3. Анализ зловредов с помощью форензики Check Point. SandBlast Mobile

zo-mjkjjopa2f8xwfizgg2cfrje.png

Добро пожаловать в третью статью нашего цикла по форезнике от Check Point. На этот раз мы рассмотрим SandBlast Mobile. Мобильные устройства уже давно стали частью нашей жизни. В смартфонах наша работа, наш досуг, развлечения, личные данные. Про это знают и злоумышленники. Согласно отчету Check Point за 2019 год, три самых распространенных вектора атаки на пользователей:

  • Email (вредоносные вложения, ссылки);
  • Web (вирусное ПО, фишинг);
  • Smartphones (вредоносные приложения, поддельные WiFi сети, фишинг).


Первые два вектора мы можем закрыть уже рассмотренными SandBlast Network и SandBlast Agent. Остаются смартфоны, угрозы для которых все чаще фигурируют в новостях. Для защиты этого вектора атаки у Check Point есть специализированное решение — SandBlast Mobile. Ниже мы рассмотрим форензику, которую мы можем получить при расследовании инцидентов на мобильных устройствах.

Check Point SandBlast Mobile


Данное средство защиты появилось в портфеле Check Point относительно недавно. Эксплуатация системы крайне простая (наверно самая простая из всех продуктов CP). Все управление осуществляется через облачный сервис — портал. Там вы добавляете мобильные устройства пользователей и там же вы можете отслеживать их состояние. SandBlast Mobile позволяет решить следующие задачи безопасности:

  1. Блокировка 0-day атак (в виде приложений или файлов);
  2. Защита от фишинга в любом мобильном приложении (будь то SMS или Messenger);
  3. Защита от botnet сетей (предотвратит утечку персональных или корпоративных данных);
  4. Блокировка доступа зараженных устройств к корпоративным ресурсам (если устройство заражено или не соответствует политикам безопасности, то вы не сможете получить доступ к корпоративным приложениям со смартфона);
  5. Блокировка доступа к вредоносным сайтам.


Есть отличный вебинар по этому продукту от Амира Алиева (компания Check Point):

С вашего позволения я не буду делать подробное описание возможностей этого агента. Наш цикл статей именно про форензику. Но возможно в ближайшем будущем мы запустим отдельный курс по SandBlast Mobile (продукт очень простой).

Важный момент. SandBlast Mobile можно абсолютно бесплатно использовать в течении 30 дней для 50 устройств. На мой взгляд это отличная возможность провести аудит безопасности мобильных устройств (например руководства компании). Процедура получения демо довольно простая — либо напишите нам, либо сделайте заявку через онлайн форму.

Форензика SandBlast Mobile — Dashboard


Вся аналитика вредоносной активности начинается с главного дашборда на облачном портале SandBlast Mobile:

k4iaoolb2hvcvdulol2h6qb3aqe.png

Здесь вы можете видеть кол-во активных устройств, угроз, их критичность и т.д. Далее мы можем перейти непосредственно к списку событий (Events & Alerts) и отфильтровать их по уровню критичности:

gso7xwoqyjvokzffwdsrirzfcj4.png

Мы увидим вектор атаки, ее тип, детали события и собственно все «замешанные» в этом пользователи (их устройства). При желании можно отфильтровать события по конкретному устройству (Device Risk) и ознакомиться со всеми связанными угрозами:

mgopigy0xlc8wxcevklhjkkn7ia.png

Пожалуй наибольший интерес для безопасника представляет вкладка «App Analysis», где вы можете «провалиться» во вредоносное приложение и посмотреть, что же именно не понравилось Check Point. Есть фильтр «Risk Level» с помощью которого мы можем увидеть все опасные приложения. Для примера можем рассмотреть тестовый вирус AV Test AP:

re-krpaaqq_iswdog7cop0exb4c.png

Здесь вы сможете увидеть общий вердикт по приложению, базовую информацию о производителе, хэш суммы и так далее. Не очень интересно. Давайте рассмотрим другое «вирусное» приложение — Ping Tools:

iocfv8ws58kszwwfvbn64cjuavc.png

Ознакомившись с базовой информацией можно спуститься чуть ниже и увидеть детали по угрозам. Здесь мы например видим, что приложение отслеживает локацию устройства (даже будучи закрытым) и несколько странных вариантов поведения:

44-q00qrg1vsjofl1ysoy-z-vi0.png

Также интересным является раздел Application Permissions. Посмотрев на него почти всегда возникает вопрос: «Зачем этому приложению такие права?»

pusmgs2yfs3cd_hato1vnotpzro.png

Этот отчет можно выгрузить в информативную pdf:

czzaubk85rtn51n6ccxkrsypufo.png

Исходники можно скачать тут. А здесь можно скачать отчет по нашумевшему вредоносному приложению CamScanner.

Есть еще одна интересная вкладка, Network, где мы можем проанализировать сети, к которым подключаются ваши пользователи:

h8v4kdfzbbydbccczstodtzfwog.png

SandBlast Mobile глазами пользователя


Пользователю данное приложение не доставляет особых проблем. При первой установке оно просканирует устройство и выдаст вердикт, есть ли угрозы и какие именно:

lxdy8ovyb5uddrl0ibt0ra5cbag.png

При этом сам пользователь тоже может посмотреть, что же именно не понравилось агенту в этих приложениях:

krcbu3rttraelllldbnq5oegjfs.png

На мой взгляд довольно исчерпывающая информация, что позволит пользователю сделать вывод о вредоносности ПО. При этом, если пользователь попробует скачать вредоносное приложение, то SandBlast Mobile тут же сработает:

n7a1svn5kzjg_jv2v9hmt42mauo.gif

Это же уведомление получит и администратор системы.

Дополнительный материал по Check Point SandBlast Mobile (очень рекомендую к прочтению).

Заключение


Как уже было сказано выше, мобильные устройства прочно вошли в нашу повседневную жизнь. Подавляющее большинство использует смартфоны для работы и имеет доступ к корпоративным данным. Это делает мобильные устройства чрезвычайно опасным вектором атаки на вашу сеть, который нужно не только закрывать, но еще и понимать, что именно вам угрожает. Форензика от Check Point SandBlast Mobile отлично «вписывается» в комплексную защиту данных компании и в общую стратегию ИБ.

В следующей статье мы рассмотрим отчеты CloudGiard SaaS. Так что следите за обновлениями (Telegram, Facebook, VK, TS Solution Blog), Яндекс.Дзен.

P.S. Выражаем благодарность Алексею Белоглазову (компания Check Point) за помощь в подготовке данной статьи.

© Habrahabr.ru