Su versión de prueba de Falcon le permite probar muestras de malware y técnicas avanzadas de ataque. Este es un paso opcional para su evaluación, demostrando cómo Falcon Prevent protege su entorno
20 minutos, dependiendo de la cantidad de pruebas que desee realizar
Dispositivo común, sistema operativo de Mac o Windows y navegador Google Chrome
En la siguiente sección, usted explorará escenarios de prueba con malware real. NO realice estas pruebas en su laptop o estación de trabajo, sino en un entorno específico para pruebas de malware. Para facilitar esto, el entorno virtual de CloudShare garantiza que las pruebas de malware se realicen completamente fuera de su organización. El laboratorio y esta guía están centrados exclusivamente en el Falcon Prevent, nuestra solución de antivirus.
Cloudshare es un entorno de laboratorio de Windows basado en la nube donde se pueden realizar pruebas en vivo de forma segura. Si usted ya tiene un laboratorio seguro de pruebas de malware, también puede probar el Falcon Prevent allí. Los pasos de esta guía están escritos de tal manera que usted pueda realizar pruebas en nuestro laboratorio o en el suyo.
Este proceso puede tardar unos minutos. Usted puede minimizar la ventana de descarga y continuar con la descarga e instalación del sensor del paso 2.
.
Una vez instalado el sensor y las políticas de prevención activadas, usted está listo para hacer pruebas con muestras vivas. Usted puede elegir entre las siguientes pruebas: Malware | Ransomware | PowerShell | Persistencia | Ataque de Phishing | Administración de Aplicaciones.
CrowdStrike Falcon® utiliza un Indicador de Ataque (IOA, por sus siglas en inglés) para representar una serie de acciones que un adversario realiza durante un ataque exitoso. Los IOA están centrados en la ejecución de estos pasos, los cuales exponen la intención del adversario y los resultados que está intentando alcanzar. Esto le permite a Falcon Prevent identificar y bloquear amenazas, nuevas y desconocidas, con base en las tácticas, técnicas y procedimientos utilizados por el atacante.
Sin Falcon Prevent en este sistema, habría aparecido un símbolo del sistema, dándole acceso completo al atacante (NT AUTHORITY\ SYSTEM). Este es un ejemplo de un comportamiento de un atacante que no utiliza malware y que normalmente las soluciones de AV tradicionales no identifican. Falcon Prevent detuvo este mecanismo de persistencia a pesar de que ningún malware fue utilizado.
En ambos ejemplos, no se utilizó ningún malware. Estos son ejemplos de ataques sin archivos.
Falcon Prevent identificó un comportamiento sospechoso y protegió al usuario. Este es un ejemplo del poder de los IOA. Los IOA identifican el comportamiento malicioso, sin importar su forma de operar.
CrowdStrike Falcon® utiliza un Indicador de Ataque (IOA, por sus siglas en inglés) para representar una serie de acciones que un adversario realiza durante un ataque exitoso. Los IOA están centrados en la ejecución de estos pasos, los cuales exponen la intención del adversario y los resultados que está intentando alcanzar. Esto le permite a Falcon Prevent identificar y bloquear amenazas, nuevas y desconocidas, con base en las tácticas, técnicas y procedimientos utilizados por el atacante.
Falcon Prevent le permite bloquear manualmente o habilitar aplicaciones con base en las necesidades específicas de su organización.
Esto significa que, si se crea una detección para un archivo malicioso, ésta puede ser agregada inmediatamente a la lista negra utilizando el panel “Execution Details” (Detalles de Ejecución), a la derecha de la alerta seleccionada. Simplemente haga clic en el botón “Update Hash Policy” (Actualizar Política de Hashes) para el hash seleccionado y realice los cambios. Lo mismo ocurre si una aplicación personalizada está causando alertas falsas y debe ser agregada a la lista blanca.
Estos comandos harán cambios temporales en el dispositivo con el fin de mostrar ejemplos del mundo real. No obstante, estos no utilizan malware vivo. Usted también puede realizar escenarios de prueba con malware real en el entorno virtual de CloudShare en Windows. La guía para esto se encuentra en la pestaña de Windows.
Esta detección ilustra la capacidad de Falcon para responder a comportamientos maliciosos con los IOA. Un Indicador de Ataque, o IOA, representa una serie de acciones que una aplicación o adversario debe realizar para que un ataque sea exitoso. Los IOA se centran en la ejecución de estos pasos, los cuales exponen la intención del adversario y los resultados que está intentando alcanzar. Esto es mejor que el uso de Indicadores de Compromiso (IOC, por sus siglas en inglés) o firmas porque le permite a Falcon Prevent bloquear amenazas nuevas y desconocidas. Este comando específico genera una copia del whoami con la extensión de pdf y luego lo ejecuta. Cambiar la extensión de una herramienta existente activará una detección de Falcon para enmascaramientos. El comando incluye la eliminación del archivo para que no sea necesario realizar limpiezas o reversiones adicionales.
Es probable que los adversarios intenten obtener credenciales usuarios legítimas o de cuentas de administrador (administrador del sistema local o usuarios de dominio con acceso de administrador) para usarlas dentro de la red. Esto le permite al adversario adoptar la identidad de la cuenta, con todos los permisos de esa cuenta en el sistema y la red, haciendo que sea más difícil su detección por parte de los defensores. Con suficiente acceso dentro de una red, un adversario puede crear cuentas para un uso posterior dentro del entorno.
El volcado de credenciales es el proceso de obtener información de inicio de sesión y contraseña de una cuenta del sistema operativo y del software, normalmente en forma de hash o de una contraseña de texto en claro. Las credenciales pueden ser utilizadas, entonces, para llevar a cabo Movimiento Lateral y tener acceso a información restringida. El comando que aparece a continuación consultará el “shadowhash” de un usuario a través de la terminal. Este comando puede ser utilizado en un host de MacOS para reunir información que sirve para desencriptar contraseñas. No es necesario realizar ninguna limpieza en el sistema después de ejecutar este comando.
Esta detección es otro ejemplo de cómo Falcon utiliza los IOA. La exfiltración de datos (también conocida como “extrusión de datos”) es la transferencia de datos no autorizada desde un host. La transferencia de datos puede ser realizada manualmente por alguien con acceso físico o automatizado a través de un malware en una red. El contenido de este script muestra la transferencia (exfiltración) de un archivo falso a través de un canal encubierto de peticiones al DNS.
Si tiene alguna pregunta, comuníquese y nos comunicaremos con usted pronto.
En las secciones anteriores, vimos que Falcon Prevent es liviano y fácil de instalar y administrar.
En esta sección, vimos que Falcon Prevent puede proteger a los usuarios de todo tipo de ataques, desde un ataque de malware común hasta el phishing más complejo.
Incluso, hemos visto a Falcon prevenir tácticas que son típicamente indicativas de ataques dirigidos que utilizan herramientas como el PowerShell.
Ser rápido, simple y efectivo es muy bueno, pero si la solución no proporciona formas de manejar fácilmente las alertas y clasificar eventos, lo único que ocurre es que usted cambia un problema por otro.
Sus comentarios son muy apreciados y nos ayudarán a mejorar nuestra capacidad para servirle a usted y a otros usuarios de nuestros sitios web. Envíe sus comentarios sobre esta sección de la guía de prueba a falcontrial@crowdstrike.com.