చెక్ పాయింట్ ఫోరెన్సిక్స్ని ఉపయోగించి మాల్వేర్ విశ్లేషణ అనే సంఘటన పరిశోధన అంశంపై ఈసారి కొత్త కథనాల శ్రేణికి స్వాగతం. మేము ఇంతకు ముందు ప్రచురించాము స్మార్ట్ ఈవెంట్లో పని చేస్తున్నప్పుడు, కానీ ఈసారి మేము వేర్వేరు చెక్ పాయింట్ ఉత్పత్తులలోని నిర్దిష్ట ఈవెంట్లపై ఫోరెన్సిక్స్ నివేదికలను పరిశీలిస్తాము:
ఇన్సిడెంట్ ప్రివెన్షన్ ఫోరెన్సిక్స్ ఎందుకు ముఖ్యమైనది? మీరు వైరస్ను పట్టుకున్నట్లు అనిపిస్తుంది, ఇది ఇప్పటికే మంచిది, దానితో ఎందుకు వ్యవహరించాలి? ప్రాక్టీస్ చూపినట్లుగా, దాడిని నిరోధించడమే కాకుండా, అది ఎలా పనిచేస్తుందో అర్థం చేసుకోవడం కూడా మంచిది: ఎంట్రీ పాయింట్ ఏమిటి, ఏ దుర్బలత్వం ఉపయోగించబడింది, ఏ ప్రక్రియలు ఉన్నాయి, రిజిస్ట్రీ మరియు ఫైల్ సిస్టమ్ ప్రభావితం చేయబడిందా, ఏ కుటుంబం వైరస్లు, ఏ సంభావ్య నష్టం మొదలైనవి. చెక్ పాయింట్ యొక్క సమగ్ర ఫోరెన్సిక్స్ నివేదికల (టెక్స్ట్ మరియు గ్రాఫికల్ రెండూ) నుండి ఇది మరియు ఇతర ఉపయోగకరమైన డేటాను పొందవచ్చు. అటువంటి నివేదికను మానవీయంగా పొందడం చాలా కష్టం. ఈ డేటా తగిన చర్య తీసుకోవడానికి మరియు భవిష్యత్తులో ఇలాంటి దాడులను విజయవంతం చేయకుండా నిరోధించడంలో సహాయపడుతుంది. ఈ రోజు మనం చెక్ పాయింట్ శాండ్బ్లాస్ట్ నెట్వర్క్ ఫోరెన్సిక్స్ నివేదికను పరిశీలిస్తాము.
శాండ్బ్లాస్ట్ నెట్వర్క్
నెట్వర్క్ చుట్టుకొలత యొక్క రక్షణను బలోపేతం చేయడానికి శాండ్బాక్స్లను ఉపయోగించడం చాలా కాలంగా సాధారణం మరియు IPS వలె తప్పనిసరి భాగం. చెక్ పాయింట్ వద్ద, శాండ్బ్లాస్ట్ టెక్నాలజీస్లో భాగమైన థ్రెట్ ఎమ్యులేషన్ బ్లేడ్ (థ్రెట్ ఎక్స్ట్రాక్షన్ కూడా ఉంది) శాండ్బాక్స్ కార్యాచరణకు బాధ్యత వహిస్తుంది. మేము ఇంతకు ముందు ప్రచురించాము వెర్షన్ Gaia 77.30 కోసం కూడా (మేము ఇప్పుడు ఏమి మాట్లాడుతున్నామో మీకు అర్థం కాకపోతే దాన్ని చూడాలని నేను బాగా సిఫార్సు చేస్తున్నాను). నిర్మాణ దృక్కోణం నుండి, అప్పటి నుండి ప్రాథమికంగా ఏమీ మారలేదు. మీరు మీ నెట్వర్క్ చుట్టుకొలతలో చెక్ పాయింట్ గేట్వేని కలిగి ఉంటే, మీరు శాండ్బాక్స్తో ఏకీకరణ కోసం రెండు ఎంపికలను ఉపయోగించవచ్చు:
- SandBlast స్థానిక ఉపకరణం — మీ నెట్వర్క్లో అదనపు SandBlast ఉపకరణం ఇన్స్టాల్ చేయబడింది, దీనికి ఫైల్లు విశ్లేషణ కోసం పంపబడతాయి.
- శాండ్బ్లాస్ట్ క్లౌడ్ — ఫైళ్లు విశ్లేషణ కోసం చెక్ పాయింట్ క్లౌడ్కు పంపబడతాయి.
శాండ్బాక్స్ నెట్వర్క్ చుట్టుకొలత వద్ద రక్షణ యొక్క చివరి లైన్గా పరిగణించబడుతుంది. ఇది శాస్త్రీయ మార్గాల ద్వారా విశ్లేషణ తర్వాత మాత్రమే కలుపుతుంది - యాంటీవైరస్, IPS. మరియు అటువంటి సాంప్రదాయ సంతకం సాధనాలు ఆచరణాత్మకంగా ఎటువంటి విశ్లేషణలను అందించకపోతే, ఫైల్ ఎందుకు బ్లాక్ చేయబడిందో మరియు అది ఖచ్చితంగా హానికరమైనది ఏమిటో శాండ్బాక్స్ వివరంగా "చెప్పగలదు". ఈ ఫోరెన్సిక్స్ నివేదికను స్థానిక మరియు క్లౌడ్ శాండ్బాక్స్ రెండింటి నుండి పొందవచ్చు.
