- CrowdStrike désigné leader dans le Magic Quadrant™ for Endpoint Protection Platforms 2024 de Gartner®
Tests avancés de logiciels malveillants et d'attaques
Votre version d'évaluation de CrowdStrike Falcon® comprend l'accès à un laboratoire virtuel de logiciels malveillants qui vous permet de tester en toute sécurité des échantillons de logiciels malveillants et des techniques d'attaque avancées. Cette étape facultative de l'évaluation vise à vous présenter comment CrowdStrike Falcon® Prevent, notre solution antivirus de nouvelle génération, protège votre environnement.
AVERTISSEMENT : ces tests incluent des logiciels malveillants réels. Vous NE devez PAS effectuer ces tests sur votre station de travail. Les tests doivent UNIQUEMENT être effectués dans un environnement de test de logiciels malveillants dédié, isolé des systèmes internes de votre organisation. Les étapes de ce guide sont rédigées pour permettre les tests dans notre laboratoire virtuel de logiciels malveillants (hébergé par CloudShare) ou le vôtre.
Durée estimée
20 minutes minimum, en fonction du
nombre de tests que vous souhaitez effectuer
Configuration requise
Système d'exploitation Windows ou Mac
Navigateur Google Chrome
Instructions pour les systèmes Mac >
1. Accès au laboratoire virtuel
Si vous avez déjà configuré votre propre laboratoire de logiciels malveillants, ignorez cette étape et passez à l'étape 2.
- Si vous ne l'avez pas encore fait, contactez l'équipe responsable des évaluations de Falcon à l'adresse FalconTrial@CrowdStrike.com pour demander l'accès au laboratoire virtuel de logiciels malveillants. Le laboratoire est hébergé par CloudShare.
- Vous recevrez un e-mail d'invitation de la part de CloudShare. Cliquez sur le lien et suivez les instructions pour finaliser votre inscription.
- Cliquez sur l'onglet Virtual Malware Lab dans la barre de navigation pour accéder à votre machine de test. Le chargement de votre laboratoire peut prendre quelques minutes. N'hésitez pas à passer à l'étape 2.
2. Préparation du laboratoire
Télécharger des échantillons de logiciel malveillant
Double-cliquez sur Download Samples pour télécharger tous les fichiers. Vous devez télécharger des échantillons avant d'installer l'agent Falcon. Si vous aviez ignoré cette étape, rétablissez l'état par défaut de votre environnement.
Pour rétablir votre environnement :
- Sélectionnez Environmental Actions > Revert environment
- Un script récupérera tous les échantillons et les placera dans le dossier Sample Files sur votre bureau.
- Saisissez n'importe quelle clé dans le script pour continuer.
Déployer l'agent Falcon
Après avoir téléchargé des échantillons et avant de commencer les tests soit dans votre propre laboratoire, soit dans l'environnement virtuel fourni, vous devrez déployer des agents sur chaque hôte et vérifier que les agents sont correctement installés et connectés à notre cloud.
Instructions pas-à-pas :
- Connectez-vous à votre compte d'évaluation.
- Sélectionnez Falcon Resource Center > Essential skills > « Protect my endpoints » pour votre système d'exploitation. Vous serez guidé tout au long du processus de déploiement de l'agent.
- Pour obtenir de l'aide sur le déploiement des agents, consultez la page https://www.crowdstrike.com/en-us/free-trial-guide/start-and-install/
Vérifier l'hôte actif et la politique de prévention
- L'agent nouvellement installé doit disposer d'une politique de prévention.
- Confirmez sur la plateforme CrowdStrike Falcon. Accédez à Host setup and management > Host management. Vérifiez que le nom de votre hôte CSFALCONPREVENT est répertorié. La colonne Prevention Policy devrait indiquer platform_default comme la politique attribuée.
- Confirmez avec Sécurité Windows. Recherchez CrowdStrike Falcon Sensor sous Protection contre les virus et menaces.
