コンテンツまでスキップ

ブラウザ経由で悪意のある実行ファイルをダウンロードしたときのCrowdStrikeの振る舞いの確認とProcessツリー

今日は、CrowdStrikeで保護されたWindows PC上で悪意のあるファイルをダウンロードし実行した際、どの時点でCrowdStrikeは検知を行い、アラートを出すか、または実行を停止させるか、の確認を行います。


サイトへのアクセス

https://www.eicar.org が安全なテスト用ウイルスファイルを配布してくれています。過去別記事で試したPowerShellで実行するとウイルスを検知するコマンドの配布元です。

 

画面右上のDOWNLOAD ANTIMALWARE TESTFILEをクリックします。

 

画面中部にあるこれらのテストファイルを試しにダウンロードしてみます。すると普通にダウンロードできました。その後ファイルを実行するとアラートが出て実行が止まりました。

これはあくまでテスト用の著名なファイルであり、CrowdStrike側もそれは把握していますので、以下の通り実行時点でInformationalとして出力されていました。※

 

Processツリー

では実際にマルウェアを実行してみましょう。
実行時に検知されたインシデント (Severity=Informationalですが) のProcessツリーを最後に見ていきます。

こんな感じで、Windowsへのログインからファイルのダウンロード、実行までが数珠繋ぎで表示されます。慣れた管理者が見れば、人手の作業によるダウンロード&実行なのか、何かのボットが行っているのか、判別できそうです。


※昨今のオフィス環境ではZTNA/SASEを導入するケースも増えていますが、それらのソリューションでもマルウェアの検知・排除は可能です。

ネクストモードではNetskopeの導入支援を提供しています。