- CrowdStrike 在 2024 年 Gartner®《端點防護平台 Magic Quadrant™》報告中獲評為領導者.
惡意軟體與高階攻擊測試
您的 CrowdStrike Falcon® 試用版提供虛擬惡意軟體實驗室,讓您能夠安全地測試惡意軟體樣本和高階攻擊技術。這是試用評估中的選擇性步驟,用於展示 CrowdStrike Falcon® Prevent 次世代防毒解決方案如何有效防護您的環境。
警告: 這些測試涉及實際的惡意軟體,切勿在您的工作站上進行測試。測試僅應在專用的惡意軟體測試環境中進行,並與您組織的內部系統隔離。本指南中的步驟是為了讓您在 CloudShare 提供的虛擬惡意軟體實驗室,或您自己的環境中進行測試。
預計所需時間
至少需要 20 分鐘,
實際時間取決於您希望進行的測試量
1. 進入虛擬實驗室
如果您已經有自己的惡意軟體實驗室環境,可以跳過此步驟,直接進行步驟 2。
- 如果您沒有自己的虛擬環境,請聯繫 Falcon 試用團隊,電子郵件地址為 FalconTrial@CrowdStrike.com,以申請進入虛擬惡意軟體實驗室的權限。此實驗室是由 CloudShare 提供支持。
- 您將收到來自 CloudShare 的電子郵件邀請。請點擊連結並按照指示完成註冊流程。
- 按一下導覽列中的「Virtual Malware Lab」(虛擬惡意軟體實驗室) 標籤,即可進入您的測試機器。實驗室可能需要幾分鐘的上傳時間,您可以先進行步驟 2。
2. 設置實驗室
下載惡意軟體樣本。
按兩下 Download Samples (下載樣本),下載所有檔案。您必須先下載樣本,再進行 Falcon 感應器的安裝。如果您之前略過了這個步驟,請將環境還原至預設狀態。
還原環境的方法:
- 選擇 Environmental Actions (環境操作 ) > Revert environment (還原環境)
- 一個腳本會自動下載所有樣本,並將它們放入桌面上的 Sample Files (樣本檔案) 資料夾中。
- 在腳本中按下任意鍵以繼續操作。
部署 Falcon 感應器
無論是在您自己的實驗室還是提供的虛擬環境中,下載樣本後,您都需要先在每個主機上部署感應器,並確認感應器已成功安裝且連接至我們的雲端後,才能開始測試。
詳細操作步驟:
- 登入您的試用帳戶。
- 依序選擇 Falcon Resource Center (Falcon 資源中心 )> Essential skills (基本技能) > Protect my endpoints (保護我的端點),並請根據您的作業系統進行選擇。系統將引導您完成感應器的部署流程。
- 如需有關感應器部署的更多協助,請參考:https://www.crowdstrike.com/zh-tw/free-trial-guide/start-and-install/
驗證啟用的主機與防護政策
- 新安裝的感應器應已設定防護政策。
- 請在 CrowdStrike Falcon 平台上確認。前往 Host setup and management (主機設定與管理) > Host management (主機管理)。確認清單中是否顯示您的主機名稱 CSFALCONPREVENT。防護政策欄位應顯示為指定的政策 platform_default。
- 使用 Windows 安全性進行確認。在病毒與威脅防護中查找 CrowdStrike Falcon Sensor。
3. 非惡意測試
- 讓我們使用一個非惡意樣本進行測試,以確認主機在預設防護政策下的感應器是否正常運作。
- 按兩下「Sample Files」(樣本檔案) 資料夾,選擇「Non-Malicious」(非惡意),然後執行 cs_maltest.exe。
- 在預設的 Windows 防護政策下,您可能會在用戶端系統上看到類似這裡所顯示的兩則訊息。
這也會在 Falcon 平台上產生一筆偵測記錄。
- 進入 Endpoint security (端點安全) > Activity dashboard (活動儀表板)。「New detections」(新偵測) 卡片應顯示 4 筆新的偵測記錄 (包含 3 筆樣本偵測記錄)。Most recent detections (最新偵測) 卡片應同時顯示一筆新的高嚴重性偵測 記錄。
- 現在前往 Endpoint security (端點安全) > Endpoint detections (端點偵測 )。您應該會在主機 CSFALCONPREVENT 上看到該高嚴重性偵測記錄。
- 每次測試都會產生一筆新的偵測記錄。
- 現在,感應器已安裝並啟用了預設防護政策,您可以開始使用實際樣本進行測試。
4. 惡意軟體測試
