Test avanzati di malware e simulazioni d'attacco

• Se non l'hai fatto, contatta il team di prova di Falcon all'indirizzo FalconTrial@CrowdStrike.com per richiedere l'accesso al laboratorio virtuale di malware. Il laboratorio è ospitato da CloudShare.
• Riceverai un'e-mail di invito da CloudShare. Fai clic sul link e segui le istruzioni per completare la registrazione.
• Fai clic sulla scheda Virtual Malware Lab nella barra di navigazione per accedere al tuo computer di test. Il caricamento del laboratorio potrebbe richiedere alcuni minuti. Procedi pure al passaggio 2.

Scarica i campioni di malware.

Clicca due volte su Scarica i campioni per scaricare tutti i file. Devi scaricare i campioni prima di installare il sensore Falcon. Se in precedenza hai saltato questo passaggio, ripristina l'ambiente per tornare allo stato predefinito.

Per ripristinare l'ambiente:

• Seleziona Azioni ambientali > Ripristina ambiente
• Uno script recupererà tutti i campioni e li inserirà nella cartella Campioni sul desktop.
• Premi un tasto qualsiasi all'interno dello script per continuare.

Distribuzione del sensore Falcon

Dopo aver scaricato gli esempi e prima di iniziare il test, nel tuo laboratorio o nell'ambiente virtuale fornito, dovrai distribuire i sensori su ogni host e verificare che siano installati e connessi correttamente al cloud.

Istruzioni dettagliate:

• Accedi al tuo account di prova.

• Seleziona Risorse Falcon > Abilità essenziali > "Proteggi il mio endpoint" per il tuo sistema operativo. Sarai guidato attraverso il processo di deployment del sensore.

• Per ulteriori informazioni sul deployment del sensore: https://www.crowdstrike.com/en-us/free-trial-guide/start-and-install/

Verifica host attivi e policy di prevenzione

• Il sensore appena installato dovrebbe avere una policy di prevenzione .

• Conferma sulla piattaforma CrowdStrike Falcon. Vai a Configurazione e gestione dell'host > Gestione dell'host. Verifica che il nome host CSFALCONPREVENT sia presente nell'elenco. La colonna Policy di prevenzione dovrebbe mostrare platform_default come policy assegnata.

• Confermare con Windows Security. Cerca Sensore CrowdStrike Falcon in Protezione da virus e minacce.

• Eseguiamo un test con un campione non dannoso per assicurarci che l'host abbia un sensore funzionante con la policy di prevenzione predefinita.

• Fa doppio clic su File di esempio, selezionare Non dannoso ed esegui cs_maltest.exe.
• Con la policy di prevenzione predefinita di Windows, è possibile che sul sistema client vengano visualizzati due messaggi, simili a quelli qui riportati.

• Vai a Sicurezza degli endpoint > Dashboard attività. La scheda Nuovi rilevamenti dovrebbe mostrare 4 nuovi rilevamenti (inclusi 3 rilevamenti dei campioni). La scheda Rilevamenti più recenti dovrebbe mostrare anche un nuovo Rilevamento di gravità elevata.

• Vai ora a Sicurezza degli endpoint > Rilevamenti degli endpoint. Dovrebbe essere mostrato il rilevamento di gravità elevata sull'host CSFALCONPREVENT.

• Con ogni test, verrà generato un nuovo rilevamento.
• Ora che il sensore è installato con la policy di prevenzione predefinita abilitata, potrai eseguire il test con campioni in tempo reale.

• Fai doppio clic su File campione e seleziona Malware per vedere il campione di malware che ti abbiamo fornito.
• Utilizza questi esempi per generare rilevamenti sulla piattaforma Falcon e gestire questi rilevamenti nella pagina Rilevamenti endpoint.

• Esegui un campione di malware da Windows Explorer.
• Clicca due volte su uno qualsiasi dei campioni di malware.
• Torna ora a Sicurezza degli endpoint > Rilevamenti degli endpoint sulla piattaforma Falcon Fare clic sull'icona Dettagli completi dei rilevamenti.
• Ricorda che explorer.exe è il processo padre.
• Questo permette di capire come è stato eseguito un attacco.

• Esegui un campione da un prompt dei comandi (cmd.exe).
• Apri il prompt dei comandi.

• Prendi un campione e caricalo nel prompt dei comandi.
• Passa alla pagina Rilevamenti degli endpoint e seleziona il rilevamento. Osserva come il processo padre per il malware sia ora cmd.exe.

• Partiamo da WannaCry, il ransomware che ha attaccato il Servizio Sanitario Nazionale britannico nel 2017.

• Fai doppio clic su File campione, seleziona Ransomware , quindi esegui WannaCry. Dovresti vedere sia le notifiche di Windows che quelle di CrowdStrike Falcon Sensor.

• Torna ai tuoi campioni di ransomware ed esegui Locky.

• Vai ai Dettagli di esecuzione del rilevamento Locky. Sarai in grado di vedere l'azione intrapresa, la tattica e la tecnica utilizzate e altre informazioni utili.

• Passa a Desktop > File campione > IOA comportamentali.
• Fai doppio clic sul file batch Credential_Dumping.bat. Questo script eseguirà un comando powershell codificato per acquisire le credenziali.
• Passa alla pagina Rilevamenti degli endpoint ed esamina il nuovo rilevamento.
• Nel pannello Dettagli esecuzione individua i dettagli della riga di comando e assicurati che l'interruttore Mostra decodifica sia attivato. È possibile vedere l'argomento completo della riga di comando che è stato utilizzato. Nessun'altra soluzione antivirus (AV) offre un livello di dettaglio simile. Puoi vedere come questo script PowerShell avrebbe scaricato Mimikatz.