పాయింట్ ఫోరెన్సిక్స్ నివేదికను తనిఖీ చేయండి
మీరు సమాచార భద్రతా నిపుణుడిగా పని చేయడానికి వచ్చి SmartConsoleలో డ్యాష్బోర్డ్ను తెరిచారని అనుకుందాం. తక్షణమే మీరు గత 24 గంటలలో జరిగిన సంఘటనలను చూస్తారు మరియు మీ దృష్టిని థ్రెట్ ఎమ్యులేషన్ ఈవెంట్ల వైపు మళ్లిస్తారు - సంతకం విశ్లేషణ ద్వారా నిరోధించబడని అత్యంత ప్రమాదకరమైన దాడులు.
మీరు ఈ ఈవెంట్లను "డ్రిల్ డౌన్" చేయవచ్చు మరియు థ్రెట్ ఎమ్యులేషన్ బ్లేడ్ కోసం అన్ని లాగ్లను చూడవచ్చు.
దీని తర్వాత, మీరు లాగ్లను బెదిరింపు క్లిష్టమైన స్థాయి (తీవ్రత), అలాగే కాన్ఫిడెన్స్ లెవెల్ (ప్రతిస్పందన యొక్క విశ్వసనీయత) ద్వారా అదనంగా ఫిల్టర్ చేయవచ్చు:
మేము ఆసక్తి ఉన్న ఈవెంట్ను విస్తరించిన తర్వాత, మేము సాధారణ సమాచారం (src, dst, తీవ్రత, పంపినవారు మొదలైనవి) గురించి తెలుసుకోవచ్చు:
మరియు అక్కడ మీరు విభాగాన్ని చూడవచ్చు ఫోరెన్సిక్స్ అందుబాటులో ఉంది సారాంశం నివేదిక. దానిపై క్లిక్ చేయడం ద్వారా మాల్వేర్ యొక్క వివరణాత్మక విశ్లేషణ ఇంటరాక్టివ్ HTML పేజీ రూపంలో తెరవబడుతుంది:
(ఇది పేజీలో భాగం. )
అదే నివేదిక నుండి, మేము అసలు మాల్వేర్ను డౌన్లోడ్ చేసుకోవచ్చు (పాస్వర్డ్-రక్షిత ఆర్కైవ్లో), లేదా వెంటనే చెక్ పాయింట్ ప్రతిస్పందన బృందాన్ని సంప్రదించండి.
మా ఉదాహరణ ఉమ్మడిగా ఉన్న (కోడ్ మరియు మాక్రోలతో సహా) ఇప్పటికే తెలిసిన హానికరమైన కోడ్ని శాతం పరంగా చూపే అందమైన యానిమేషన్ను మీరు దిగువన చూడవచ్చు. చెక్ పాయింట్ థ్రెట్ క్లౌడ్లో మెషిన్ లెర్నింగ్ ఉపయోగించి ఈ విశ్లేషణలు అందించబడతాయి.
ఈ ఫైల్ హానికరమైనదని నిర్ధారించడానికి శాండ్బాక్స్లోని ఏ కార్యకలాపాలు మాకు అనుమతినిచ్చాయో మీరు ఖచ్చితంగా చూడవచ్చు. ఈ సందర్భంలో, మేము బైపాస్ టెక్నిక్ల వినియోగాన్ని మరియు ransomwareని డౌన్లోడ్ చేసే ప్రయత్నాన్ని చూస్తాము:
ఈ సందర్భంలో, ఎమ్యులేషన్ రెండు సిస్టమ్లలో (విన్ 7, విన్ ఎక్స్పి) మరియు విభిన్న సాఫ్ట్వేర్ వెర్షన్లలో (ఆఫీస్, అడోబ్) నిర్వహించబడిందని గమనించవచ్చు. శాండ్బాక్స్లో ఈ ఫైల్ని తెరిచే ప్రక్రియతో కూడిన వీడియో (స్లయిడ్ షో) క్రింద ఉంది:
ఉదాహరణ వీడియో:
చివరికి దాడి ఎలా అభివృద్ధి చెందిందో మనం వివరంగా చూడవచ్చు. పట్టిక రూపంలో లేదా గ్రాఫికల్గా:
అక్కడ మేము ఈ సమాచారాన్ని RAW ఫార్మాట్లో మరియు వైర్షార్క్లో జనరేట్ చేయబడిన ట్రాఫిక్ యొక్క వివరణాత్మక విశ్లేషణల కోసం pcap ఫైల్ని డౌన్లోడ్ చేసుకోవచ్చు:
తీర్మానం
ఈ సమాచారాన్ని ఉపయోగించి, మీరు మీ నెట్వర్క్ రక్షణను గణనీయంగా బలోపేతం చేయవచ్చు. వైరస్ పంపిణీ హోస్ట్లను నిరోధించడం, దోపిడీకి గురైన దుర్బలత్వాలను మూసివేయడం, C&C నుండి సాధ్యమయ్యే అభిప్రాయాన్ని నిరోధించడం మరియు మరెన్నో. ఈ విశ్లేషణను నిర్లక్ష్యం చేయకూడదు.
కింది కథనాలలో, మేము అదే విధంగా SandBlast ఏజెంట్, SnadBlast మొబైల్, అలాగే CloudGiard SaaS యొక్క నివేదికలను పరిశీలిస్తాము. కాబట్టి వేచి ఉండండి (, , , )!
మూలం: www.habr.com