歡迎閱讀新的系列文章,這次的主題是事件調查,即使用 Check Point Forensics 進行惡意軟件分析。 我們之前已經發布過 關於 Smart Event 的工作,但這次我們將查看不同 Check Point 產品中特定事件的取證報告:
為什麼預防事件的取證很重要? 看來自己感染了病毒,已經好了,何必去處理呢? 實踐表明,不僅要阻止攻擊,還要準確了解攻擊的工作原理:入口點是什麼、使用了哪些漏洞、涉及哪些進程、註冊表和文件系統是否受到影響、哪些系列病毒、潛在損害等。 這些數據和其他有用的數據可以在全面的 Check Point 取證報告(文本和圖形)中獲得。 手動獲取這樣的報告非常困難。 這些數據可以幫助您採取行動,防止未來類似的攻擊得逞。 今天我們將回顧 Check Point SandBlast Network 取證報告。
SandBlast網絡
使用沙箱來加強網絡邊界的保護早已司空見慣,並且與IPS一樣不可或缺。 在 Check Point,威脅仿真刀片負責沙箱功能,這是 SandBlast 技術的一部分(還有威脅提取)。 我們之前發布過 也適用於 Gaia 版本 77.30(如果您不明白現在正在討論的內容,我強烈建議您觀看)。 從架構的角度來看,從那時起沒有發生任何根本性的變化。 如果您的網絡外圍有 Check Point 網關,則可以使用兩個沙箱集成選項:
- 噴砂局部器具 - 您的網絡上安裝了額外的 SandBlast 設備,文件將發送到該設備進行分析。
- 噴砂雲 - 文件被發送到 Check Point 雲進行分析。
沙箱可以被認為是網絡邊界的最後一道防線。 僅在通過經典方法(防病毒、IPS)分析後才能連接。 如果這種傳統的簽名工具幾乎不提供任何分析,那麼沙箱就可以“詳細說明”文件被阻止的原因以及它到底做了什麼惡意行為。 這樣的取證報告可以從本地沙箱和雲沙箱中獲得。
檢查點取證報告
假設您作為一名信息安全專家來上班並在 SmartConsole 中打開了儀表板。 在這裡您可以看到過去 24 小時內發生的事件和威脅模擬事件,以及未通過特徵分析阻止的最危險的攻擊,引起您的注意。
您可以“深入了解”這些事件並查看威脅仿真刀片的所有日誌。
之後,您還可以按威脅的嚴重程度(嚴重性)以及置信度(操作的可靠性)來過濾日誌:
打開我們感興趣的事件後,您可以熟悉一般信息(src、dst、嚴重性、發件人等):
在那裡你可以看到該部分 取證 有可用的 總結 報告。 點擊它,我們將以交互式 HTML 頁面的形式看到惡意軟件的詳細分析:
(這是頁面的一部分。 )
從同一份報告中,我們可以下載原始惡意軟件(在受密碼保護的存檔中),或立即聯繫 Check Point 響應團隊。
再低一點,您可以看到一個漂亮的動畫,以百分比形式顯示與我們的實例有共同點的已知惡意代碼(包括代碼本身和宏)。 此分析是使用 Check Point 威脅雲中的機器學習來提供的。
然後您可以查看沙箱中的哪些活動可以得出該文件是惡意的結論。 在這種情況下,我們看到了繞過技術的使用和下載勒索軟件的嘗試:
可以看到,本例中是在兩個系統(Win 7、Win XP)、不同的軟件版本(Office、Adobe)中進行了仿真。 下面是一個視頻(幻燈片),其中包含在沙箱中打開此文件的過程:
視頻示例:
最後,我們可以詳細了解攻擊是如何發展的。 以表格形式或圖形形式:
在同一位置,我們可以下載 RAW 格式的信息和 pcap 文件,以便對 Wireshark 中生成的流量進行詳細分析:
結論
使用此信息,您可以顯著增強對網絡的保護。 阻止病毒分發主機、關閉可利用的漏洞、阻止潛在的 C&C 反饋等等。 不要忽視這個分析。
在接下來的文章中,我們將類似地查看來自 SandBlast Agent、SnadBlast Mobile 和 CloudGiard SaaS 的報告。 所以請繼續關注, , , )!
來源: www.habr.com