Geekly articles weekly

3.使用Check Point取证分析恶意软件。 喷沙移动



欢迎来到我们从Check Point开始的Check Point取证周期中的第三篇文章。 这次我们将考虑SandBlast Mobile 。 移动设备长期以来一直是我们生活的一部分。 在智能手机中,我们的工作,休闲,娱乐,个人数据。 攻击者也知道这一点。 根据2019年的Check Point报告,用户最常见的三种攻击媒介是:

  • 电子邮件(恶意附件,链接);
  • Web(病毒软件,网络钓鱼);
  • 智能手机(恶意应用程序,伪造的WiFi网络,网络钓鱼)。

我们可以使用已经考虑过的SandBlast NetworkSandBlast Agent关闭前两个向量。 智能手机依然存在,其威胁在新闻中越来越受到关注。 为了保护这种攻击媒介,Check Point提供了专门的解决方案-SandBlast Mobile 。 下面我们看一下调查移动设备上的事件时可以得到的取证。

Check Point SandBlast Mobile


这种补救措施是最近出现在Check Point产品组合中的。 系统的操作极其简单(可能是所有CP产品中最简单的)。 所有管理都是通过云服务-门户进行的。 您可以在其中添加用户的移动设备,并可以在其中跟踪其状态。 SandBlast Mobile使您可以解决以下安全问题:

  1. 阻止0天攻击(作为应用程序或文件);
  2. 防止任何移动应用程序中的网络钓鱼(SMS或Messenger);
  3. 防御僵尸网络(防止个人或公司数据泄漏);
  4. 阻止受感染设备访问公司资源(如果设备被感染或不符合安全策略,则将无法从智能手机访问公司应用程序);
  5. 阻止访问恶意站点。

关于Amir Aliyev(Check Point公司)的此产品,有一个很棒的网络研讨会:



未经您的许可,我将不对该代理的功能进行详细描述。 我们的系列文章是关于法医的。 但是也许在不久的将来,我们将在SandBlast Mobile上开设单独的课程(该产品非常简单)。

重要的一点 。 SandBlast Mobile可以在50台设备上免费使用30天 。 我认为,这是审核移动设备安全性(例如公司管理)的绝佳机会。 获得演示的过程非常简单- 写信给我们或通过在线表格提出申请。

法医SandBlast Mobile-仪表板


所有恶意活动分析都从SandBlast Mobile云门户上的主要仪表板开始:



在这里,您可以查看活动设备的数量,威胁及其严重性等。 接下来,我们可以直接转到事件列表(事件和警报)并按严重性级别过滤它们:



我们将看到攻击媒介,其类型,事件的详细信息以及实际上涉及的所有用户(他们的设备)。 如果愿意,可以按特定设备筛选事件(设备风险),并使自己熟悉所有相关的威胁:



对于安全防护人员来说,最有趣的事情可能是“应用程序分析”标签,您可以在其中“崩溃”到恶意应用程序,并查看Check Point的不满意之处。 有一个“风险等级”过滤器,我们可以通过它查看所有危险的应用程序。 例如,我们可以考虑测试病毒AV Test AP



在这里,您可以查看有关应用程序的一般结论,有关制造商的基本信息,金额的哈希等。 不太有趣。 让我们看一下另一个“病毒”应用程序-Ping工具



熟悉基本信息后,您可以深入了解威胁的详细信息。 例如,在这里,我们看到应用程序监视设备的位置(即使处于关闭状态)和一些奇怪的行为:



同样有趣的是“应用程序权限”部分。 对此,几乎总是会出现一个问题:“为什么此应用程序需要这种权限?”



该报告可以下载为内容丰富的pdf:



可以在这里下载资源。 在这里,您可以下载有关耸人听闻的恶意应用程序CamScanner的报告。

还有一个有趣的选项卡,网络,我们可以在其中分析用户连接到的网络:



用户眼中的SandBlast Mobile


此应用程序不会对用户造成任何特殊问题。 在首次安装时,它将扫描设备并做出判断是否存在威胁以及哪些威胁:



同时,用户本人也可以看到代理在这些应用程序中到底不喜欢什么:



我认为,相当全面的信息将使用户得出该软件有害的结论。 同时,如果用户尝试下载恶意应用程序,则SandBlast Mobile将立即运行:



系统管理员将收到相同的通知。

Check Point SandBlast Mobile上的其他材料 (强烈建议阅读)。

结论


如上所述,移动设备已牢牢扎根于我们的日常生活中。 绝大多数使用智能手机进行工作,并可以访问公司数据。 这使移动设备成为网络上极其危险的攻击媒介,您不仅需要关闭它,而且还需要了解到底是什么在威胁您。 Check Point SandBlast Mobile的取证完全适合公司数据的全面保护和整体信息安全策略。

在下一篇文章中,我们将查看CloudGuard SaaS报告。 所以请继续关注( TelegramFacebookVKTS Solution Blog ), Yandex.Zen

PS我们感谢Alexei Beloglazov(Check Point公司)在编写本文时的帮助。

Source: https://habr.com/ru/post/zh-CN479660/

More articles:


All Articles