Pruebas de malware y ataques avanzados

• Si aún no lo has hecho, comunícate con el equipo de pruebas de Falcon en FalconTrial@CrowdStrike.com para solicitar acceso al laboratorio virtual de malware. El laboratorio está alojado en CloudShare.
• Recibirás una invitación por correo electrónico de CloudShare. Haz clic en el enlace y sigue los prompts para completar tu registro.
• Haz clic en la pestaña Laboratorio virtual de malware de la barra de navegación para acceder a tu máquina de pruebas. Tu laboratorio puede tardar unos minutos en cargarse. No dudes en pasar al Paso 2.

Descarga muestras de malware.

Haz doble clic en Descargar muestras para descargar todos los archivos. Debes descargar las muestras antes de instalar el sensor Falcon. Si anteriormente habías omitido este paso, revierte tu entorno para volver al estado predeterminado.

Para revertir tu entorno:

• Selecciona Acciones de entorno > Revertir entorno
• Un script recuperará todas las muestras y las colocará en la carpeta Archivos de muestra en tu escritorio.
• Presiona cualquier tecla dentro del script para continuar.

Desplegar el sensor Falcon

Después de descargar las muestras y antes de comenzar las pruebas, ya sea en tu propio laboratorio o en el entorno virtual proporcionado, tendrás que desplegar los sensores en cada host y verificar que los sensores se han instalado y conectado correctamente a nuestra nube.

Instrucciones paso a paso:

• Inicia sesión en tu cuenta de prueba.

• Selecciona Centro de recursos de Falcon > Habilidades esenciales > “Proteger mis endpoints” para tu sistema operativo. Se te guiará a través del proceso de despliegue del sensor.

• Para obtener más ayuda sobre el despliegue del sensor: https://www.crowdstrike.com/es-latam/free-trial-guide/start-and-install/

Verificar host activo y política de prevención

• El sensor recién instalado debe tener una política de prevención.

• Confirma en la plataforma CrowdStrike Falcon. Ve a Configuración y gestión del host > Gestión del host. Comprueba que aparece tu nombre de host CSFALCONPREVENT. La columna Política de prevención debe mostrar platform_defaul como la política asignada.

• Confirma con Seguridad de Windows. Busca Sensor CrowdStrike Falcon en Protección contra virus y amenazas.

• Probemos con una muestra no maliciosa para asegurarnos de que el host tiene un sensor que funciona bajo la política de prevención predeterminada.

• Haz doble clic en Archivos de muestra, selecciona No malicioso y ejecuta cs_maltest.exe.
• Con tu política de prevención de Windows predeterminada, es posible que veas dos mensajes, similares a los de aquí, en el sistema cliente.

• Ve a Seguridad de endpoints > Panel de actividad. La tarjeta de Nuevas detecciones debería mostrar 4 nuevas detecciones (incluidas 3 detecciones de muestra). La tarjeta de Detecciones más recientes también debería mostrar una nueva Detección de alta gravedad.

• Ahora ve a Seguridad de endpoints > Detecciones de endpoints. Deberías ver la Detección de alta gravedad en tu host CSFALCONPREVENT.

• Con cada prueba, generarás una nueva detección.
• Ahora que tienes el sensor instalado con la política de prevención predeterminada activada, estás listo para probar con muestras reales.

• Haz doble clic en Archivos de muestra y selecciona Malware para ver las muestras de malware que te proporcionamos.
• Utiliza estas muestras para generar detecciones en la plataforma Falcon y gestionar estas detecciones en la página Detecciones de endpoints .

• Ejecuta una muestra de malware desde el Explorador de Windows.
• Haz doble clic en cualquiera de las muestras de malware.
• Ahora navega de regreso a Seguridad de endpoints > Detecciones de endpoints en la plataforma Falcon y haz clic en el ícono Detalles completos de las detecciones.
• Observa que explorer.exe es el proceso principal.
• Esto te ayudará a comprender cómo se ejecutó un ataque.

• Ejecuta una muestra desde un prompt de comando (cmd.exe).
• Abre el prompt de comando.

• Toma una muestra y cárgala en el prompt de comando.
• Navega hasta la página Detecciones de endpoints y selecciona la detección. Observa cómo el proceso principal del malware ahora es cmd.exe.

• Comencemos con WannaCry, el ransomware que atacó al Servicio Nacional de Salud en el 2017.

• Haz doble clic en Archivos de muestra, selecciona Ransomware y, luego, ejecuta WannaCry. Deberías ver las notificaciones de Windows y el sensor de CrowdStrike Falcon.

• Regresa a tus muestras de Ransomware y ejecuta Locky.

• Ve a los Detalles de ejecución de la detección de Locky. Podrás ver las Acciones adoptadas, táctica y técnica utilizadas y otra información útil.

• Ve a Escritorio > Archivos de muestra > IOA-Comportamiento.
• Haz doble clic en el archivo por lotes Credential_Dumping.bat. Este script ejecutará un comando powershell codificado para capturar las credenciales.
• Navega hasta la página de detecciones de endpoints e inspecciona la nueva detección.
• En el panel de detalles de ejecución, busca el detalle de Línea de comandos y asegúrate de que la opción Mostrar descodificación está activada. Podemos ver el argumento completo de la línea de comandos que se utilizó. Ninguna otra solución antivirus (AV) proporciona ese nivel de detalle. Puedes ver cómo este script de PowerShell descargó Mimikatz.

