Abwehr von Malware und raffinierten Angriffen testen

• Andernfalls fordern Sie beim für Falcon-Testversionen zuständigen Team unter FalconTrial@CrowdStrike.com Zugang zum virtuellen Malware-Lab an. Das Lab wird von CloudShare gehostet.
• Sie erhalten per E-Mail eine Einladung von CloudShare. Klicken Sie auf den Link und folgen Sie den Aufforderungen, um Ihre Registrierung abzuschließen.
• Klicken Sie in der Navigationsleiste auf die Registerkarte „Virtual Malware Lab“, um auf Ihren Testrechner zuzugreifen. Das Hochladen des Labs kann ein paar Minuten dauern. Sie können inzwischen mit Schritt 2 fortfahren.

Laden Sie die Beispiel-Malware herunter.

Doppelklicken Sie auf Download Samples (Beispiele herunterladen) und laden Sie alle Dateien herunter. Sie müssen die Beispiele herunterladen, bevor Sie den Falcon-Sensor installieren. Wenn Sie diesen Schritt zuvor übersprungen haben, stellen Sie den Standardzustand Ihrer Umgebung wieder her.

Umgebung wiederherstellen:

• Wählen Sie Environmental Actions > Revert environment (Umgebungsaktionen > Umgebung wiederherstellen)
• Ein Skript sammelt alle Beispiele ein und legt sie im Ordner Sample Files auf Ihrem Desktop ab.
• Schlagen Sie im Skript eine Taste an, um fortzufahren.

Falcon-Sensor bereitstellen

Wenn Sie die Beispiele heruntergeladen haben und bevor Sie mit dem Testen in Ihrem eigenen Lab oder in der bereitgestellten virtuellen Umgebung beginnen, müssen Sie auf jedem Host Sensoren bereitstellen und prüfen, ob sie erfolgreich installiert und mit unserer Cloud verbunden sind.

Schrittweise Anleitung:

• Melden Sie sich bei Ihrem Testkonto an.

• Wählen Sie Falcon Resource Center > Essential skills > “Protect my endpoints” (Falcon Ressource Center > Wichtige Fähigkeiten > „Meine Endgeräte schützen“) für Ihr Betriebssystem. Sie werden durch den Prozess zur Bereitstellung des Sensors geführt.

• Hilfe zur Bereitstellung des Sensors finden Sie hier: https://www.crowdstrike.com/en-us/free-trial-guide/start-and-install/

Aktiven Host und Präventionsrichtlinie prüfen

• Der neu installierte Sensor sollte über eine Präventionsrichtlinie verfügen.

• Überprüfen Sie dies in der CrowdStrike Falcon-Plattform. Gehen Sie zu Host setup and management > Host management. Prüfen Sie, ob Ihr Hostname CSFALCONPREVENT aufgeführt ist. In der Spalte Prevention Policy (Präventionsrichtlinie) sollte platform_default als zugewiesene Richtlinie stehen.

• Bestätigen Sie dies bei der Windows-Sicherheit. Suchen Sie CrowdStrike Falcon Sensor unter Virus & threat protection (Viren- und Bedrohungsschutz).

• Testen wir zunächst mit einem nicht schädlichen Beispiel, um uns zu vergewissern, dass der Host unter der Standard-Präventionsrichtlinie über einen funktionierenden Sensor verfügt.

• Doppelklicken Sie auf „Sample Files“ (Beispieldateien), wählen Sie „Non-Malicious“ (Nicht bösartig) aus und starten Sie cs_maltest.exe.
• Bei der Standard-Präventionsrichtlinie für Windows sehen Sie auf dem Client-Hostsystem möglicherweise zwei Meldungen wie die hier dargestellten.

• Gehen Sie zu Endpoint security > Activity dashboard (Endgerätesicherheit > Aktivitäts-Dashboard). Die Registerkarte für neue Erkennungen sollte 4 neue Erkennungen zeigen (einschließlich von 3 Beispiel-Erkennungen). Die Registerkarte Most recent detections (Aktuelle Erkennungen) sollte auch eine neue Erkennung mit hohem Schweregrad zeigen.

• Gehen Sie nun zu Endpoint security > Endpoint detections (Endgerätesicherheit > Endgeräte-Erkennungen) Sie sollten die Erkennung mit hohem Schweregrad auf Ihrem Host CSFALCONPREVENT sehen.

• Mit jedem Test generieren Sie eine neue Erkennung.
• Wenn Sie den Sensor mit der Standard-Präventionsrichtlinie installiert haben, können Sie Tests mit echten Beispielen ausführen.

• Doppelklicken Sie auf Sample Files (Beispieldateien) und wählen Sie Malware aus, um die von uns bereitgestellten Malware-Beispiele zu sehen.
• Generieren Sie anhand dieser Beispiele Erkennungen auf der Falcon-Plattform. Verwalten Sie diese Erkennungen auf der Seite Endpoint detections (Endgeräte-Erkennungen).

