- Root Cause Analysis
Pruebas de malware y ataques avanzados
La prueba de CrowdStrike Falcon® incluye acceso a un laboratorio de malware virtual que te permite probar de forma segura muestras de malware y técnicas de ataque avanzadas. Es un paso opcional para tu evaluación, que demuestra cómo CrowdStrike Falcon® Prevent, nuestra solución antivirus de última generación, protege tu entorno frente a los ataques.
ADVERTENCIA: Estas pruebas incluyen malware real. NO debes llevar a cabo estas pruebas en tu estación de trabajo. Las pruebas SOLO deben realizarse en un entorno de pruebas de malware especializado, aislado de los sistemas internos de la organización. Los pasos de esta guía están pensados para poder efectuar pruebas en nuestro laboratorio de malware virtual, alojado por CloudShare, o el tuyo propio.
Duración estimada
Mínimo de 20 minutos dependiendo del
número de pruebas que quieras realizar
1. Acceder al laboratorio virtual
Si ya tienes tu propia configuración de laboratorio de malware, omite este paso y continúa con el paso 2.
- Si aún no lo has hecho, ponte en contacto con el equipo de pruebas de Falcon en FalconTrial@CrowdStrike.com para solicitar acceso al laboratorio de malware virtual. El laboratorio está alojado por CloudShare.
- Recibirás una invitación de CloudShare por correo electrónico. Haz clic en el enlace y sigue las instrucciones para completar el registro.
- Haz clic en la pestaña Laboratorio de malware virtual en la barra de navegación para acceder a la máquina de pruebas. El laboratorio puede tardar unos minutos en cargar. Puedes continuar con el paso 2.
2. Preparar el laboratorio
Descargar muestras de malware.
Haz doble clic en Descargar muestras para descargar todos los archivos. Debes Descargar muestras antes de instalar el sensor Falcon. Si anteriormente habías omitido este paso, revierte el entorno para volver al estado por defecto.
Para revertir el entorno:
- Selecciona Acciones del entorno > Revertir entorno
- Un script obtendrá todas las muestras y las colocará en la carpeta Archivos de muestra del escritorio.
- Pulsa cualquier tecla en el script para continuar.
Instala el sensor de Falcon
Una vez que hayas descargado las muestras y antes de comenzar las pruebas, ya sea en tu propio laboratorio o en el entorno virtual proporcionado, deberás implementar sensores en cada host y verificar que los sensores estén instalados y conectados a nuestra nube correctamente.
Instrucciones paso a paso:
- Inicia sesión en tu cuenta de prueba.
- Selecciona Centro de Recursos de Falcon > Habilidades esenciales > "Proteger mis endpoints" para tu sistema operativo. Se te guiará a través del proceso de implementación del sensor.
- Para obtener más ayuda sobre la implementación de sensores, visita: https://www.crowdstrike.com/en-us/free-trial-guide/start-and-install/
Verifica el host activo y la directiva de prevención
- El sensor recién instalado debe tener una directiva de prevención.
- Confírmalo en la plataforma de CrowdStrike Falcon. Ve a Configuración y administración de hosts > Administración de hosts. Comprueba que aparezca el nombre de host CSFALCONPREVENT en la lista. La columna Directiva de prevención debe mostrar platform_default como directiva asignada.
- Confírmalo con la Seguridad de Windows. Busca el sensor CrowdStrike Falcon en Protección contra virus y amenazas.
3. Prueba no maliciosa
- Probaremos una muestra no maliciosa para asegurarnos de que el host tiene un sensor que funciona de acuerdo con la directiva de prevención predeterminada.
- Haz doble clic en Archivos de muestra, selecciona No maliciosos y ejecuta cs_maltest.exe.
- Con la directiva de prevención predeterminada de Windows, posiblemente veas dos mensajes, similares a los que se muestran aquí, en el sistema del cliente.
Eso también generará una detección en la plataforma de Falcon.
- Accede a Seguridad de endpoints > Panel de actividad. La tarjeta Nuevas detecciones debe mostrar 4 nuevas detecciones (incluidas 3 detecciones de muestra). La tarjeta Detecciones más recientes también debe mostrar una nueva detección de gravedad alta.
- Ahora accede a Seguridad de endpoints > Detecciones de endpoints. Deberías ver la detección de gravedad alta en tu host CSFALCONPREVENT.
- Con cada prueba, generarás una nueva detección.
- Ahora que tienes el sensor instalado con la directiva de prevención por defecto activada, ya puedes llevar a cabo pruebas con muestras reales.
4. Prueba de malware
Una vez que tengas instalado el sensor, puedes comenzar a efectuar pruebas con malware real. El malware es software destinado a dañar endpoints tales como ordenadores, redes o servidores.
- Haz doble clic en Archivos de muestra y selecciona Malware para ver las muestras de malware que te hemos proporcionado.
- Usa estas muestras para generar detecciones en la plataforma de Falcon y administra estas detecciones en la página Detecciones de endpoints.