3. Test non malveillant
- Testons avec un échantillon non malveillant pour nous assurer que l'hôte dispose d'un agent fonctionnel sous la politique de prévention par défaut.
- Double-cliquez sur Sample Files, choisissez Non-Malicious et exécutez cs_maltest.exe.
- Avec votre politique de prévention Windows par défaut, vous pouvez voir deux messages, similaires à ceux affichés ci-contre, sur le système client.
Cela générera également une détection sur la plateforme Falcon.
- Accédez à Endpoint security > Activity dashboard. La carte New detections doit afficher quatre nouvelles détections (dont trois détections d'échantillons). La carte Most recent detections doit également afficher une nouvelle détection de gravité High.
- Accédez maintenant à Endpoint security > Endpoint detections. La détection de gravité High devrait s'afficher sur votre hôte CSFALCONPREVENT.
- À chaque test, vous générerez une nouvelle détection.
- Maintenant que vous avez installé l'agent avec la politique de prévention par défaut activée, vous êtes prêt à tester avec des échantillons actifs.
4. Test de logiciel malveillant
Une fois que vous avez installé l'agent, vous pouvez commencer à tester avec des logiciels malveillants réels. Un logiciel malveillant est un logiciel destiné à endommager des endpoints tels que des ordinateurs, des réseaux ou des serveurs.
- Double-cliquez sur Sample Files et sélectionnez Malware pour voir les échantillons de logiciels malveillants que nous vous avons fournis.
- Utilisez ces échantillons pour générer des détections sur la plateforme Falcon et gérer celles-ci sur la page de détection des endpoints.
- Exécutez un échantillon de logiciel malveillant à partir de l'Explorateur Windows.
- Double-cliquez sur l'un des échantillons de logiciel malveillant.
- Revenez maintenant à Endpoint security > Endpoint detection sur la plateforme Falcon. Cliquez sur l'icône Full detections details.
- Notez que explorer.exe est le processus parent.
- Cela vous aide à comprendre comment une attaque a été exécutée.
- Exécutez un échantillon depuis une invite de commandes (cmd.exe).
- Ouvrez l'invite de commandes.
- Sélectionnez un échantillon et chargez-le dans l'invite de commandes.
- Accédez à la page Endpoint detections et sélectionnez la détection. Notez que le processus parent du logiciel malveillant est maintenant cmd.exe.
5. Test de ransomware
Ces dernières années, le ransomware est devenu l'un des types de logiciels malveillants les plus répandus et les plus problématiques.
Nous avons collecté des échantillons récents de familles de ransomwares prédominantes, comme Locky et WannaCry, que nous avons mis à votre disposition dans votre laboratoire.
- Commençons par WannaCry, le ransomware qui a attaqué le National Health Service en 2017.
- Double-cliquez sur Sample Files, sélectionnez Ransomware, puis lancez WannaCry. Les notifications Windows et CrowdStrike Falcon Sensor devraient s'afficher.
- Revenez à vos échantillons de ransomware et exécutez Locky.
- Accédez à la section Execution details de la détection de Locky. L'action menée, la tactique et la technique utilisées ainsi que d'autres informations utiles s'affichent désormais.
6. Test PowerShell
Les cybercriminels peuvent utiliser PowerShell à des fins malveillantes pour compromettre votre système. Voyons comment Falcon utilise les indicateurs d'attaque* pour identifier et bloquer les scripts PowerShell malveillants.
- Accédez à Desktop > Sample Files > IOAs-Behavioral.
- Double-cliquez sur le fichier batch Credential_Dumping.bat. Ce script exécutera une commande powershell encodée pour capturer les identifiants.
- Accédez à la page Endpoint detections et inspectez la nouvelle détection.
- Dans le volet Execution details, recherchez le détail Command Line et assurez-vous que le bouton bascule Show decoded est activé. Nous pouvons voir l'intégralité de l'argument Ligne de commande qui a été utilisé. Aucune autre solution antivirus n'offre ce niveau de détail. Vous pouvez voir comment ce script PowerShell aurait pu télécharger Mimikatz.
