Ласкаво просимо на новий цикл статей, цього разу на тему розслідування інцидентів, а саме — аналізу шкідників за допомогою форензики Check Point. Раніше ми публікували по роботі в Smart Event, але цього разу ми розглянемо звіти форензики щодо конкретних подій у різних продуктах Check Point:
Чому важлива форензика запобіганих інцидентів? Здавалося б, упіймав вірус, вже добре, навіщо з ним розбиратися? Як показує практика, атаку бажано не просто блокувати, але й розуміти, як саме вона працює: яка була точка входу, яка використовувалася вразливість, які процеси задіяні, чи реєстр і файлова система, яке сімейство вірусів, які потенційні збитки і т.д. . Ці та інші корисні дані можна отримати у вичерпних звітах форензики Check Point (як у текстовому, так і у графічному вигляді). Отримати такий звіт уручну дуже важко. Потім ці дані можуть допомогти вжити потрібних заходів та виключити можливість успіху подібних атак у майбутньому. Сьогодні ми розглянемо звіт форензики Check Point SandBlast Network.
SandBlast Network
Використання пісочниць для посилення захисту периметра мережі вже давно стало звичайною справою і таким же обов'язковим компонентом, як IPS. У Check Point за функціонал пісочниці відповідає блейд Threat Emulation, який і входить до складу технологій SandBlast (там є ще Threat Extraction). Ми вже публікували раніше ще для версії Gaia 77.30 (дуже рекомендую до перегляду, якщо ви не розумієте про що зараз йдеться). З погляду архітектури відтоді нічого не змінилося. Якщо у вас на периметрі мережі стоїть Check Point Gateway, ви можете використовувати два варіанти інтеграції з пісочницею:
- SandBlast Local Appliance - До вас в мережу ставиться додатковий SandBlast appliance, на який і надсилаються файли для аналізу.
- SandBlast Cloud — файли надсилаються на аналіз у хмару Check Point.
Пісочницю можна вважати останнім кордоном захисту на периметрі мережі. Вона підключається лише після аналізу класичними засобами – антивірусом, IPS. І якщо такі традиційні сигнатурні засоби не дають ніякої аналітики, то пісочниця може докладно "розповісти" чому файл був заблокований і що саме шкідливого він робить. Такий звіт форензики можна отримати від локальної, так і від хмарної пісочниці.
Check Point Forensics Report
Допустимо ви, як ІБ спеціаліст, прийшли на роботу і відкрили дашборд у SmartConsole. Тут же ви бачите інциденти за останні 24 години і вашу увагу привертають події Threat Emulation – найбільш небезпечні атаки, які не були заблоковані сигнатурним аналізом.
Ви можете “провалитися” у ці події (drill down) та подивитися всі логи по блейду Threat Emulation.
Після цього можна додатково відфільтрувати логи за рівнем критичності загроз (Severity), а також Confidence Level (надійність спрацьовування):
Розкривши цікаву для нас подію можна ознайомитися із загальною інформацією (src, dst, severity, sender і т.д.):
І там же можна помітити розділ криміналістика з доступним Підсумки звітом. Натиснувши на нього, перед нами відкриється докладний розбір зловреду у вигляді інтерактивної HTML сторінки:
(Це частина сторінки). )
З цього ж звіту ми можемо завантажити оригінал зловреда (у запароленому архіві) або відразу зв'язатися з командою реагування Check Point.
Трохи нижче можна побачити гарну анімацію, яка у відсотковому співвідношенні показує, з яким вже відомим шкідливим кодом перегукується наш екземпляр (включаючи сам код та макроси). Ця аналітика надається із застосуванням машинного навчання у хмарі Check Point Threat Cloud.
Потім можна подивитися які саме активності в пісочниці дозволили зробити висновок про шкідливість цього файлу. В даному випадку ми бачимо використання технік обходу та спробу завантаження шифрувальників:
Можна помітити, що в цьому випадку емуляція проводилася у двох системах (Win 7, Win XP) та різних версіях ПЗ (Office, Adobe). Нижче є відео (слайд-шоу) із процесом відкриття цього файлу в пісочниці:
Приклад відео:
Наприкінці ми можемо докладно бачити, як розвивалася атака. Або в табличному вигляді, або в графічному:
Там же ми можемо завантажити цю інформацію в форматі RAW і pcap файл, для детальної аналітики генерованого трафіку в Wireshark:
Висновок
Використовуючи цю інформацію, можна істотно посилити захист вашої мережі. Заблокувати хости поширення вірусів, закрити вразливості, що використовуються, заблокувати можливий зворотний зв'язок з C&C і багато іншого. Не варто нехтувати цією аналітикою.
У наступних статтях ми аналогічно розглянемо звіти SandBlast Agent, SnadBlast Mobile, а також CloudGiard SaaS. Так що слідкуйте за оновленнями (, , , )!
Джерело: habr.com