• Führen Sie in Windows Explorer ein Malware-Beispiel aus.
• Doppelklicken Sie auf eines der Malware-Beispiele.
• Kehren Sie nun zurück zu Endpoints security > Endpoint detections (Endgerätesicherheit > Endgeräte-Erkennungen) in der Falcon-Plattform. Klicken Sie auf das Symbol für Alle Erkennungsdetails.
• Hier ist der übergeordnete Prozess explorer.exe.
• So erfahren Sie mehr darüber, wie ein Angriff ausgeführt wurde.

• Starten Sie ein Beispiel an einer Eingabeaufforderung (cmd.exe).
• Öffnen Sie die Eingabeaufforderung.

• Wählen Sie ein Beispiel aus und laden Sie es zur Eingabeaufforderung hoch.
• Navigieren Sie zur Seite Endpoint detections (Endgeräte-Erkennungen) und wählen Sie die Erkennung aus. Der übergeordnete Prozess für die Malware ist jetzt cmd.exe.

• Beginnen wir mit WannaCry, der Ransomware, mit der im Jahr 2017 der britische Gesundheitsdienst NHS angegriffen wurde.

• Doppelklicken Sie auf „Sample Files“ (Beispieldateien), wählen Sie Ransomware und starten Sie dann WannaCry. Sie sollten nun Benachrichtigungen von Windows und vom CrowdStrike Falcon-Sensor sehen.

• Kehren Sie zu den Ransomware-Beispielen zurück und starten Sie Locky.

• Zeigen Sie die Execution Details (Ausführungsdetails) der Locky-Erkennung an. Neben anderen nützlichen Informationen sehen Sie unter Action Taken, Tactic & Technique die ausgeführte Aktion und die Taktiken und Techniken.

• Navigieren Sie zu Desktop > Sample Files > IOAs-Behavioral (Desktop > Beispieldateien > IOAs Verhalten).
• Doppelklicken Sie auf die Batchdatei Credential_Dumping.bat. Dieses Skript führt einen kodierten PowerShell-Befehl zur Erfassung von Anmeldedaten aus.
• Navigieren Sie zur Seite der Endgeräte-Erkennungen und prüfen Sie die neue Erkennung.
• Suchen Sie in den Ausführungsdetails das Detail Command Line (Befehlszeile) und stellen Sie sicher, dass Show decoded (Dekodiert anzeigen) aktiviert ist. Wir sehen das vollständige Befehlszeilenargument, das verwendet wurde. Keine andere Virenschutzlösung bietet so genaue Details. Sie sehen, wie dieses PowerShell-Skript Mimikatz heruntergeladen hätte.

• Navigieren Sie zu Desktop > Sample Files > IOAs-Behavioral (Desktop > Beispieldateien > IOAs Verhalten).
• Doppelklicken Sie auf die Batchdatei Sticky_Keys.bat.
• Die Datei wird in einem Eingabeaufforderungsfenster ausgeführt.
• Sie ändert heimlich einen Registrierungsschlüssel, der es einem Angreifer ermöglichen würde, sich ohne Eingabe von Benutzername und Kennwort beim Rechner anzumelden.
• Wählen Sie im virtuellen Lab Keyboard (Tastatur), und wählen Sie die Schaltfläche „send ctrl+alt+delete“ (Strg+Alt+Entf senden), um den Windows-Sperrbildschirm aufzurufen.
• Klicken Sie auf die Option Ease of Access (Einfacher Zugriff), die unten links am Bildschirm angezeigt wird.
• Markieren Sie das Kästchen für Type (Eingeben) ohne Bildschirmtastatur, und klicken Sie dann auf Apply (Übernehmen).

• Sie finden eine neue, kritische Warnung auf Ihrem Aktivitäts-Dashboard und auf Ihrer Endgeräte-Erkennungsseite unter Most recent detections (Aktuelle Erkennungen).
• Verlassen Sie den Windows-Sperrbildschirm und kehren Sie zur Falcon-Plattform zurück.
• Durch Erweitern der neuen Warnung auf der Seite Endpoint detections (Endgeräte-Erkennungen) sehen wir, dass reg.exe blockiert wurde. Als Tactic & Technique wird jetzt „Persistence“ angezeigt. Die IOA Description (IOA-Beschreibung) empfiehlt, den Registrierungsschlüssel zu prüfen.

• In diesem Szenario simulieren wir einen Phishing-Angriff, indem wir eine E-Mail mit einem schädlichen Anhang öffnen.