感應器安裝完成後,您即可開始進行實際惡意軟體的測試。惡意軟體是一種旨在破壞端點設備,例如電腦、網路或伺服器的程式。
- 按兩下 Sample Files (樣本檔案) 資料夾,選擇 Malware (惡意軟體),即可查看我們為您提供的惡意軟體樣本。
- 使用這些樣本在 Falcon 平台上產生偵測紀錄,並在端點偵測頁面管理這些偵測。
- 從 Windows Explorer 執行一個惡意軟體樣本。
- 對任何一個惡意軟體樣本連按兩下。
- 現在返回 Falcon 平台的 Endpoints security (端點安全) > Endpoint detections (端點偵測) 頁面,按一下完整偵測詳情圖示。
- 請注意,explorer.exe 是父進程。
- 這有助於您了解攻擊是如何執行的。
- 從命令提示字元 (cmd.exe) 執行一個樣本。
- 開啟命令提示字元。
- 選擇一個樣本並將其上傳至命令提示字元。
- 前往 Endpoint detections (端點偵測) 頁面,並選擇該偵測記錄。請注意,該惡意軟體的父進程現在變為 cmd.exe。
5. 勒索軟體測試
近年來,勒索軟體已成為最普遍且最棘手的惡意軟體類型之一。
我們收集了近期知名的勒索軟體家族樣本,例如 Locky 和 WannaCry,並在您的實驗室中提供。
- 我們從 WannaCry 開始測試,這是 2017 年攻擊國民健康服務 (NHS) 的勒索軟體。
- 按兩下 Sample Files (樣本檔案),選擇 Ransomware (勒索軟體),然後執行 WannaCry。您應該會看到 Windows 和 CrowdStrike Falcon 感應器的通知。
- 返回您的勒索軟體樣本,然後執行 Locky。
- 前往 Locky 偵測的執行詳情頁面。您將能看到所採取的行動、攻擊手法與技術以及其他相關資訊。
6. PowerShell 測試
攻擊者可能會惡意利用 PowerShell 來入侵您的系統。讓我們來看看 Falcon 如何透過攻擊指標 (IOA*) 識別並阻擋惡意的 PowerShell 腳本。
- 前往桌面 > 樣本檔案 > IOAs-Behavioral。
- 按兩下批次檔案 Credential_Dumping.bat。此腳本將執行一個編碼的 PowerShell 指令來擷取憑證。
- 前往端點偵測頁面,檢查新的偵測記錄。
- 在執行詳情面板中,確認指令列選項並開啟顯示解碼內容的功能。我們可以查看使用的完整指令列參數內容。沒有其他防毒軟體 (AV) 能提供如此詳盡的資訊。您可以了解這個 PowerShell 腳本是如何下載 Mimikatz 的。
*CrowdStrike Falcon® 使用攻擊指標或 IOA 來表示攻擊者在成功的攻擊過程中必須執行的一系列行動。IOA 著重於這些步驟的執行過程、攻擊者的意圖,以及其試圖達成的目標。這使 Falcon 能夠根據攻擊者使用的策略手法、技術和流程,偵測並阻擋新型與未知的威脅。
7. 持續性測試
持續性指的是惡意行為者長時間隱匿於網路中,目的是竊取資訊。接下來我們來看看 Falcon 如何透過 IOA*,偵測並阻止惡意行為者試圖隱藏的行動。
- 前往桌面 > 樣本檔案 > IOAs-Behavioral。
- 按兩下批次檔案 Sticky_Keys.bat 。
- 該檔案將在命令提示字元視窗中執行。
- 它會暗中修改登錄機碼,讓攻擊者無需輸入使用者名稱或密碼就能登入這台機器。
- 使用虛擬實驗室的 Keyboard (鍵盤) 功能,點選 send ctrl+alt+delete (傳送 ctrl+alt+delete) 按鈕以顯示 Windows 鎖定畫面。
- 按一下左下角的 Ease of Access (輕鬆存取) 選項,並在彈出的畫面上進行操作。
- 勾選使用無需實體鍵盤輸入類型 (螢幕鍵盤),然後點選 Apply (套用)。
若沒有 Falcon,就會出現命令提示字元,讓攻擊者獲得完整的系統存取權限 (NT AUTHORITY\SYSTEM)。這是一種不依賴惡意程式的攻擊行為,傳統防毒解決方案經常無法檢測到。即使沒有使用惡意程式,Falcon 仍成功阻止了這種持續性攻擊機制。
- 您可以在 Activity (活動) 儀表板以及端點偵測頁面的 Most recent detections (最近偵測) 下找到新的重要警示。
- 退出 Windows 鎖定畫面,切換回 Falcon 平台。
- 展開端點偵測頁面上的新警示後,可以看到reg.exe已遭到阻止,並顯示其攻擊手法與技術屬於持續性攻擊。查看 IOA 描述 (IOA Description) 中建議您調查該登錄機碼的內容。
