Geekly articles weekly

1. Analyse des logiciels malveillants Ă  l'aide de Check Point forensics. RĂ©seau de sablage



Bienvenue dans la nouvelle sĂ©rie d'articles, cette fois sur le sujet des enquĂȘtes sur les incidents, Ă  savoir l'analyse des logiciels malveillants Ă  l'aide de Check Point forensics. Plus tĂŽt, nous avons publiĂ© plusieurs didacticiels vidĂ©o sur le travail dans Smart Event, mais cette fois, nous examinerons des rapports mĂ©dico-lĂ©gaux sur des Ă©vĂ©nements spĂ©cifiques dans diffĂ©rents produits Check Point:


Pourquoi la criminalistique des incidents Ă©vitĂ©s est-elle importante? Il semblerait que j’ai attrapĂ© le virus, c’est dĂ©jĂ  bien, pourquoi s’y attaquer? Comme le montre la pratique, il est conseillĂ© non seulement de bloquer l'attaque, mais aussi de comprendre comment cela fonctionne: quel Ă©tait le point d'entrĂ©e, quelle vulnĂ©rabilitĂ© a Ă©tĂ© utilisĂ©e, quels processus ont Ă©tĂ© impliquĂ©s, si le registre et le systĂšme de fichiers ont Ă©tĂ© affectĂ©s, quelle famille de virus, quels dommages potentiels, etc. . Ces donnĂ©es et d'autres utiles peuvent ĂȘtre obtenues dans des rapports complets de Check Point forensics (Ă  la fois sous forme de texte et sous forme graphique). Obtenir un tel rapport manuellement est trĂšs difficile. Ensuite, ces donnĂ©es peuvent aider Ă  prendre les mesures nĂ©cessaires et exclure la possibilitĂ© de succĂšs de telles attaques Ă  l'avenir. Aujourd'hui, nous allons examiner le rapport mĂ©dico-lĂ©gal du Check Point SandBlast Network.

RĂ©seau de sablage


L'utilisation de bacs Ă  sable pour amĂ©liorer la sĂ©curitĂ© du pĂ©rimĂštre du rĂ©seau est depuis longtemps courante et constitue un composant indispensable comme IPS. À Check Point, la lame Threat Emulation est responsable de la fonctionnalitĂ© sandbox, qui fait partie des technologies SandBlast (il y a aussi Threat Extraction au mĂȘme endroit). Nous avons dĂ©jĂ  publiĂ© un court cours Check Point SandBlast pour Gaia version 77.30 (je vous recommande fortement de le consulter si vous ne comprenez pas de quoi il s'agit). Du point de vue de l'architecture, rien n'a fondamentalement changĂ© depuis lors. Si vous avez Check Point Gateway sur le pĂ©rimĂštre du rĂ©seau, vous pouvez utiliser deux options d'intĂ©gration avec le sandbox:

  1. SandBlast Local Appliance - une appliance SandBlast supplémentaire est placée sur votre réseau, à laquelle les fichiers sont envoyés pour analyse.
  2. SandBlast Cloud - les fichiers sont envoyés pour analyse au cloud Check Point.



Le bac Ă  sable peut ĂȘtre considĂ©rĂ© comme la derniĂšre ligne de dĂ©fense sur le pĂ©rimĂštre du rĂ©seau. Il ne se connecte qu'aprĂšs analyse par des moyens classiques - antivirus, IPS. Et si ces outils de signature traditionnels ne fournissent pratiquement aucune analyse, le bac Ă  sable peut «dire» en dĂ©tail pourquoi le fichier a Ă©tĂ© verrouillĂ© et ce qu'il fait de malveillant. Un tel rapport mĂ©dico-lĂ©gal peut ĂȘtre obtenu Ă  partir du sandbox local et du cloud.

Rapport d'investigation judiciaire


Supposons que vous, en tant que spĂ©cialiste de la sĂ©curitĂ© des informations, ĂȘtes venu travailler et avez ouvert un tableau de bord dans SmartConsole. ImmĂ©diatement, vous voyez des incidents au cours des derniĂšres 24 heures et votre attention est attirĂ©e sur les Ă©vĂ©nements d'Ă©mulation de menaces - les attaques les plus dangereuses qui n'ont pas Ă©tĂ© bloquĂ©es par l'analyse de signature.



Vous pouvez «tomber» dans ces événements (explorer vers le bas) et voir tous les journaux sur la lame d'émulation de menace.



AprÚs cela, vous pouvez en outre filtrer les journaux par le niveau de criticité des menaces (gravité), ainsi que par niveau de confiance (fiabilité du fonctionnement):



AprÚs avoir ouvert l'événement qui nous intéresse, vous pouvez vous familiariser avec les informations générales (src, dst, gravité, expéditeur, etc.):



Et là, vous pouvez voir la section Forensics avec un rapport de synthÚse disponible. En cliquant dessus, une analyse détaillée du malware sous forme d'une page HTML interactive s'ouvrira devant nous:


(Cela fait partie de la page. L'original peut ĂȘtre consultĂ© ici )

À partir du mĂȘme rapport, nous pouvons tĂ©lĂ©charger le malware d'origine (dans une archive protĂ©gĂ©e par mot de passe), ou contacter immĂ©diatement l'Ă©quipe de rĂ©ponse de Check Point.



Un peu plus bas, vous pouvez voir une belle animation, qui en pourcentage montre ce que le code malveillant dĂ©jĂ  connu fait Ă©cho Ă  notre instance (y compris le code lui-mĂȘme et les macros). Ces analyses sont fournies Ă  l'aide de l'apprentissage automatique dans le Check Point Threat Cloud.



Ensuite, vous pouvez voir quel type d'activité dans le bac à sable a permis de conclure que ce fichier est malveillant. Dans ce cas, nous voyons l'utilisation de techniques de contournement et une tentative de téléchargement de chiffreurs:



Vous pouvez remarquer que dans ce cas, l'émulation a été effectuée sur deux systÚmes (Win 7, Win XP) et différentes versions de logiciel (Office, Adobe). Ci-dessous, une vidéo (diaporama) avec le processus d'ouverture de ce fichier dans le bac à sable:



Exemple vidéo:



À la toute fin, nous pouvons voir en dĂ©tail l'Ă©volution de l'attaque. Soit sous forme de tableau soit sous forme graphique:



Là, nous pouvons télécharger ces informations au format RAW et un fichier pcap pour une analyse détaillée du trafic généré dans Wireshark:



Conclusion


L'utilisation de ces informations peut renforcer considérablement la protection de votre réseau. Bloquez les hÎtes de distribution de virus, corrigez les vulnérabilités, bloquez les éventuels commentaires de C&C et bien plus encore. Ne négligez pas cette analyse.

Dans les articles suivants, nous examinerons Ă©galement les rapports de SandBlast Agent, SnadBlast Mobile, ainsi que CloudGiard SaaS. Alors restez Ă  l'Ă©coute ( Telegram , Facebook , VK , TS Solution Blog )!

Source: https://habr.com/ru/post/fr477494/

More articles:


All Articles