjeun ogé tiasa nyaring log ku tingkat kritisitas ancaman (Severity), ogé ku Tingkat Kapercayaan (reliabilitas réspon):
Saatos ngalegaan acara anu dipikaresep ku urang, urang tiasa kenal sareng inpormasi umum (src, dst, severity, pangirim, jsb.):
Tur aya anjeun tiasa ningali bagian Forensik kalawan sadia singgetan laporan. Ngaklik éta bakal muka analisa lengkep malware dina bentuk halaman HTML interaktif:
(Ieu bagian tina kaca. )
Tina laporan anu sami, urang tiasa ngaunduh malware asli (dina arsip anu ditangtayungan ku sandi), atanapi langsung ngahubungi tim réspon Check Point.
Di handap ieu anjeun tiasa ningali animasi anu saé anu nunjukkeun dina persentase istilah anu parantos dipikanyaho kode jahat anu aya dina conto urang (kalebet kodeu sorangan sareng makro). Analisis ieu dikirimkeun nganggo pembelajaran mesin dina Awan Ancaman Titik Cék.
Teras anjeun tiasa ningali persis naon kagiatan dina kotak pasir anu ngamungkinkeun urang nyimpulkeun yén file ieu jahat. Dina hal ieu, urang ningali pamakean téknik bypass sareng usaha pikeun ngaunduh ransomware:
Ieu bisa dicatet yén dina hal ieu, emulation dilumangsungkeun dina dua sistem (Win 7, Win XP) jeung versi software béda (Kantor, Adobe). Di handap ieu aya pidéo (slide show) kalayan prosés muka file ieu dina kotak pasir:
Conto video:
Dina ahirna urang tiasa ningali sacara rinci kumaha seranganna berkembang. Boh dina bentuk tabular atanapi grafis:
Di dinya urang tiasa ngaunduh inpormasi ieu dina format RAW sareng file pcap pikeun analisa detil ngeunaan lalu lintas anu dihasilkeun dina Wireshark:
kacindekan
Nganggo inpormasi ieu, anjeun tiasa sacara signifikan nguatkeun panyalindungan jaringan anjeun. Blok host distribusi virus, nutup kerentanan anu dieksploitasi, meungpeuk eupan balik anu mungkin tina C&C sareng seueur deui. Analisis ieu teu matak diabaikan.
Dina tulisan di handap ieu, urang ogé bakal ningali laporan SandBlast Agent, SnadBlast Mobile, ogé CloudGiard SaaS. Jadi tetep awas (, , , )!
sumber: www.habr.com