Sua avaliação do Falcon permite que você teste amostras de malware e técnicas de ataque avançadas. Esta é uma etapa opcional de sua avaliação, demonstrando como o Falcon Prevent protege seu ambiente.
20 minutos, dependendo da quantidade de testes que você deseja realizar
Dispositivo típico, SO Mac ou Windows e navegador Google Chrome
Nesta próxima seção, você percorrerá cenários de teste com malware real. Você NÃO deve conduzir esses testes em seu laptop ou estação de trabalho, mas em um ambiente de teste de malware dedicado. Para facilitar isso, o ambiente virtual CloudShare garante que o teste de malware aconteça completamente fora de sua organização. O laboratório e este guia se concentram exclusivamente no Falcon Prevent, nossa solução antivírus.
CloudShare é um ambiente de laboratório Windows baseado em nuvem onde você pode realizar testes ao vivo com segurança. Se você já tem um laboratório de teste de malware seguro, também pode testar o Falcon Prevent nele. As etapas neste guia foram escritas visando o teste em nosso laboratório ou no seu.
Esse processo pode levar alguns minutos para ser concluído. Fique à vontade para minimizar a janela de download e prosseguir com o download e instalação do sensor a partir da etapa 2.
Depois de instalar o sensor com as políticas de prevenção ativadas, você está pronto para testar com amostras em tempo real. Você pode escolher entre os seguintes testes: Malware | Ransomware | PowerShell | Persistência | Ataque de phishing | Gerenciamento de aplicações.
Nenhuma outra solução antivírus fornece esse nível de detalhe. CrowdStrike Falcon usa um Indicador de Ataque ou IOA, para representar uma série de ações que um invasor deve realizar durante um ataque bem-sucedido. Os IOAs estão relacionados com a execução dessas etapas, a intenção do adversário e os resultados que ele está tentando alcançar. Isso permite que o Falcon Prevent identifique e bloqueie ameaças novas e desconhecidas com base nas táticas, técnicas e procedimentos usados pelo invasor.
Sem o Falcon Prevent neste sistema, um prompt de comando teria aparecido, dando ao invasor acesso total ao sistema (NT AUTHORITY\SYSTEM). Este é um exemplo de comportamento de invasor que não usa malware e normalmente passa batido pelas soluções antivírus legadas. O Falcon Prevent interrompeu esse mecanismo de persistência, mesmo sem nenhum malware ter sido usado.
Em ambos os exemplos, nenhum malware foi usado. Estes são exemplos de ataques sem arquivos. O Falcon Prevent identificou um comportamento suspeito e protegeu o usuário. Este é um exemplo do poder dos IOAs. Os IOAs identificam comportamentos maliciosos – não importa como se apresentem.
CrowdStrike Falcon usa um Indicador de Ataque ou IOA, para representar uma série de ações que um invasor deve realizar durante um ataque bem-sucedido. Os IOAs estão relacionados com a execução dessas etapas, a intenção do adversário e os resultados que ele está tentando alcançar. Isso permite que o Falcon Prevent identifique e bloqueie ameaças novas e desconhecidas com base nas táticas, técnicas e procedimentos usados pelo invasor.
O Falcon Prevent permite que você bloqueie ou autorize Aplicações manualmente com base nas necessidades exclusivas de sua organização.
O gerenciamento de sua política de hash pode ser feito diretamente a partir de uma detecção. Isso significa que, se uma detecção for criada para um arquivo malicioso, ele pode ser adicionado imediatamente à blacklist usando o painel “Detalhes de Execução” à direita do alerta selecionado. Basta clicar no botão “Atualizar Política de Hash” para o hash selecionado e fazer as alterações. O mesmo vale se uma aplicação customizada estiver causando alertas falsos e precisar ser adicionada à whitelist.
Esses comandos farão alterações temporárias na máquina para demonstrar exemplos do mundo real. No entanto, eles não usam malware ativo. Você também pode conduzir cenários de teste com malware real no ambiente virtual CloudShare baseado em Windows. O guia para isso pode ser encontrado na aba Windows.
Esta detecção ilustra a capacidade do Falcon de responder a comportamentos maliciosos com IOAs. Um indicador de ataque ou IOA representa uma série de ações que um a aplicação ou adversário precisa realizar durante um ataque bem-sucedido. Os IOAs estão relacionados com a execução dessas etapas, o que expõe a intenção do adversário e os resultados que está tentando alcançar. Isso é superior ao uso de indicadores de comprometimento (IOCs) ou assinaturas porque permite que o Falcon Prevent bloqueie ameaças novas e desconhecidas. Este comando específico faz uma cópia do whoami com a extensão pdf e a executa. Alterar a extensão de uma ferramenta existente acionará uma detecção do Falcon para mascaramento. O comando inclui a remoção do arquivo para que nenhuma limpeza adicional ou reversão seja necessária.
Esta detecção é outro exemplo do uso de IOAs pelo Falcon. O acesso à credencial engloba técnicas que resultam em acesso ou controle sobre o sistema, domínio ou credenciais de serviço que são usadas em um ambiente corporativo. Os adversários provavelmente tentarão obter credenciais legítimas de contas de administrador ou usuários (administrador de sistema local ou usuários de domínio com acesso de administrador) para usar na rede. Isso permite que o adversário assuma a identidade da conta, com todas as permissões dessa conta no sistema e na rede, e torna mais difícil para os defensores o detectarem. Com acesso suficiente dentro de uma rede, um adversário pode criar contas para uso posterior no ambiente.
Dumping de credenciais é o processo de obter informações de login e senha de contas, normalmente na forma de hash ou senha de texto não criptografado, do sistema operacional e do software. Tais credenciais podem ser usadas para realizar movimento lateral e acessar informações restritas. O comando listado abaixo irá solicitar do ‘shadowhash’ um usuário via terminal. Este comando pode ser usado em um host MacOS para reunir informações usadas para descriptografar senhas. Nenhuma limpeza é necessária no sistema após a execução deste comando.
Esta detecção é outro exemplo do uso de IOAs pelo Falcon. A exfiltração de dados (também conhecida como “extrusão de dados”) é a transferência não autorizada de dados de um host. A transferência de dados pode ser realizada manualmente, por alguém com acesso físico, ou de forma automatizada, por meio de malware em uma rede. O conteúdo deste script mostra a transferência (exfiltração) de um arquivo falso por um canal secreto de solicitação de DNS.
Se você tem alguma dúvida, nos avise e entraremos em contato em breve.
Nas seções anteriores, vimos que o Falcon Prevent é leve e fácil de instalar e gerenciar.
Nesta seção, vimos que o Falcon Prevent pode proteger os usuários de todos os tipos de ataques; desde o ataque de malware comum até o mais complexo phishing. Já vimos o Falcon impedir táticas que normalmente indicam ataques direcionados utilizando ferramentas como o PowerShell.
Ser rápido, simples e eficaz é ótimo, mas se a solução não fornece maneiras de lidar facilmente com alertas e eventos de triagem, você apenas troca um problema pelo outro.
Agradecemos muito seu feedback, ele nos ajudará a melhorar nosso serviço para você e outros usuários de nossos websites.
Por favor, envie seu feedback sobre esta seção do guia de avaliação para [email protected].