2. Анализ зловредов с помощью форензики Check Point. SandBlast Agent

2. Анализ зловредов с помощью форензики Check Point. SandBlast Agent


Продолжаем наш цикл статей по форензике от Check Point. В предыдущей статье мы рассмотрели новый отчет сетевой песочницы, которая помогает ловить 0-day атаки на периметре сети. К сожалению (для “безопасников”), периметр уже давно потерял четкие границы. Мобильные устройства, BYOD, “флешки”, облачные сервисы — все это создает дополнительные “дыры” в защите корпоративной сети. Именно поэтому форензика важна не только на периметре, но и на рабочих станциях ваших пользователей. Данная форензика даже важнее, т.к. вы будете исследовать зловреды, которые уже проникли к вам в сеть. Хочется понимать, через какой канал они проникли (интернет, “флешка”, файловый обменник, электронная почта, корпоративный чат), уязвимость в каком ПО использовали, какие данные могли пострадать и т.д. Это и многое другое позволяет увидеть Check Point SandBlast Agent . О нем и пойдет речь.

SandBlast Agent


Давным давно мы публиковали видео урок по SandBlast Agent-ам . Еще для версии R77.30. С тех пор многое изменилось, однако концепт остался прежним. Современный SandBlast Agent включает в себя следующие модули:

Endpoint Threat Prevention features:

  • Endpoint Threat Emulation and Extraction — позволяет проверять файлы в песочнице (локальной или облачной);
  • Zero-Phishing — защита пользователя от фишинга;
  • Anti-Ransomware — защита от шифровальщиков с возможностью резервного копирования файлов;
  • Endpoint Anti-Bot — поможет определить является ли ПК участником ботнет сети, и заблокировать этот процесс;
  • Anti-Exploit — определяет зловреды на этапе эксплуатации уязвимостей;
  • Behavioral Guard — поведенческий анализ;
  • Endpoint Anti-Virus — классический сигнатурный антивирус;
  • Forensic collection and automated reports — форензика и генерация отчетов.


Endpoint Access Control Features (тут думаю все понятно и без комментариев):

  • Endpoint Firewall, Application Control, Port Protection
  • Endpoint Compliance, Remote Access VPN

Агент может работать на Windows и MacOS. Для централизованного управления используется EndPoint Management Server (как локальный, так и облачный). С вашего позволения мы не будем подробно рассматривать все озвученные функции. Возможно, в скором будущем мы опубликуем целый курс по SandBlast Agent-ам. В этой статье мы сосредоточимся на функции форензики.

Forensic collection and automated reports


Вышеозначенный блейд форензики позволяет формировать невероятно детализированные отчеты по security инцидентам на рабочих станциях. Сделать что-то подобное вручную практически невозможно. Как минимум нужно быть экспертом по форензике, уметь работать со специализированным ПО, понимать основы создания вирусов и очень хорошо (мягко говоря) разбираться в особенностях операционных систем — Windows, MacOS. С другой стороны, если вы все это умеете, то это очень здорово и наверняка у вас “хорошая” зарплата. В случае же с SandBlast Agent-ом отчет форензики генерируется автоматически после каждого инцидента, предоставляя исчерпывающую информацию о том, что же именно случилось:



Здесь изображен отчет по зловреду — CTB-Faker Ransomware . Можно открыть пример этого отчета. Очень рекомендую открыть и ознакомиться. Как видно, он представляет из себя интерактивную HTML страницу, где абсолютно все элементы “кликабельны”. Вот еще несколько примеров форензики для известных зловредов:


Вверху каждого отчета можно заметить 7 вкладок-дашбордов:

1. Overview


Общие и самые главные данные по инциденту. Картинка выше и есть пример Overview. В этом же дашборде можно сменить вид Incedent Details на MITRE ATT&CK:



2. General


Здесь можно увидеть к какому типу вирусов относится наш зловред, какой процесс был триггером и какая важность события (severity):



3. Entry Point


Здесь можно увидеть с чего началась атака. В нашем случае все довольно просто (скачали файлик через chrome):



Но бывают случаи гораздо интересней.

4. Remediation


Здесь можно увидеть, что именно сделал SandBlast Agent обнаружив вирус. Затерминированные процессы, восстановленный файлы (особенно актуально при обнаружении шифровальщиков) и т.д.



5. Business Impact


Здесь вы сможете увидеть какие активы пострадали в результате атаки:



6. Suspicious Activity


Можно детально ознакомиться с тем, что же именно Check Point посчитал подозрительным в деятельности этого вируса. Довольно исчерпывающая информация, которая поможет в расследовании инцидентов:



7. Incident Details


Один из самых интересных дашбордов. Позволяет видеть развитие событий на временной шкале с подробной информацией по каждому шагу. Какой процесс был создан, на каком этапе, что конкретно он делал и т.д.:



Заключение


Check Point, в отличии от многих вендоров, в данном случае сосредоточен не только на prevent, но и на максимально подробном объяснении природы пойманного зловреда. Форензика показывает настолько интересные и полезные результаты, что мы (да и сам вендор) используем SandBlast агент для изучения различных экземпляров вирусов, которые нам могут присылать заказчики на анализ. Запускаешь файл в виртуальной машине (лучше на физической) с SandBlast агентом и смотришь, что же он делает. Сам Check Point часто публикует репорты именно с SandBlast агента при описании новых типов обнаруженных вирусов.
Более того, можно принудительно вручную запусть форензику по файлу, даже если он не вирусный и посмотреть всю его активность с реестром, файловой системой, сетевыми подключениями, процессами и т.д. Еще одной интересной особенностью, которая появилась совсем недавно, является возможность передачи всех собранных данных по вирусу на стороннюю SIEM систему в RAW формате. Но это скорее всего актуально для владельцев SOC-ов.

В следующих статьях мы аналогичным образом рассмотрим отчеты SnadBlast Mobile, а так же CloudGiard SaaS. Так что следите за обновлениями ( Telegram , Facebook , VK , TS Solution Blog )!
Alt text