This website uses Cookies. Click Accept to agree to our website's cookie use as described in our Privacy Policy. Click Preferences to customize your cookie settings.
Accept
Reject
Preferences
ABOUT CHECKMATES CYBER SECURITY COMMUNITY & FAQ
Create a Post
Help
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 

Are you a member of CheckMates?

×
Sign in with your Check Point UserCenter/PartnerMap account to access more great content and get a chance to win some Apple AirPods! If you don't have an account, create one now for free!
carlosmendes
Employee
Employee
‎2024-07-18 07:21 AM

Aquisição remota de evidências em uma máquina isolada da rede pelo Harmony Endpoint

No Guia de Tratamento de Incidentes de Cibersegurança do NIST, o ciclo de vida da Resposta a Incidentes apresenta 4 estágios, sendo o primeiro a Preparação para um incidente, e o segundo sua Detecção e Análise. Em seguida, surge aquele que é provavelmente o que mais rápido vem à mente quando falamos em “Resposta a Incidentes”. Trata-se do momento de Contenção, Erradicação e Recuperação.

carlosmendes_10-1721310911156.png

É nesta fase em que se busca impedir a propagação do incidente, de modo a diminuir os danos, utilizando-se dos processos estabelecidos e das informações adquiridas nas etapas anteriores. Mas é também este o momento mais propício para que ocorra uma tarefa às vezes negligenciada, porém crítica para as atividades pós-incidente: a coleta de evidências.

O Harmony Endpoint, solução de proteção de endpoints da Check Point, pode promover a contenção de um incidente e, ao mesmo tempo, possibilitar a coleta de evidências de forma segura. Quando o atacante detém Comando & Controle sobre uma máquina, ou esta se encontra infectada por malware capaz de replicar-se pela rede, uma medida de contenção eficaz é o isolamento de suas conexões. Neste contexto, é proveitosa a seguinte combinação de funcionalidades: a execução de comandos, remotamente, em uma máquina gerenciada que foi isolada da rede.

Pré-requisito: computador com o agente do Harmony Endpoint instalado e com a blade de firewall habilitada.

carlosmendes_0-1721310684646.jpeg

Através do Portal Infinity, na gerência do Harmony Endpoint, podemos isolar a máquina da rede, bastando buscá-la por meio do Asset Management:

carlosmendes_1-1721310684656.jpeg

Em Push Operations podemos verificar o status da operação de isolamento:

carlosmendes_2-1721310684664.jpeg

Uma vez ocorrido o isolamento, os únicos tráfegos permitidos pela solução serão DHCP, DNS e tráfego relativo ao próprio servidor da gerência.

carlosmendes_3-1721310684672.jpeg

Neste momento, ainda que isolada da rede, a máquina pode receber comandos remotos do servidor de gerência para, por exemplo, coleta de logs, término de processos, busca e coleta de arquivos, adição e remoção de chaves de registro etc.

Uma das formas de iniciar um comando remoto é no próprio menu de Push Operations, utilizando a funcionalidade de Add Push Operation:

carlosmendes_4-1721310684679.jpeg

Neste exemplo, foi utilizada a operação geral de “Remote Command”, para executar em nome do usuário logado na máquina um script não assinado, para obtenção de informação sobre os drives da máquina:

carlosmendes_5-1721310684687.jpeg

O código do script é:

 

Write-host "Script: GetDrivesInfo.ps1"

Get-PSDrive | where{$_.DisplayRoot -match "\\"}

Get-CimInstance -ClassName Win32_MappedLogicalDisk | Select SystemName, DeviceID, ProviderName

[System.IO.DriveInfo]::getdrives()

 

Após a execução bem-sucedida de uma operação, podemos verificar seu output na própria console:

carlosmendes_6-1721310684696.jpeg

Ou, para uma melhor visualização, copiá-lo para o bloco de notas:

carlosmendes_7-1721310684703.jpeg

Desta forma, podem ser obtidas as mais diversas informações para análise forênsica e pós-incidente de modo remoto e seguro.

Referências:

NIST, Computer Security Incident Handling Guide: https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf

Check Point, Harmony Endpoint Admin Guide, Performing Push Operations: https://sc1.checkpoint.com/documents/Infinity_Portal/WebAdminGuides/EN/Harmony-Endpoint-Admin-Guide/...

 

0 Replies
Upcoming Events

    Sort by:
    CheckMates Events