25 nov Como caçar com o CrowdStrike Falcon
Introdução
Este documento e os vídeos incluídos analisarão três casos de uso diferentes para demonstrar como caçar ameaças com o CrowdStrike Falcon.
Caça aos indicadores de compromisso
No primeiro exemplo, veremos como você pode começar com um IOC simples, como um domínio mal-intencionado, para caçar em seu ambiente atividades relacionadas e suspeitas.
Vídeo
Há muitas maneiras de aprender um COI, mas, neste caso, começaremos com um artigo de notícias no qual aprendemos que o domínio do mal está relacionado a um ataque de phishing.
Podemos usar a “Pesquisa de Domínios em Massa” do CrowdStrike para entender se algum sistema em nosso ambiente se comunicou com esse domínio. Isso nos ajuda a entender o escopo completo do ataque para que possamos corrigir adequadamente. Aqui, vemos dois sistemas diferentes se comunicaram ao “domínio do mal” nos últimos sete dias.
Podemos usar o “PID” para girar a partir desta visão para a árvore completa do processo.
A representação visual nos ajuda a entender quais eventos e processos levaram à comunicação suspeita. Aqui vemos que um programa chamado “firewallmanager” é responsável pela comunicação. No entanto, sabemos que esse não é um programa padrão usado pela nossa equipe de segurança de perímetro, o que torna isso mais suspeito e digno de uma investigação maior.
Podemos usar os recursos de resposta do CrowdStrike, como “Network Contain” e “Connect to Host”, para gerenciar este sistema, remover o software suspeito e corrigir completamente o sistema de destino.
Caça pelo uso mal-intencionado do PowerShell
No segundo exemplo, usaremos um dos relatórios internos do CrowdStrike para encontrar atividades potencialmente mal intencionadas do PowerShell.
Vídeo
O PowerShell é uma ferramenta comumente usada na empresa, mas também pode ser uma arma poderosa para o adversário. O CrowdStrike oferece inúmeros relatórios de caça, incluindo um especificamente projetado para descobrir e entender a atividade do PowerShell.
A execução deste relatório gera uma lista de todas as atividades recentes do PowerShell no ambiente. Os resultados são classificados por pontuação, com os eventos mais pontuados e mais suspeitos listados no topo.
Essa pontuação geral é determinada pela avaliação do comando do PowerShell em busca de comportamentos específicos e geralmente suspeitos. Esforços para baixar, codificar e ofuscar através do PowerShell aumentam a pontuação total.
Para observar mais de perto o evento de alta pontuação, podemos alternar a partir do “PID” para ver a árvore de processos e observar mais de perto o comando completo do PowerShell.
Nesse caso, podemos ver que o comando do PowerShell acionou um download do github de um segundo script do PowerShell. Se expandirmos o evento do PowerShell na árvore de processos, poderemos ver que ele passou a lançar várias instâncias de um minerador de bitcoin. Isso nos fornece todas as informações necessárias para abrir um incidente e corrigir totalmente esse sistema.
Caça às Ferramentas de Reconhecimento
Para o último exemplo, vamos olhar para o guia de caça a ameaça CrowdStrike. Nessa documentação, você encontrará várias consultas de amostra para ajudar a iniciar seus esforços para caçar por ameaças. Esses exemplos e os recursos flexíveis de pesquisa dentro da plataforma podem ajudá-lo a realizar sua própria caça à ameaça personalizada.
Vídeo
Vamos começar com uma consulta de amostra projetada para ajudar a identificar ferramentas comuns de reconhecimento em nosso ambiente. Com mais de 3.000 resultados retornados, os resultados iniciais são um pouco esmagadores.
No entanto, com a consulta de exemplo em vigor, podemos fazer uma pequena alteração para agrupar os resultados por comandos comuns com um contador. Agora, com apenas 56 resultados, podemos nos concentrar nos casos de uso menos comuns em direção ao fundo para procurar algo suspeito.
Aqui, vemos uma atividade suspeita que aproveita o at.exe para agendar uma tarefa para ser executada à meia-noite todos os dias da semana. O programa “escalate” também é suspeito, então vamos dar uma olhada mais de perto nisso. Nosso primeiro passo é girar a partir dos resultados da pesquisa para ver o evento completo.
A visão do evento nos dá ainda mais detalhes sobre o evento, o sistema e o executável. Também podemos girar para a visualização em árvore do processo.
A partir da visualização em árvore do processo, podemos ver os detalhes da linha de comando, além de algumas informações adicionais sobre o programa a.exe. Parece que é um arquivo comum que é um pouco surpreendente por algumas razões.
- Os nomes dos executáveis de uma única letra não são comuns em nosso ambiente e os executáveis geralmente não são armazenados na pasta de documentos.
- O parâmetro eula de aceitação é muito suspeito, pois é comum com os sysinternals. Isso poderia ser algo como psexec.
- E por último, escalate.exe não é uma ferramenta familiar ou algo que nossos administradores de sistema são conhecidos como alavancagem.
Para entender mais, usaremos o recurso “Investigate Hash” para ver o fechamento no segundo plano deste executável.
Após uma investigação mais detalhada, vemos que esse hash de arquivo é igual ao do psexec. O atacante provavelmente usando psexec para obter acesso à linha de comando elevada para agendar uma tarefa para escalar os privilégios da conta. Mais uma vez, o CrowdStrike forneceu dados detalhados do evento para que pudéssemos entender o incidente e ter o poder de agir de acordo.
Conclusão
Estes são apenas três exemplos dos recursos de caça ilimitados disponíveis com o CrowdStrike Falcon. Os dados detalhados do evento, as opções de relatórios e as pesquisas flexíveis fazem do Crowdstrike uma ferramenta poderosa para a caça às ameaças. Juntamente com visibilidade inigualável e ações abrangentes de resposta, os clientes recebem todas as informações necessárias para detectar, entender e responder às ameaças de hoje.
Fonte: https://www.crowdstrike.com/blog/tech-center/hunt-crowdstrike-falcon/