*CrowdStrike Falcon® utilise un indicateur d'attaque pour représenter une série d'actions qu'un cyberattaquant doit effectuer pour arriver à ses fins. Les indicateurs d'attaque s'intéressent à l'exécution de ces étapes, à l'intention du cyberadversaire et aux résultats qu'il tente d'obtenir. Cela permet à Falcon d'identifier et de bloquer les cybermenaces nouvelles et inconnues sur la base des tactiques, techniques et procédures utilisées par le cyberattaquant.
7. Test de persistance
La persistance se produit lorsqu'un cybercriminel maintient une présence non détectée sur un réseau pendant une période prolongée en vue de subtiliser des informations. Voyons comment Falcon utilise les indicateurs d'attaque* pour identifier et bloquer les tentatives de dissimulation des cybercriminels.
- Accédez à Desktop > Sample Files > IOAs-Behavioral.
- Double-cliquez sur le fichier Sticky_Keys.bat.
- Le fichier s'exécutera dans une fenêtre d'invite de commandes.
- Il modifiera secrètement une clé de Registre susceptible de permettre à un cyberattaquant de se connecter à la machine sans jamais avoir à fournir de nom d'utilisateur ou de mot de passe.
- Utilisez le clavier du laboratoire virtuel et sélectionnez le bouton « send ctrl+alt+delete » pour afficher l'écran de verrouillage Windows.
- Cliquez sur l'option Ease of Access dans le coin inférieur gauche et sur l'écran qui s'affiche.
- Cochez la case Type sans le clavier (clavier à l'écran), puis appuyez sur Apply.
Sans Falcon, une invite de commande serait apparue et aurait offert au cyberattaquant un accès complet au système (NT AUTHORITYSYSTEM). Il s'agit d'un exemple de comportement de cyberattaquant qui n'utilise pas de logiciels malveillants et qui est souvent ignoré par les solutions antivirus traditionnelles. Falcon a interrompu ce mécanisme de persistance même si aucun logiciel malveillant n'a été utilisé.
- Vous trouverez une nouvelle alerte critique sous Most recent detections sur votre tableau de bord d'activité et sur votre page Endpoint detections.
- Quittez l'écran de verrouillage Windows et revenez à la plateforme Falcon.
- En développant la nouvelle alerte sur la page Endpoint detections, nous constatons que reg.exe a été bloqué et que « Persistence » est indiqué dans le champ Tactic & Technique. Dans IOA Description, il est recommandé d'enquêter sur la clé de Registre.
Remarque : dans ces deux exemples, aucun logiciel malveillant n'a été utilisé. Ce sont des exemples d'attaques sans fichier. Falcon a identifié un comportement suspect et a protégé l'utilisateur. Ceci illustre la puissance des indicateurs d'attaque. Ceux-ci identifient les comportements malveillants, quel que soit leur mode de diffusion.
8. Test d'attaque de phishing
Une attaque de phishing est une escroquerie dans laquelle le cybercriminel se fait passer pour une personne ou une organisation dans le but de voler des informations.
- Dans ce scénario, nous allons simuler une attaque de phishing en ouvrant un e-mail avec une pièce jointe malveillante.
- Dans le laboratoire virtuel de logiciels malveillants, ouvrez Outlook et allez à la boîte de réception. Vous pouvez annuler les messages de l'assistant d'activation. Ouvrez l'e-mail envoyé par Richard. Cette attaque de phishing prétend que l'utilisateur présente des arriérés de frais de séjour dans un hôtel.
- Double-cliquez sur le fichier Folio-0701-2017-00873.xls. Vous aurez la possibilité, d'ouvrir, d'enregistrer ou d'annuler le téléchargement. Pour cet exemple, ouvrez le fichier.
- Une fois le fichier Excel joint ouvert, les messages d'erreur Microsoft Visual Basic et CrowdStrike Falcon s'affichent.
