Create a Post
cancel
Showing results for 
Search instead for 
Did you mean: 
carlosmendes
Employee
Employee

Aquisição remota de evidências em uma máquina isolada da rede pelo Harmony Endpoint

No Guia de Tratamento de Incidentes de Cibersegurança do NIST, o ciclo de vida da Resposta a Incidentes apresenta 4 estágios, sendo o primeiro a Preparação para um incidente, e o segundo sua Detecção e Análise. Em seguida, surge aquele que é provavelmente o que mais rápido vem à mente quando falamos em “Resposta a Incidentes”. Trata-se do momento de Contenção, Erradicação e Recuperação.

carlosmendes_10-1721310911156.png

É nesta fase em que se busca impedir a propagação do incidente, de modo a diminuir os danos, utilizando-se dos processos estabelecidos e das informações adquiridas nas etapas anteriores. Mas é também este o momento mais propício para que ocorra uma tarefa às vezes negligenciada, porém crítica para as atividades pós-incidente: a coleta de evidências.

O Harmony Endpoint, solução de proteção de endpoints da Check Point, pode promover a contenção de um incidente e, ao mesmo tempo, possibilitar a coleta de evidências de forma segura. Quando o atacante detém Comando & Controle sobre uma máquina, ou esta se encontra infectada por malware capaz de replicar-se pela rede, uma medida de contenção eficaz é o isolamento de suas conexões. Neste contexto, é proveitosa a seguinte combinação de funcionalidades: a execução de comandos, remotamente, em uma máquina gerenciada que foi isolada da rede.

Pré-requisito: computador com o agente do Harmony Endpoint instalado e com a blade de firewall habilitada.

carlosmendes_0-1721310684646.jpeg

Através do Portal Infinity, na gerência do Harmony Endpoint, podemos isolar a máquina da rede, bastando buscá-la por meio do Asset Management:

carlosmendes_1-1721310684656.jpeg

Em Push Operations podemos verificar o status da operação de isolamento:

carlosmendes_2-1721310684664.jpeg

Uma vez ocorrido o isolamento, os únicos tráfegos permitidos pela solução serão DHCP, DNS e tráfego relativo ao próprio servidor da gerência.

carlosmendes_3-1721310684672.jpeg

Neste momento, ainda que isolada da rede, a máquina pode receber comandos remotos do servidor de gerência para, por exemplo, coleta de logs, término de processos, busca e coleta de arquivos, adição e remoção de chaves de registro etc.

Uma das formas de iniciar um comando remoto é no próprio menu de Push Operations, utilizando a funcionalidade de Add Push Operation:

carlosmendes_4-1721310684679.jpeg

Neste exemplo, foi utilizada a operação geral de “Remote Command”, para executar em nome do usuário logado na máquina um script não assinado, para obtenção de informação sobre os drives da máquina:

carlosmendes_5-1721310684687.jpeg

O código do script é:

 

 

 

Write-host "Script: GetDrivesInfo.ps1"

Get-PSDrive | where{$_.DisplayRoot -match "\\"}

Get-CimInstance -ClassName Win32_MappedLogicalDisk | Select SystemName, DeviceID, ProviderName

[System.IO.DriveInfo]::getdrives()

 

 

 

Após a execução bem-sucedida de uma operação, podemos verificar seu output na própria console:

carlosmendes_6-1721310684696.jpeg

Ou, para uma melhor visualização, copiá-lo para o bloco de notas:

carlosmendes_7-1721310684703.jpeg

Desta forma, podem ser obtidas as mais diversas informações para análise forênsica e pós-incidente de modo remoto e seguro.

Referências:

NIST, Computer Security Incident Handling Guide: https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf

Check Point, Harmony Endpoint Admin Guide, Performing Push Operations: https://sc1.checkpoint.com/documents/Infinity_Portal/WebAdminGuides/EN/Harmony-Endpoint-Admin-Guide/...

 

0 Replies

Leaderboard

Epsum factorial non deposit quid pro quo hic escorol.

Upcoming Events

    CheckMates Events