Maligayang pagdating sa isang bagong serye ng mga artikulo, sa pagkakataong ito sa paksa ng pagsisiyasat ng insidente, katulad ng pagsusuri sa malware gamit ang Check Point forensics. Na-publish namin dati sa pagtatrabaho sa Smart Event, ngunit sa pagkakataong ito titingnan natin ang mga ulat ng forensics sa mga partikular na kaganapan sa iba't ibang produkto ng Check Point:
Bakit mahalaga ang forensics sa pag-iwas sa insidente? Mukhang nahuli mo ang virus, mabuti na, bakit haharapin ito? Tulad ng ipinapakita ng kasanayan, ipinapayong hindi lamang upang harangan ang isang pag-atake, kundi pati na rin upang maunawaan nang eksakto kung paano ito gumagana: kung ano ang entry point, kung anong kahinaan ang ginamit, anong mga proseso ang kasangkot, kung ang registry at file system ay apektado, kung anong pamilya ng mga virus, anong potensyal na pinsala, atbp. Ito at ang iba pang kapaki-pakinabang na data ay maaaring makuha mula sa mga komprehensibong ulat ng forensics ng Check Point (parehong teksto at graphical). Napakahirap makuha nang manu-mano ang naturang ulat. Makakatulong ang data na ito na gumawa ng naaangkop na pagkilos at maiwasan ang mga katulad na pag-atake na magtagumpay sa hinaharap. Ngayon ay titingnan natin ang ulat ng forensics ng Check Point SandBlast Network.
SandBlast Network
Ang paggamit ng mga sandbox upang palakasin ang proteksyon ng perimeter ng network ay matagal nang karaniwan at bilang sapilitan na bahagi bilang IPS. Sa Check Point, ang Threat Emulation blade, na bahagi ng SandBlast technologies (mayroon ding Threat Extraction), ay responsable para sa sandbox functionality. Na-publish na namin dati para din sa bersyong Gaia 77.30 (Lubos kong inirerekumenda na panoorin ito kung hindi mo naiintindihan ang pinag-uusapan natin ngayon). Mula sa isang arkitektura punto ng view, walang panimula ay nagbago mula noon. Kung mayroon kang Check Point Gateway sa perimeter ng iyong network, maaari kang gumamit ng dalawang opsyon para sa pagsasama sa sandbox:
- SandBlast Local Appliance β isang karagdagang SandBlast appliance ang naka-install sa iyong network, kung saan ipinapadala ang mga file para sa pagsusuri.
- SandBlast Cloud β Ang mga file ay ipinapadala para sa pagsusuri sa ulap ng Check Point.
Ang sandbox ay maaaring ituring na huling linya ng depensa sa perimeter ng network. Kumokonekta lamang ito pagkatapos ng pagsusuri sa pamamagitan ng klasikal na paraan - antivirus, IPS. At kung ang mga tradisyunal na tool sa lagda ay hindi nagbibigay ng halos anumang analytics, kung gayon ang sandbox ay maaaring "sabihin" nang detalyado kung bakit na-block ang file at kung ano ang eksaktong nakakahamak na ginagawa nito. Ang ulat ng forensics na ito ay maaaring makuha mula sa isang lokal at cloud sandbox.
Ulat ng Check Point Forensics
Sabihin nating ikaw, bilang isang espesyalista sa seguridad ng impormasyon, ay pumasok sa trabaho at nagbukas ng dashboard sa SmartConsole. Kaagad kang makakita ng mga insidente sa nakalipas na 24 na oras at ang iyong atensyon ay naaakit sa mga kaganapan sa Threat Emulation - ang mga pinaka-mapanganib na pag-atake na hindi na-block ng signature analysis.
Maaari kang "mag-drill down" sa mga kaganapang ito at makita ang lahat ng mga log para sa Threat Emulation blade.
Pagkatapos nito, maaari mo ring i-filter ang mga log ayon sa antas ng kritikal na banta (Severity), pati na rin ayon sa Antas ng Kumpiyansa (pagkakatiwalaan ng tugon):
Sa pagpapalawak ng kaganapan kung saan kami interesado, maaari naming maging pamilyar sa pangkalahatang impormasyon (src, dst, kalubhaan, nagpadala, atbp.):
At doon mo makikita ang seksyon Forensics na may magagamit Buod ulat. Ang pag-click dito ay magbubukas ng isang detalyadong pagsusuri ng malware sa anyo ng isang interactive na HTML na pahina:
(Ito ay bahagi ng pahina. )
Mula sa parehong ulat, maaari naming i-download ang orihinal na malware (sa isang archive na protektado ng password), o makipag-ugnayan kaagad sa pangkat ng pagtugon sa Check Point.
Sa ibaba lamang ay makakakita ka ng magandang animation na nagpapakita sa mga terminong porsyento na alam na ang nakakahamak na code na pareho ang aming instance (kabilang ang mismong code at mga macro). Inihahatid ang analytics na ito gamit ang machine learning sa Check Point Threat Cloud.
Pagkatapos ay makikita mo nang eksakto kung anong mga aktibidad sa sandbox ang nagbigay-daan sa amin na mapagpasyahan na ang file na ito ay nakakahamak. Sa kasong ito, nakikita namin ang paggamit ng mga diskarte sa bypass at isang pagtatangka na mag-download ng ransomware:
Mapapansin na sa kasong ito, ang pagtulad ay isinagawa sa dalawang sistema (Win 7, Win XP) at iba't ibang mga bersyon ng software (Office, Adobe). Sa ibaba ay mayroong isang video (slide show) na may proseso ng pagbubukas ng file na ito sa sandbox:
Halimbawang video:
Sa pinakadulo makikita natin nang detalyado kung paano nabuo ang pag-atake. Alinman sa anyong tabular o graphical:
Doon namin mada-download ang impormasyong ito sa RAW na format at isang pcap file para sa detalyadong analytics ng nabuong trapiko sa Wireshark:
Konklusyon
Gamit ang impormasyong ito, maaari mong makabuluhang palakasin ang proteksyon ng iyong network. I-block ang mga host ng pamamahagi ng virus, isara ang mga pinagsasamantalahang kahinaan, i-block ang posibleng feedback mula sa C&C at marami pang iba. Ang pagsusuri na ito ay hindi dapat pabayaan.
Sa mga sumusunod na artikulo, titingnan din natin ang mga ulat ng SandBlast Agent, SnadBlast Mobile, pati na rin ang CloudGiard SaaS. Kaya manatiling nakatutok (, , , )!
Pinagmulan: www.habr.com