• Öffnen Sie im virtuellen Malware-Lab Outlook und prüfen Sie den Posteingang. Die Nachrichten des Aktivierungsassistenten können Sie „Abbrechen“. Öffnen Sie die E-Mail von Richard. In diesem Phishing-Angriff wird behauptet, dass unbeglichene Kosten für einen Hotelaufenthalt des Benutzers vorliegen.

• Doppelklicken Sie auf Folio-0701-2017-00873.xls. Sie haben die Option, den Download zu öffnen, zu speichern oder abzubrechen. Wählen Sie in diesem Beispiel Datei öffnen.
• Nachdem Sie die angehängte Excel-Datei geöffnet haben, werden die Microsoft Visual Basic-Fehlermeldung und die Meldungen von CrowdStrike Falcon angezeigt.
• Das bedeutet, dass Falcon verhindert hat, dass das Dokument seine schädliche Payload im Hintergrund ausführt.

• Durch Öffnen des Anhangs wird in der Falcon-Plattform eine neue Warnung ausgelöst
• Wenn Sie die neue Warnung auf der Seite Endpoint detections (Endgeräte-Erkennungen) erweitern, sehen Sie, dass diese Bedrohung von Outlook.exe kam und dass der Excel-Anhang PowerShell gestartet hat.
• Um mehr Details zu den PowerShell-Vorgängen zu sehen, wählen Sie Execution details > Command Line (Ausführungsdetails > Befehlszeile). Sie sehen, dass PowerShell versucht hat, einen verborgenen Befehl auszuführen und das schädliche Skript von Github herunterzuladen.
• Sie können Ihre Hash-Richtlinie direkt aus einer Erkennung heraus verwalten.
• Das bedeutet, dass eine Erkennung, die für eine schädliche Datei erstellt wurde, sofort auf die Ausschlussliste gesetzt werden kann. Verwenden Sie dazu den Bereich Execution Details (Ausführungsdetails) rechts von der ausgewählten Warnung.
• Klicken Sie auf beim gewünschten Hash auf Update Hash Policy (Hash-Richtlinie aktualisieren) und nehmen Sie die Änderungen vor. Dasselbe gilt, wenn eine kundenspezifische Anwendung falsche Warnungen generiert und auf die Einschlussliste gesetzt werden muss.

• Starten Sie eine Anwendung.
• Navigieren Sie zu Desktop > Sample Files > Non-Malicious (Desktop > Beispieldateien > Nicht schädlich).

• Doppelklicken Sie auf Show_a_Hash.exe, um die Anwendung zu starten. (Diese Anwendung hat keine andere Funktion, als ihren eigenen Datei-Hash in einer Eingabeaufforderung anzuzeigen.)

• Wir verwenden diesen Hash, um die Datei auf die Ausschlussliste zu setzen, damit sie nicht mehr ausgeführt wird.
• Kopieren Sie den Hash von der Eingabeaufforderung oder von hier:
  4e106c973f28acfc4461caec3179319e784afa9cd939e3eda41ee7426e60989f

IOC manuell hinzufügen

• Wählen Sie Endpoint security > IOC Management (Endgerätesicherheit > IOC-Verwaltung).

• Klicken Sie auf Add indicators > Add hashes (Indikatoren hinzufügen > Hashes hinzufügen).

Hashes manuell hinzufügen

• Fügen Sie den kopierten Hash in das Feld ein.

• Prüfen Sie alle Hosts und wählen Sie die folgenden Optionen aus: Platform > Windows, Action > Block Block and show as detection, Severity > Critical (Plattform > Windows, Aktion > Blockieren und als Erkennung anzeigen, Schweregrad > Kritisch).
• Klicken Sie zum Schluss auf Add hashes (Hashes hinzufügen).
• Starten Sie die Anwendung neu.
• Kehren Sie zurück zum Desktop (schließen Sie das Eingabeaufforderungsfenster) und doppelklicken Sie dann erneut auf Show_a_Hash.exe. Sie werden sehen, dass das Programm dieses Mal nicht ausgeführt wird.
• Navigieren Sie in der Falcon-Plattform zu Endpoint detections (Endgeräte-Erkennungen) und prüfen Sie die neue Warnung.
• Sie können Ihre Hash-Richtlinie direkt aus einer Erkennung heraus verwalten. Das bedeutet, dass eine Erkennung, die für eine schädliche Datei erstellt wurde, sofort auf die Ausschlussliste gesetzt werden kann. Verwenden Sie dazu den Bereich Execution Details (Ausführungsdetails) rechts von der ausgewählten Warnung.
• Klicken Sie auf beim gewünschten Hash auf Update Hash Policy (Hash-Richtlinie aktualisieren) und nehmen Sie die Änderungen vor. Dasselbe gilt, wenn eine kundenspezifische Anwendung falsche Warnungen generiert und auf die Einschlussliste gesetzt werden muss.