• Ve a Escritorio > Archivos de muestra > IOA-Comportamiento.
• Haz doble clic en el archivo por lotes Sticky_Keys.bat .
• El archivo se ejecutará en una ventana de prompt de comandos.
• Modificará secretamente una clave del registro que permitiría a un atacante iniciar sesión en la máquina sin tener que proporcionar un nombre de usuario o contraseña.
• Utiliza el teclado del laboratorio virtual y selecciona el botón “enviar ctrl+alt+supr” para abrir la pantalla de bloqueo de Windows.
• Haz clic en la opción Facilidad de acceso en la esquina inferior izquierda y en la pantalla que aparece.
• Marca la casilla Escribir sin el teclado (Teclado en pantalla) y, luego, presiona Aplicar.

• Encontrarás una nueva alerta grave en Detecciones más recientes en tu Panel de actividad y en la página Detecciones de endpoints.
• Sal de la pantalla de bloqueo de Windows y vuelve a la plataforma Falcon.
• Al expandir la nueva alerta en la página Detecciones de endpoints, podemos ver que reg.exe fue bloqueado y cómo la Táctica y técnica es la persistencia. Ve cómo la Descripción de IOA recomienda que investigues la clave de registro.

• En esta situación simularemos un ataque de phishing abriendo un correo electrónico con un archivo adjunto malicioso.

• En el laboratorio virtual de malware, abre Outlook y ve a la Bandeja de entrada. Puedes cancelar los mensajes del Asistente de activación. Abre el correo electrónico de Richard. Este ataque de phishing afirma que el usuario tiene cargos impagos correspondientes a una estadía en un hotel.

• Haz doble clic en Folio-0701-2017-00873.xls. Tendrás la opción de Abrir, Guardar o Cancelar la descarga. Para este ejemplo, abre el archivo.
• Luego de abrir el archivo de Excel adjunto, aparecen los mensajes de error de Microsoft Visual Basic y de CrowdStrike Falcon.
• Esto indica que Falcon detuvo la ejecución de la payload maliciosa del documento en segundo plano.

• Al abrir el archivo adjunto se activó una nueva alerta en la plataforma Falcon.
• Al ampliar la nueva alerta en la página Detecciones de endpoints se ilustra claramente que esta amenaza provenía de Outlook.exe y que el archivo adjunto de Excel iniciaba PowerShell.
• Para obtener aún más detalles sobre lo que hizo PowerShell, ve a Detalles de ejecución > Línea de comando. Puedes ver que PowerShell intentó ejecutar un comando oculto y descargar el script malicioso de Github.
• La gestión de tu política hash se puede realizar directamente desde una detección.
• Esto significa que, si se crea una detección para un archivo malicioso, puede agregarse inmediatamente a la lista negra mediante el panel Detalles de ejecución situado a la derecha de la alerta seleccionada.
• Simplemente haz clic en el botón Actualizar política de hash para el hash seleccionado y realiza el cambio. Lo mismo ocurre si una aplicación personalizada genera alertas falsas y se debe agregar a la lista blanca.

• Ejecutar una aplicación.
• Ve a Escritorio > Archivos de muestra > No maliciosos.

• Haz doble clic y ejecuta la aplicación Show_a_Hash.exe . (Esta aplicación no hace más que mostrar su propio hash de archivo en un prompt de comandos).

• Utilizaremos ese hash para poner el archivo en la lista negra y evitar que vuelva a ejecutarse.
• Copia el hash desde el prompt de comandos o desde aquí:
  4e106c973f28acfc4461caec3179319e784afa9cd939e3eda41ee7426e60989f

Agregar IOC manualmente

• Ve a Seguridad de endpoints > Gestión de IOC .

• Haz clic en Agregar indicadores > Agregar hashes.

Agregar hash manualmente

• Pega el hash copiado en el cuadro.

• Marca Todos los hosts y selecciona lo siguiente: Plataforma > Windows ; Acción > Bloquear Bloquear y mostrar como detección ; Gravedad > Grave.
• Para finalizar, haz clic en Agregar hashes.
• Vuelve a ejecutar la aplicación.
• Vuelve al Escritorio (cierra la ventana del prompt de comandos), haz doble clic de nuevo en Show_a_Hash.exe y observa que esta vez no se ejecuta.
• En la plataforma Falcon, navega hasta Detecciones de endpoints e inspecciona la nueva alerta.
• La gestión de tu política hash se puede realizar directamente desde una detección. Esto significa que, si se crea una detección para un archivo malicioso, se puede agregar inmediatamente a la lista negra empleando el panel Detalles de ejecución a la derecha de la alerta seleccionada.
• Simplemente haz clic en el botón Actualizar política de hash para el hash seleccionado y realiza el cambio. Lo mismo ocurre si una aplicación personalizada genera alertas falsas y se debe agregar a la lista blanca.