- Ejecuta una muestra de malware desde el Explorador de Windows.
- Haz doble clic en cualquiera de las muestras de malware.
- Ahora regresa a Seguridad de endpoints > Detecciones de endpoints en la plataforma de Falcon y haz clic en el icono Detalles completos de las detecciones.
- Ten en cuenta que explorer.exe es el proceso principal.
- Sirve para comprender cómo se ha ejecutado un ataque.
- Ejecuta una muestra desde el símbolo del sistema (cmd.exe).
- Abre el símbolo del sistema.
- Toma una muestra y súbela al símbolo del sistema.
- Accede a la página Detecciones de endpoints y selecciona la detección. Observa que el proceso principal del malware es ahora cmd.exe.
5. Prueba de ransomware
En los últimos años, el ransomware se ha convertido en uno de los tipos de malware más frecuentes y problemáticos.
Hemos recopilado muestras recientes de familias de ransomware destacadas, como Locky y WannaCry, y las hemos puesto a tu disposición en el laboratorio.
- Empecemos por WannaCry, el ransomware que atacó al Servicio Nacional de Salud británico en 2017.
- Haz doble clic en Archivos de muestra, selecciona Ransomware y luego ejecuta WannaCry. Debes ver notificaciones tanto de Windows como del sensor CrowdStrike Falcon.
- Regresa a las muestras de Ransomware y ejecuta Locky.
- Ve a los Detalles de ejecución de la detección de Locky. Podrás ver la acción realizada, la táctica y la técnica utilizada, además de otra información útil.
6. Prueba de PowerShell
Los atacantes pueden usar PowerShell de forma maliciosa para comprometer tu sistema. Veamos cómo utiliza Falcon indicadores de ataque (IOA*) para identificar y bloquear scripts de PowerShell maliciosos.
- Accede a Escritorio > Archivos de muestra > IOA-Conductual.
- Haz doble clic en el archivo de procesamiento por lotes Credential_Dumping.bat. Este script ejecutará un comando de PowerShell codificado para capturar credenciales.
- Accede a la página Detecciones de endpoints e inspecciona la nueva detección.
- En el panel Detalles de ejecución, localiza el detalle de la Línea de comandos y comprueba que el conmutador Mostrar descodificado esté activado. Podemos ver el argumento completo de la línea de comandos que se utilizó. Ninguna otra solución de antivirus (AV) proporciona ese nivel de detalle. Puedes ver cómo este script de PowerShell habría descargado Mimikatz.
* CrowdStrike Falcon® utiliza un Indicador de ataque o IOA para representar una serie de acciones que un ciberdelincuente debe llevar a cabo para materializar un ataque con éxito. Los IOA observan la ejecución de estos pasos, la intención del adversario y los resultados que este trata de lograr. Esto permite a Falcon identificar y bloquear amenazas nuevas y desconocidas en función de las TTP que utilice el ciberdelincuente.
7. Prueba de persistencia
La persistencia se produce cuando un atacante mantiene una presencia no detectada en una red durante un período prolongado, con la intención de robar información. Veamos cómo usa Falcon los IOA* para identificar y bloquear los intentos de permanecer ocultos de los atacantes.
- Accede a Escritorio > Archivos de muestra > IOA-Conductual.
- Haz doble clic en el archivo de procesamiento por lotes Sticky_Keys.bat.
- El archivo se ejecutará en una ventana del símbolo del sistema.
- Modificará en secreto una clave de registro que permitiría a un ciberdelincuente iniciar sesión en la máquina sin tener que proporcionar nombre de usuario ni contraseña.
- Usa el teclado del laboratorio virtual y selecciona el botón "enviar ctrl+alt+supr" para que aparezca la pantalla de bloqueo de Windows.
- Haz clic en la opción Facilidad de acceso en la esquina inferior izquierda y en la pantalla que aparecerá.
- Marca la casilla Teclear sin el teclado (teclado en pantalla) y luego pulsa Aplicar.
Sin Falcon, habría aparecido un símbolo del sistema, que habría dado al ciberdelincuente acceso completo al sistema (NT AUTHORITYSYSTEM). Este es un ejemplo de conducta de un atacante que no utiliza malware y que las soluciones antivirus tradicionales suelen ignorar. Falcon ha detenido este mecanismo de persistencia, pese a no utilizarse malware.
- Encontrarás una nueva alerta crítica en las Detecciones más recientes de tu Panel de actividad y en la página Detecciones de endpoints.
- Sal de la pantalla de bloqueo de Windows y vuelve a la plataforma de Falcon.
- Al expandir la nueva alerta en la página Detecciones de endpoints, podemos ver que se ha bloqueado reg.exe y que la táctica y técnica son la persistencia. Observa que la descripción de IOA recomienda investigar la clave del registro.
