• Se você ainda não solicitou acesso ao laboratório virtual de malware, entre em contato com a equipe do Falcon Trial em FalconTrial@CrowdStrike.com. O laboratório é hospedado pela CloudShare.
• Você receberá um convite por e-mail da CloudShare. Clique no link e siga os prompts para finalizar seu cadastro.
• Clique na aba Lab de Malware Virtual na barra de navegação para acessar sua máquina de teste. O carregamento do seu laboratório pode demorar alguns minutos, mas você já pode prosseguir para a Etapa 2.

Baixar as amostras de malware.

Dê um clique duplo em Baixar amostras para fazer o download de todos os arquivos. Você deve baixar as amostras antes de instalar o Sensor Falcon. Caso tenha pulado esta etapa anteriormente, restaure seu ambiente para voltar ao estado padrão.

Para restaurar seu ambiente:

• Selecione Ações para o ambiente > Restaurar ambiente
• Um script irá recuperar todas as amostras e colocá-las na pasta Arquivos de amostra em sua área de trabalho.
• Digite qualquer caractere dentro do script para continuar.

Implementar o Sensor Falcon

Após fazer o download das amostras e antes de iniciar os testes, seja em seu próprio laboratório ou no ambiente virtual disponibilizado, você precisará implementar o sensor em cada host e confirmar se os sensores estão instalados e conectados corretamente à nossa nuvem.

Instruções passo a passo:

• Faça login na sua conta de teste.

• Selecione Centro de recursos do Falcon > Habilidades essenciais > “Proteger meus endpoints” de acordo com seu sistema operacional. Você será orientado durante o processo de implementação do sensor.

• Para obter mais ajuda sobre a implementação de sensores acesse: https://www.crowdstrike.com/en-us/free-trial-guide/start-and-install/

Confirmar o host ativo e a política de prevenção

• O sensor recém-instalado deve ter uma política de prevenção.

• Confirme na plataforma CrowdStrike Falcon. Navegue até Configuração e gerenciamento do host > Gerenciamento do host. Confirme que o seu hostname CSFALCONPREVENT está listado. A coluna Política de Prevenção deve mostrar platform_default como a política atribuída.

• Confirme com a Segurança do Windows. Procure por CrowdStrike Falcon Sensor em Proteção contra vírus e ameaças.

• Realizaremos um teste com uma amostra não maliciosa para verificar se o host possui um sensor operacional com a política de prevenção padrão.

• Dê um clique duplo em Arquivos de amostra, selecione Não malicioso e execute cs_maltest.exe.
• Com sua política de prevenção padrão do Windows, você pode ver duas mensagens semelhantes a estas no sistema do cliente.

• Navegue até Segurança de endpoint > Painel de atividades. O cartão Nova detecção deve exibir 4 novas detecções, (incluindo as 3 detecções de amostra). O cartão Detecções mais recentes também deve exibir uma nova detecção de alta gravidade.

• Navegue até Segurança de endpoint > Detecções de endpoint. Você deve ver a detecção de alta gravidade em seu host CSFALCONPREVENT.

• A cada teste, uma nova detecção será gerada.
• Agora que você instalou o sensor com a política de prevenção padrão ativada, já está pronto para testar com amostras reais.

• Dê um clique duplo em Arquivos de amostra e selecione Malware para visualizar as amostras de malware disponíveis.
• Use essas amostras para gerar detecções na plataforma Falcon e gerencie essas detecções na página de detecção de endpoints.

• Execute uma amostra de malware no Windows Explorer.
• Dê um clique duplo em qualquer uma das amostras de malware.
• Navegue até Segurança de endpoint > Detecções de endpoints na plataforma Falcon e clique no ícone Detalhes completos de detecção.
• Observe que explorer.exe é o processo primário.
• Isso ajuda você a entender como um ataque foi executado.

• Execute um exemplo a partir de um prompt de comando (cmd.exe).
• Abra o prompt de comando.

• Escolha uma amostra e carregue-a no prompt de comando.
• Navegue até a página Detecções de endpoints e selecione a detecção. Observe como o processo primário do malware agora é cmd.exe.

• Vamos começar com o WannaCry, o ransomware que atacou o National Health Service, do Reino Unido, em 2017.

• Clique duas vezes em Arquivos de amostra, selecione Ransomware e execute WannaCry. Você deverá ver as notificações do Windows e do CrowdStrike Falcon Sensor.

• Volte para suas amostras de Ransomware e execute o Locky.

• Navegue até Detalhes de execução da detecção do Locky. Você poderá ver as ações tomadas, táticas e técnicas utilizadas e outras informações úteis.

• Navegue até Área de Trabalho > Arquivos de Amostra > IOAs-Comportamental.
• Clique duas vezes no arquivo batch Credential_Dumping.bat. Este script executará um comando powershell codificado para capturar credenciais.
• Navegue até a página Detecções de endpoints e inspecione a nova detecção.
• No painel Detalhes da execução, localize os detalhes da linha de comando e certifique-se de que a opção Mostrar decodificado esteja ativada. Podemos ver o argumento completo da linha de comando que foi usado. Nenhuma outra solução antivírus (AV) fornece esse nível de detalhe. Você pode ver como esse script do PowerShell teria baixado o Mimikatz.