- Cela indique que Falcon a empêché le document d'exécuter sa charge active malveillante en arrière-plan.
- L'ouverture de la pièce jointe a déclenché une nouvelle alerte sur la plateforme Falcon.
- En développant la nouvelle alerte sur la page Endpoint detections, vous constatez que cette cybermenace provenait de Outlook.exe et que la pièce jointe Excel a lancé PowerShell.
- Pour obtenir encore plus de détails sur les actions effectuées par PowerShell, accédez à Execution details > Command Line. Vous pouvez constater que PowerShell a tenté d'exécuter une commande cachée et de télécharger le script malveillant depuis Github.
- La gestion de votre politique de hachage peut s'effectuer directement à partir d'une détection.
- Cela signifie que si une détection est créée pour un fichier malveillant, ce dernier peut être immédiatement ajouté à la liste noire à l'aide du volet Execution details à droite de l'alerte sélectionnée.
- Cliquez simplement sur le bouton Update Hash Policy du hachage sélectionné, puis effectuez la modification. Il en va de même si une application personnalisée provoque de fausses alertes et doit être ajoutée à la liste blanche.
9. Test de gestion d'application
Falcon vous permet de bloquer ou d'autoriser manuellement les applications en fonction des besoins spécifiques de votre organisation.
- Exécutez une application.
- Accédez à Desktop > Sample Files > Non-Malicious.
- Double-cliquez sur l'application Show_a_Hash.exe et exécutez-la. (Cette application affiche simplement son propre hachage de fichier dans une invite de commande.)
- Nous utiliserons ce hachage pour mettre le fichier sur liste noire et l'empêcher de s'exécuter à nouveau.
- Copiez le hachage à partir de l'invite de commande ou à partir d'ici :
4e106c973f28acfc4461caec3179319e784afa9cd939e3eda41ee7426e60989f
Ajouter manuellement un indicateur de compromission
- Accédez à Endpoint security > IOC Management.
- Cliquez sur Add indicators > Add hashes.
Ajouter manuellement des hachages
- Collez le hachage copié dans la case.
- Cochez All hosts et effectuez les sélections suivantes : Platform > Windows ; Action > Block Block and show as detection ; Severity > Critical.
- Terminez en cliquant sur Add hashes.
- Réexécutez l'application.
- Revenez au bureau (fermez la fenêtre d'invite de commandes), puis double-cliquez à nouveau sur le fichier Show_a_Hash.exe : vous remarquez qu'il ne s'exécute pas cette fois-ci.
- Sur la plateforme Falcon, accédez à Endpoint detections et inspectez la nouvelle alerte.
- La gestion de votre politique de hachage peut s'effectuer directement à partir d'une détection. Cela signifie que si une détection est créée pour un fichier malveillant, ce dernier peut être immédiatement ajouté à la liste noire à l'aide du volet Execution details à droite de l'alerte sélectionnée.
- Cliquez simplement sur le bouton Update Hash Policy du hachage sélectionné, puis effectuez la modification. Il en va de même si une application personnalisée provoque de fausses alertes et doit être ajoutée à la liste blanche.
POINTS À RETENIR : nous avons vu que Falcon pouvait protéger les utilisateurs de tous types d'attaques, du logiciel malveillant de base jusqu'au phishing plus complexe. Nous avons même vu des tactiques Falcon Prevent généralement révélatrices d'attaques ciblées qui exploitent des outils comme PowerShell.
Être rapide, simple et efficace, c'est bien, mais si la solution ne fournit pas de moyens de gérer facilement les alertes et les événements de tri, vous ne faites que remplacer un problème par un autre.
Cela vous a-t-il été utile ?
Cela vous a-t-il été utile ?
Vos commentaires nous sont précieux et nous aideront à améliorer notre capacité à vous servir, ainsi que d'autres utilisateurs de ce type de guide. Veuillez envoyer vos commentaires à propos de cette section du guide de la version d'évaluation à l'adresse falcontrial@crowdstrike.com.