• Passa a Desktop > File campione > IOA comportamentali.
• Fai doppio clic sul file batch Sticky_Keys.bat.
• Il file verrà eseguito in una finestra del prompt dei comandi.
• Modificherà segretamente una chiave di registro che consentirebbe a un utente malintenzionato di accedere alla macchina senza dover mai fornire un nome utente o una password.
• Usa la tastiera del laboratorio virtuale e seleziona il pulsante "invio ctrl+alt+canc" per visualizzare la schermata di blocco di Windows.
• Fai clic sull'opzione Accessibilità nell'angolo in basso a sinistra e nella schermata che si apre.
• Seleziona la casella Digita senza tastiera (Tastiera su schermo), quindi premi Applica.

• Troverai un nuovo avviso critico in Rilevamenti più recenti nella Dashboard attività e nella pagina Rilevamenti endpoint.
• Esci dalla schermata di blocco di Windows e torna alla piattaforma Falcon.
• Espandendo il nuovo avviso nella pagina Rilevamenti degli endpoint, è possibile vedere che reg.exe è stato bloccato e che la Tattica e Tecnica è la Persistenza. Osserva come la Descrizione dell'IOA consiglia esaminare la chiave del Registro di sistema.

• In questo scenario simuleremo un attacco di phishing aprendo un'e-mail con un allegato dannoso.

• Nel laboratorio di malware virtuale, apri Outlook e vai alla Posta in arrivo. È possibile annullare i messaggi dell'Attivazione guidata. Apri l'e-mail di Richard. Questo attacco di phishing afferma che l'utente ha spese non pagate per un soggiorno in hotel.

• Fai doppio clic su Folio-0701-2017-00873.xls. Avrai la possibilità di aprire, salvare o annullare il download. Per questo esempio, apri il file.
• Dopo aver aperto il file Excel allegato, vengono visualizzati l'errore di Microsoft Visual Basic e i messaggi di CrowdStrike Falcon.
• Ciò indica che Falcon ha impedito al documento di eseguire la sua carica distruttiva dannosa in background.

• L'apertura dell'allegato ha attivato un nuovo allarme nella piattaforma Falcon.
• L'espansione del nuovo avviso nella pagina Rilevamenti endpoint mostra chiaramente che questa minaccia proviene da Outlook.exe e che l'allegato di Excel ha avviato PowerShell.
• Per ottenere ulteriori dettagli su ciò che ha fatto PowerShell, vedi Dettagli di esecuzione > Riga di comando. Puoi vedere che PowerShell ha tentato di eseguire un comando nascosto e scaricare lo script dannoso da Github.
• La gestione delle policy di hash può essere eseguita direttamente da un rilevamento.
• Ciò significa che, se viene creato un rilevamento per un file dannoso, questo può essere immediatamente aggiunto alla blacklist utilizzando il riquadro Dettagli esecuzione a destra dell'avviso selezionato.
• È sufficiente fare clic sul pulsante Aggiorna policy di hash per l'hash selezionato e apportare le modifiche. Lo stesso vale se un'applicazione personalizzata causa falsi allarmi e deve essere aggiunta alla whitelist.

• Esegui un'applicazione.
• Vai a Desktop > File campione > Non dannosi.

• Fai doppio clic ed esegui l'applicazione Show_a_Hash.exe . (Questa applicazione non fa altro che mostrare il proprio hash del file in un prompt dei comandi.)

• Utilizzeremo quell'hash per aggiungere il file alla blacklist e impedirne nuovamente l'esecuzione.
• Copia l'hash dal prompt dei comandi o da qui:
  4e106c973f28acfc4461caec3179319e784afa9cd939e3eda41ee7426e60989f

Aggiungi manualmente l'indicatore di compromissione (IOC)

• Vai a Sicurezza degli endpoint > Gestione indicatore di compromissione (IOC).

• Fai clic su Aggiungi indicatore > Aggiungi hash.

Aggiungi manualmente gli hash

• Incolla l'hash copiato nella casella.

• Spunta Tutti gli host e seleziona le seguenti opzioni: Piattaforma > Windows; Azione > Blocca > Blocca e mostra come rilevamento; Gravità > Critica.
• Termina facendo clic su Aggiungi hash.
• Esegui nuovamente l'applicazione.
• Torna al desktop (chiudi la finestra del prompt dei comandi), quindi fai nuovamente doppio clic su Show_a_Hash.exe e nota che questa volta non viene eseguito.
• Nella piattaforma Falcon, passa a Rilevamenti endpoint ed esamina il nuovo avviso.
• La gestione delle policy di hash può essere eseguita direttamente da un rilevamento. Ciò significa che, se viene creato un rilevamento per un file dannoso, questo può essere immediatamente aggiunto alla blacklist utilizzando il riquadro Dettagli esecuzione a destra dell'avviso selezionato.
• È sufficiente fare clic sul pulsante Aggiorna policy di hash per l'hash selezionato e apportare le modifiche. Lo stesso vale se un'applicazione personalizzata causa falsi allarmi e deve essere aggiunta alla whitelist.