Nota: En ninguno de los ejemplos se ha utilizado malware. Son ejemplos de ataques sin archivos. Falcon ha identificado una conducta sospechosa y ha protegido al usuario. Este es un ejemplo de la fuerza de los IOA, que identifican la conducta maliciosa, independientemente de cómo se desarrolle.
8. Prueba de ataque de phishing
Los ataques de phishing son una estafa en la cual el atacante suplanta a una persona u organización para robar información.
- En este escenario, simularemos un ataque de phishing: abriremos un correo electrónico con un archivo adjunto malicioso.
- En el laboratorio de malware virtual, abre Outlook y ve a la bandeja de entrada. Puedes cancelar los mensajes del asistente de activación. Abre el correo electrónico de Richard. Este ataque de phishing afirma que el usuario tiene impagos asociados a la estancia en un hotel.
- Haz doble clic en Folio-0701-2017-00873.xls. Tendrás la opción de abrir, guardar o cancelar la descarga. Para este ejemplo, abre el archivo.
- Una vez que hayas abierto el archivo de Excel adjunto, aparecerán el error de Microsoft Visual Basic y los mensajes de CrowdStrike Falcon.
- Esto indica que Falcon ha impedido que el documento ejecute sus payloads maliciosos en segundo plano.
- Al abrir el archivo adjunto, se activa una nueva alerta en la plataforma de Falcon.
- Al expandir la nueva alerta en la página Detecciones de endpoints, se muestra claramente que esta amenaza provenía de Outlook.exe y que los datos adjuntos de Excel iniciaron PowerShell.
- Para obtener aún más detalles sobre la actividad de PowerShell, accede a Detalles de ejecución > Línea de comandos. Verás que PowerShell ha intentado ejecutar un comando oculto y descargar el script malicioso de Github.
- La directiva de hash puede administrarse directamente desde una detección.
- Eso significa que, si se crea una detección para un archivo malicioso, este puede añadirse de inmediato a la lista negra mediante el panel Detalles de ejecución, situado a la derecha de la alerta seleccionada.
- Para ello, simplemente haz clic en el botón Actualizar directiva de hash para el hash seleccionado y efectúa los cambios. Lo mismo sucede si una aplicación personalizada provoca falsas alertas y debe añadirse a la lista blanca.
9. Prueba de gestión de aplicaciones
Falcon te permite bloquear o permitir aplicaciones manualmente, en función de las necesidades singulares de tu organización.
- Ejecuta una aplicación.
- Accede a Escritorio > Archivos de muestra > No malicioso.
- Haz doble clic y ejecuta la aplicación Show_a_Hash.exe (esta aplicación no hace más que mostrar su propio hash de archivo en un símbolo del sistema).
- Usaremos ese hash para incluir el archivo en la lista negra y evitar que se vuelva a ejecutar.
- Copia el hash del símbolo del sistema o aquí:
4e106c973f28acfc4461caec3179319e784afa9cd939e3eda41ee7426e60989f
Añadir el indicador de compromiso manualmente
- Accede a Seguridad de endpoints > Gestión de indicadores de compromiso.
- Haz clic en Añadir indicadores > Añadir hashes.
Añadir hashes manualmente
- Pega el hash copiado en el recuadro.
- Marca "Todos los hosts" y selecciona lo siguiente: Plataforma > Windows; Acción > Bloquear y mostrar como detección; Gravedad > Crítica.
- Para terminar, haz clic en Añadir hashes.
- Ejecuta la aplicación de nuevo.
- Regresa al escritorio (cierra la ventana del símbolo del sistema), haz doble clic en Show_a_Hash.exe de nuevo y observa que esta vez no se ejecuta.
- En la plataforma de Falcon, accede a Detecciones de endpoints e inspecciona la nueva alerta.
- La directiva de hash puede administrarse directamente desde una detección. Eso significa que, si se crea una detección para un archivo malicioso, este puede añadirse de inmediato a la lista negra mediante el panel Detalles de ejecución, situado a la derecha de la alerta seleccionada.
- Para ello, simplemente haz clic en el botón Actualizar directiva de hash para el hash seleccionado y efectúa los cambios. Lo mismo sucede si una aplicación personalizada provoca falsas alertas y debe añadirse a la lista blanca.
CONCLUSIONES: Vimos que Falcon puede proteger a los usuarios frente a todo tipo de ataques; desde el malware más básico hasta el phishing más complejo. Incluso hemos visto TTP de Falcon Prevent que suelen indicar ataques dirigidos que aprovechan herramientas como PowerShell.
Ser rápido, sencillo y eficaz es excelente, pero si la solución no proporciona formas de gestionar fácilmente las alertas y los eventos de clasificación, no hará más que aplazar el problema.
¿Te ha resultado útil?
¿Te ha resultado útil?
Valoramos mucho tus comentarios y nos ayudan a mejorar nuestra capacidad para atenderte a ti y a los demás usuarios de esta y de otras guías. Envía tu opinión sobre este apartado de la guía de la prueba a falcontrial@crowdstrike.com.