• Navegue até Área de Trabalho > Arquivos de Amostra > IOAs-Comportamental.
• Clique duas vezes no arquivo batch Sticky_Keys.bat.
• O arquivo será executado em uma janela de prompt de comando.
• Ele modificará secretamente uma chave de registro que permitiria a um invasor fazer login na máquina sem jamais ter que fornecer um nome de usuário ou senha.
• Use o teclado do laboratório virtual e selecione o botão “send ctrl+alt+delete” para abrir a tela de bloqueio do Windows .
• Clique na opção Facilidade de Acesso no canto inferior esquerdo e na tela pop-up que aparece.
• Marque a caixa Digitar sem o teclado (Teclado na Tela) e clique em Aplicar.

• Você encontrará um novo e crítico alerta na seção Detecções mais recentes do painel de atividades e na página Detecção de endpoints.
• Saia da tela de bloqueio do Windows e volte para a plataforma Falcon.
• Ao expandir o novo alerta na página Detecção de endpoints, podemos ver que o processo reg.exe foi bloqueado e que a Tática e técnica identificada foi Persistência. Veja como a Descrição do indicador de ataque recomenda que você investigue a chave do registro.

• Neste cenário, simularemos um ataque de phishing abrindo um e-mail com um anexo malicioso.

• No laboratório virtual de malware, abra o aplicativo Outlook e acesse a caixa de entrada. Você pode cancelar as mensagens do Assistente de ativação. Abra o e-mail de Richard. Este ataque de phishing alega que o usuário tem despesas não pagas de uma estadia em um hotel.

• Clique duas vezes em Folio-0701-2017-00873.xls. Você tem a opção de Abrir, Salvar ou Cancelar o download. Para este exemplo, abra o arquivo.
• Depois de abrir o arquivo Excel anexado, as mensagens de erro do Microsoft Visual Basic e do CrowdStrike Falcon são exibidas.
• Isso indica que o Falcon impediu que o documento executasse seu payload malicioso em segundo plano.

• A abertura do anexo acionou um novo alerta na plataforma Falcon.
• Expandir o novo alerta na página de Detecções de endpoints ilustra claramente que essa ameaça veio do Outlook.exe e que o anexo do Excel iniciou o PowerShell.
• Para obter ainda mais detalhes sobre o que o PowerShell fez, vá para Detalhes da execução > Linha de comando. Você verá que o PowerShell tentou executar um comando oculto e baixar o script malicioso do Github.
• O gerenciamento de sua política de hash pode ser feito diretamente a partir de uma detecção.
• Isso significa que, se uma detecção for criada para um arquivo malicioso, ele pode ser adicionado imediatamente à blacklist usando o painel Detalhes de execução à direita do alerta selecionado.
• Basta clicar no botão Atualizar Política de Hash para o hash selecionado e fazer as alterações. O mesmo vale se uma aplicação customizada estiver causando alertas falsos e precisar ser colocada na whitelist.

• Execute uma aplicação.
• Navegue até Área de Trabalho > Arquivos de amostra > Não malicioso.

• Clique duas vezes e execute a aplicação Show_a_Hash.exe. (Essa aplicação não faz nada mais do que mostrar seu próprio hash de arquivo em um prompt de comando.)

• Usaremos esse hash para colocar o arquivo em blacklist (lista negra) e evitar que ele seja executado novamente.
• Copie o hash do prompt de comando ou daqui:
  4e106c973f28acfc4461caec3179319e784afa9cd939e3eda41ee7426e60989f

Adicione o IOC manualmente

• Navegue até Segurança de endpoint > Gerenciamento do indicador de comprometimento.

• Clique em Adicionar indicadores > Adicionar hashes.

Adicionar hashes manualmente

• Cole o hash copiado na caixa.

• Marque "Todos os hosts" e selecione o seguinte: Plataforma > Windows; Ação > Bloquear > Bloquear e exibir como detecção; Gravidade > Crítica.
• Para finalizar, clique em Adicionar hashes.
• Execute novamente a aplicação.
• Navegue de volta para a área de trabalho (feche a janela do prompt de comando), dê um clique duplo em Show_a_Hash.exe novamente e observe que, desta vez, ele não é executado.
• Na plataforma Falcon, navegue até Detecções de endpoints e inspecione o novo alerta.
• O gerenciamento de sua política de hash pode ser feito diretamente a partir de uma detecção. Isso significa que, se uma detecção for criada para um arquivo malicioso, ele pode ser adicionado imediatamente à blacklist usando o painel Detalhes de Execução à direita do alerta selecionado.
• Basta clicar no botão Atualizar Política de Hash para o hash selecionado e fazer as alterações. O mesmo vale se uma aplicação customizada estiver causando alertas falsos e precisar ser colocada na whitelist.