注意:在這兩個範例中,均未使用任何惡意軟體,這些屬於無檔案攻擊的範例。Falcon 偵測到可疑行為並保護了使用者,這充分展現了攻擊指標 (IOA) 的威力。IOA 能夠識別惡意行為–無論是以何種方式進行的。
8. 網路釣魚攻擊測試
網路釣魚攻擊是一種詐騙手法,攻擊者會冒充個人或組織以竊取資訊。
- 在此情境中,我們將模擬一次網路釣魚攻擊,透過開啟含有惡意附件的電子郵件進行測試。
- 在虛擬惡意軟體實驗室中,打開Outlook 並進入收件匣。您可以取消啟用精靈的提示訊息。打開來自 Richard 的電子郵件。這次網路釣魚攻擊聲稱使用者有未支付的住宿費用。
- 按兩下 Folio-0701-2017-00873.xls。您將可以選擇開啟、儲存或取消下載。在此範例中,請開啟檔案。
- 開啟附加的 Excel 檔案後,會出現 Microsoft Visual Basic 錯誤訊息以及 CrowdStrike Falcon 的警示。
- 這表示 Falcon 已阻止該文件在背景執行其惡意載荷。
- 開啟附件後,在 Falcon 平台觸發了一個新的警示。
- 展開 Endpoint detections (端點偵測) 頁面上的新警示後,可以清楚看出這個威脅來源於 Outlook.exe,並且該 Excel 附件啟動了 PowerShell。
- 若想了解更多有關 PowerShell 的執行細節,前往 Execution details (執行詳情) > Command Line (指令列)。您可以看到 PowerShell 嘗試執行隱藏指令,並從 Github 下載惡意腳本。
- 您可以直接從偵測中管理雜湊策略。
- 這表示,若偵測到惡意檔案,可直接在所選警示右側的 Execution details (執行詳情) 面板中,將其立即加入黑名單。
- 只要按一下所選雜湊的 Update Hash Policy (更新雜湊策略) 按鈕,即可進行修改。同樣地,如果自訂應用程式引發誤報且需要加入白名單,也可以採相同方式處理。
9. 應用程式管理測試
Falcon 可讓您根據組織的特定需求,手動封鎖或允許應用程式。
- 執行一個應用程式。
- 前往桌面 > 樣本檔案 > 非惡意。
- 按兩下並執行 Show_a_Hash.exe 應用程式。(此應用程式只是在命令提示字元中顯示本身的檔案雜湊值,沒有其他功能。)
- 我們將使用該雜湊值將檔案加入黑名單,並防止其再次執行。
- 從命令提示字元中複製雜湊值,或直接從以下內容複製:
4e106c973f28acfc4461caec3179319e784afa9cd939e3eda41ee7426e60989f
手動新增 IOC
- 進入 Endpoint security (端點安全) > IOC Management (IOC 管理)。
- 按一下 Add indicators (新增指標) > Add hashes (新增雜湊)。
手動新增雜湊值
- 將複製的雜湊值貼到方框中。
- 勾選「所有主機」,並設定以下選項:Platform (平台) > Windows;Action (操作) > Block Block and show as detection (阻止並顯示為偵測);Severity (嚴重性) > Critical (關鍵)。
- 最後按一下 Add hashes (新增雜湊),完成設定。
- 重新執行應用程式。
- 回到桌面 (關閉命令提示字元視窗),然後再次按兩下 Show_a_Hash.exe,您會發現這次無法執行。
- 在 Falcon 平台中,前往 Endpoint detections (端點偵測)並檢視新的警示。
- 您可以直接從偵測中管理雜湊策略。這表示,如果偵測到惡意檔案,可直接在所選警示右側的 Execution Details (執行詳情) 面板中,立即將其加入黑名單。
- 只要按一下所選雜湊的 Update Hash Policy (更新雜湊策略) 按鈕,即可進行修改。同樣地,如果自訂應用程式引發誤報且需要加入白名單,也可以採相同方式處理。
重點總結:我們觀察到 Falcon 能夠防禦各種類型的攻擊,從一般的惡意軟體攻擊到更複雜的網路釣魚攻擊。我們甚至看到 Falcon Prevent 能夠阻止那些通常與定向攻擊相關的策略,例如利用 PowerShell 的工具。
快速、簡單且有效固然重要,但如果解決方案無法提供輕鬆處理警示和事件分級的方法,便只是將一個問題換成了另一個問題。
這是否對您有幫助?
這是否對您有幫助?
您的意見回饋對我們十分重要,並有助於提升我們的服務品質,以便為您及其他指南使用者提供更完善的內容。請將您對本試用指南章節的意見回饋傳送至 falcontrial@crowdstrike.com。
