欢迎阅读新的系列文章,这次的主题是事件调查,即使用 Check Point 取证进行恶意软件分析。 我们之前发布过 关于 Smart Event 的工作,但这次我们将查看不同 Check Point 产品中特定事件的取证报告:
为什么事件预防取证很重要? 看起来你已经感染了病毒,已经好了,为什么要处理它呢? 实践表明,建议不仅要阻止攻击,还要准确了解攻击的工作原理:入口点是什么、使用了哪些漏洞、涉及哪些进程、注册表和文件系统是否受到影响、哪些系列病毒、潜在损害等。 该数据和其他有用数据可以从 Check Point 的综合取证报告(文本和图形)中获得。 手动获取这样的报告非常困难。 这些数据可以帮助采取适当的行动并防止未来类似的攻击得逞。 今天我们来看看 Check Point SandBlast Network 取证报告。
SandBlast网络
使用沙箱来加强网络边界的保护早已变得司空见惯,并且与 IPS 一样是强制性的组成部分。 在 Check Point,威胁仿真刀片是 SandBlast 技术(还有威胁提取)的一部分,负责沙箱功能。 我们之前已经发布过 也适用于 Gaia 77.30 版本(如果您不明白我们现在在说什么,我强烈建议您观看)。 从架构的角度来看,从那时起没有发生任何根本性的变化。 如果您的网络外围有 Check Point 网关,则可以使用两个选项与沙箱集成:
- SandBlast 本地设备 — 您的网络上安装了额外的 SandBlast 设备,文件将发送到该设备进行分析。
- 喷砂云 — 文件被发送到 Check Point 云进行分析。
沙箱可以被认为是网络边界的最后一道防线。 仅在通过经典方法(防病毒、IPS)分析后才能连接。 如果这种传统的签名工具实际上不提供任何分析,那么沙箱可以“详细说明”文件被阻止的原因以及它到底做了什么恶意行为。 该取证报告可以从本地沙箱和云沙箱中获取。
检查点取证报告
假设您作为一名信息安全专家来上班并在 SmartConsole 中打开了仪表板。 您会立即看到过去 24 小时内发生的事件,并且您的注意力会被威胁模拟事件所吸引 - 未被签名分析阻止的最危险的攻击。
您可以“深入研究”这些事件并查看威胁仿真刀片的所有日志。
此后,您还可以按威胁严重性级别(严重性)以及置信度(响应的可靠性)过滤日志:
扩展了我们感兴趣的事件,我们可以熟悉一般信息(src、dst、严重性、发送者等):
在那里你可以看到该部分 法医取证 有可用的 总结 报告。 单击它将以交互式 HTML 页面的形式打开恶意软件的详细分析:
(这是页面的一部分。 )
从同一份报告中,我们可以下载原始恶意软件(在受密码保护的存档中),或立即联系 Check Point 响应团队。
就在下面,您可以看到一个漂亮的动画,以百分比形式显示我们的实例共有的已知恶意代码(包括代码本身和宏)。 这些分析是通过 Check Point 威胁云中的机器学习来提供的。
然后您可以准确地看到沙箱中的哪些活动使我们能够得出该文件是恶意的结论。 在这种情况下,我们看到了绕过技术的使用和下载勒索软件的尝试:
可以注意到,本例中是在两个系统(Win 7、Win XP)和不同的软件版本(Office、Adobe)中进行仿真。 下面是一个视频(幻灯片),其中包含在沙箱中打开此文件的过程:
示例视频:
最后我们可以详细了解攻击是如何发展的。 以表格形式或图形形式:
我们可以在那里下载 RAW 格式的信息和 pcap 文件,以便对 Wireshark 中生成的流量进行详细分析:
结论
使用此信息,您可以显着加强对网络的保护。 阻止病毒分发主机、关闭被利用的漏洞、阻止来自 C&C 的可能反馈等等。 这一分析不应被忽视。
在接下来的文章中,我们将类似地查看 SandBlast Agent、SnadBlast Mobile 以及 CloudGiard SaaS 的报告。 所以请继续关注(, , , )!
来源: habr.com