Yangi maqolalar turkumiga xush kelibsiz, bu safar hodisalarni tekshirish mavzusiga, xususan, Check Point kriminalistikasi yordamida zararli dasturlarni tahlil qilish. Biz ilgari nashr qilgan edik Smart Event-da ishlash haqida, lekin bu safar biz turli xil Check Point mahsulotlaridagi aniq voqealar bo'yicha sud-tibbiyot hisobotlarini ko'rib chiqamiz:
Nima uchun hodisalarning oldini olish bo'yicha sud tibbiyoti muhim? Siz virusni yuqtirganga o'xshaysiz, u allaqachon yaxshi, nima uchun u bilan kurashish kerak? Amaliyot shuni ko'rsatadiki, nafaqat hujumni blokirovka qilish, balki uning qanday ishlashini ham tushunish tavsiya etiladi: kirish nuqtasi nima edi, qanday zaiflik ishlatilgan, qanday jarayonlar ishtirok etadi, ro'yxatga olish kitobi va fayl tizimi ta'sir qiladimi, qaysi oila. viruslar, qanday potentsial zarar va boshqalar. Bu va boshqa foydali maΚΌlumotlarni Check Pointβning keng qamrovli sud ekspertiza hisobotlaridan (ham matnli, ham grafik) olish mumkin. Bunday hisobotni qo'lda olish juda qiyin. Keyinchalik bu ma'lumotlar tegishli choralar ko'rishga yordam beradi va kelajakda shunga o'xshash hujumlarning muvaffaqiyatli bo'lishining oldini oladi. Bugun biz Check Point SandBlast Network sud ekspertizasi hisobotini ko'rib chiqamiz.
SandBlast tarmog'i
Tarmoq perimetri himoyasini kuchaytirish uchun qum qutilaridan foydalanish uzoq vaqtdan beri odatiy holga aylangan va IPS kabi majburiy komponent hisoblanadi. Tekshirish nuqtasida SandBlast texnologiyalarining bir qismi bo'lgan Threat Emulation blade (Threat Extraction ham mavjud) sandbox funksiyasi uchun javobgardir. Biz allaqachon nashr qilganmiz Gaia 77.30 versiyasi uchun ham (agar hozir nima haqida gapirayotganimizni tushunmasangiz, uni tomosha qilishni tavsiya etaman). Arxitektura nuqtai nazaridan, o'shandan beri hech narsa tubdan o'zgarmadi. Agar sizning tarmog'ingiz perimetrida Check Point Gateway mavjud bo'lsa, unda siz qum qutisi bilan integratsiya qilish uchun ikkita variantdan foydalanishingiz mumkin:
- SandBlast mahalliy qurilmasi β sizning tarmog'ingizda qo'shimcha SandBlast qurilmasi o'rnatilgan bo'lib, unga fayllar tahlil qilish uchun yuboriladi.
- SandBlast buluti β fayllar tahlil qilish uchun Check Point bulutiga yuboriladi.
Qum qutini tarmoq perimetridagi so'nggi himoya chizig'i deb hisoblash mumkin. U faqat klassik vositalar - antivirus, IPS orqali tahlil qilingandan so'ng ulanadi. Va agar bunday an'anaviy imzo vositalari deyarli hech qanday tahlilni ta'minlamasa, u holda sandbox fayl nima uchun bloklanganligi va u qanday zararli ekanligini batafsil "aytib berishi" mumkin. Ushbu sud ekspertizasi hisobotini mahalliy va bulutli sinov muhitidan olish mumkin.
Tekshirish nuqtasi sud ekspertizasi hisoboti
Aytaylik, siz axborot xavfsizligi bo'yicha mutaxassis sifatida ishga keldingiz va SmartConsole-da asboblar panelini ochdingiz. Siz darhol oxirgi 24 soat davomida sodir bo'lgan voqealarni ko'rasiz va sizning e'tiboringiz Tahdid emulyatsiyasi hodisalariga qaratiladi - imzo tahlili bilan bloklanmagan eng xavfli hujumlar.
Siz ushbu hodisalarni "o'rganishingiz" va Threat Emulation blade uchun barcha jurnallarni ko'rishingiz mumkin.
Shundan so'ng, siz jurnallarni qo'shimcha ravishda tahdidning tanqidiy darajasi (jiddiylik), shuningdek Ishonch darajasi (javobning ishonchliligi) bo'yicha filtrlashingiz mumkin:
Bizni qiziqtirgan voqeani kengaytirib, biz umumiy ma'lumotlar (src, dst, jiddiylik, jo'natuvchi va boshqalar) bilan tanishishimiz mumkin:
Va u erda siz bo'limni ko'rishingiz mumkin Sud tibbiyoti mavjud bilan xulosa hisobot. Unga bosish interaktiv HTML sahifasi ko'rinishida zararli dasturning batafsil tahlilini ochadi:
(Bu sahifaning bir qismi. )
Xuddi shu hisobotdan biz asl zararli dasturni (parol bilan himoyalangan arxivda) yuklab olishimiz yoki darhol Check Point javob guruhiga murojaat qilishimiz mumkin.
Quyida siz bizning misolimiz uchun umumiy bo'lgan zararli kodni (jumladan, kodning o'zi va makroslar) foizlarda ko'rsatadigan chiroyli animatsiyani ko'rishingiz mumkin. Ushbu tahlillar Check Point Threat Cloud-da mashinani o'rganish yordamida yetkaziladi.
Shundan so'ng siz ushbu fayl zararli degan xulosaga kelishimiz uchun sinov muhitidagi qanday harakatlarni aniq ko'rishingiz mumkin. Bunday holda, biz chetlab o'tish usullaridan foydalanishni va to'lov dasturini yuklab olishga urinishni ko'ramiz:
Shuni ta'kidlash mumkinki, bu holda emulyatsiya ikkita tizimda (Win 7, Win XP) va turli xil dasturiy ta'minot versiyalarida (Office, Adobe) amalga oshirildi. Quyida ushbu faylni sandboxda ochish jarayoni bilan video (slayd-shou) mavjud:
Misol video:
Eng oxirida biz hujum qanday rivojlanganini batafsil ko'rishimiz mumkin. Jadval yoki grafik shaklida:
U erda biz ushbu ma'lumotni RAW formatida va Wireshark-da yaratilgan trafikning batafsil tahlili uchun pcap faylida yuklab olishimiz mumkin:
xulosa
Ushbu ma'lumotlardan foydalanib, siz tarmog'ingiz himoyasini sezilarli darajada kuchaytirishingiz mumkin. Virus tarqatuvchi xostlarni bloklash, foydalaniladigan zaifliklarni yopish, C&C dan mumkin bo'lgan fikr-mulohazalarni bloklash va boshqalar. Ushbu tahlilni e'tiborsiz qoldirmaslik kerak.
Keyingi maqolalarda biz xuddi shunday SandBlast Agent, SnadBlast Mobile va CloudGiard SaaS hisobotlarini ko'rib chiqamiz. Shuning uchun bizni kuzatib boring (, , , )!
Manba: www.habr.com