Bu sefer olay incelemesi, yani Check Point adli bilişimi kullanılarak kötü amaçlı yazılım analizi konulu yeni bir makale dizisine hoş geldiniz. Daha önce yayınlamıştık Smart Event'te çalışmaya ilişkin bilgiler, ancak bu sefer farklı Check Point ürünlerindeki belirli olaylara ilişkin adli tıp raporlarına bakacağız:
Olay önleme adli tıp neden önemlidir? Görünüşe göre virüsü kapmışsınız, zaten iyi, neden onunla uğraşasınız ki? Uygulamada görüldüğü gibi, yalnızca bir saldırıyı engellemek değil, aynı zamanda tam olarak nasıl çalıştığını da anlamak tavsiye edilir: giriş noktası neydi, hangi güvenlik açığı kullanıldı, hangi süreçler dahil edildi, kayıt defteri ve dosya sistemi etkilenip etkilenmedi, hangi aile virüslerin olup olmadığı, olası hasarlar vb. Bu ve diğer yararlı veriler Check Point'in kapsamlı adli tıp raporlarından (hem metin hem de grafik) elde edilebilir. Böyle bir raporu manuel olarak almak çok zordur. Bu veriler daha sonra uygun önlemlerin alınmasına ve benzer saldırıların gelecekte başarılı olmasını engellemeye yardımcı olabilir. Bugün Check Point SandBlast Ağı adli tıp raporuna bakacağız.
SandBlast Ağı
Ağ çevresinin korunmasını güçlendirmek için sanal alanların kullanımı uzun zamandır sıradan hale geldi ve IPS kadar zorunlu bir bileşendir. Check Point'te SandBlast teknolojilerinin bir parçası olan Tehdit Emülasyon bıçağı (aynı zamanda Tehdit Çıkarma da vardır) sanal alan işlevinden sorumludur. Daha önce yayınlamıştık ayrıca Gaia 77.30 sürümü için (şu anda neden bahsettiğimizi anlamıyorsanız izlemenizi şiddetle tavsiye ederim). Mimari açıdan bakıldığında o zamandan bu yana temelde hiçbir şey değişmedi. Ağınızın çevresinde bir Check Point Gateway varsa, korumalı alanla entegrasyon için iki seçeneği kullanabilirsiniz:
- SandBlast Yerel Alet — Ağınızda, dosyaların analiz için gönderildiği ek bir SandBlast cihazı kuruludur.
- SandBlast Bulutu — dosyalar analiz için Check Point bulutuna gönderilir.
Korumalı alan, ağ çevresindeki son savunma hattı olarak düşünülebilir. Yalnızca klasik yöntemlerle analiz edildikten sonra bağlanır - antivirüs, IPS. Ve eğer bu tür geleneksel imza araçları pratik olarak herhangi bir analiz sağlamıyorsa, sanal alan, dosyanın neden engellendiğini ve tam olarak ne tür bir kötü amaçlı yazılım yaptığını ayrıntılı olarak "söyleyebilir". Bu adli tıp raporu hem yerel hem de bulut sanal alanından alınabilir.
Check Point Adli Tıp Raporu
Diyelim ki bir bilgi güvenliği uzmanı olarak işe geldiniz ve SmartConsole'da bir kontrol paneli açtınız. Son 24 saatteki olayları hemen görürsünüz ve dikkatiniz, imza analizi tarafından engellenemeyen en tehlikeli saldırılar olan Tehdit Emülasyonu olaylarına çekilir.
Bu olayları "ayrıntılara inebilir" ve Tehdit Emülasyonu dikey penceresine ilişkin tüm günlükleri görebilirsiniz.
Bundan sonra, günlükleri ayrıca tehdit kritiklik düzeyine (Önem Düzeyi) ve Güven Düzeyine (yanıt güvenilirliği) göre filtreleyebilirsiniz:
İlgilendiğimiz olayı genişlettikten sonra genel bilgileri (src, dst, önem derecesi, gönderen vb.) tanıyabiliriz:
Ve orada bölümü görebilirsiniz Adli mevcut olan Özet rapor. Üzerine tıklamak, kötü amaçlı yazılımın ayrıntılı bir analizini etkileşimli bir HTML sayfası biçiminde açacaktır:
(Bu sayfanın bir parçasıdır. )
Aynı rapordan orijinal kötü amaçlı yazılımı (şifre korumalı bir arşivde) indirebilir veya hemen Check Point yanıt ekibiyle iletişime geçebiliriz.
Hemen aşağıda, örneğimizin zaten bilinen kötü amaçlı kodların ortak noktalarını (kodun kendisi ve makrolar dahil) yüzde cinsinden gösteren güzel bir animasyon görebilirsiniz. Bu analizler, Check Point Tehdit Bulutu'ndaki makine öğrenimi kullanılarak sağlanır.
Ardından, korumalı alandaki hangi etkinliklerin bu dosyanın kötü amaçlı olduğu sonucuna varmamızı sağladığını tam olarak görebilirsiniz. Bu durumda, bypass tekniklerinin kullanıldığını ve fidye yazılımı indirme girişimini görüyoruz:
Bu durumda emülasyonun iki sistemde (Win 7, Win XP) ve farklı yazılım sürümlerinde (Office, Adobe) gerçekleştirildiği belirtilebilir. Aşağıda bu dosyayı sanal alanda açma işlemini gösteren bir video (slayt gösterisi) bulunmaktadır:
Örnek video:
En sonunda saldırının nasıl geliştiğini detaylı olarak görebiliyoruz. Tablo biçiminde veya grafiksel olarak:
Wireshark'ta oluşturulan trafiğin ayrıntılı analizi için bu bilgiyi RAW formatında ve bir pcap dosyası olarak indirebiliriz:
Sonuç
Bu bilgileri kullanarak ağınızın korumasını önemli ölçüde güçlendirebilirsiniz. Virüs dağıtım ana bilgisayarlarını engelleyin, yararlanılan güvenlik açıklarını kapatın, C&C'den gelen olası geri bildirimleri engelleyin ve çok daha fazlasını yapın. Bu analiz ihmal edilmemelidir.
Aşağıdaki makalelerde benzer şekilde SandBlast Agent, SnadBlast Mobile ve CloudGiard SaaS raporlarına bakacağız. Bu yüzden bizi izlemeye devam edin (, , , )!
Kaynak: habr.com