25/08/01 10:07

ブラウザ経由で悪意のある実行ファイルをダウンロードしたときのCrowdStrikeの振る舞いの確認とProcessツリー

今日は、CrowdStrikeで保護されたWindows PC上で悪意のあるファイルをダウンロードし実行した際、どの時点でCrowdStrikeは検知を行い、アラートを出すか、または実行を停止させるか、の確認を行います。

https://www.eicar.org が安全なテスト用ウイルスファイルを配布してくれています。過去別記事で試したPowerShellで実行するとウイルスを検知するコマンドの配布元です。

画面右上のDOWNLOAD ANTIMALWARE TESTFILEをクリックします。

画面中部にあるこれらのテストファイルを試しにダウンロードしてみます。すると普通にダウンロードできました。その後ファイルを実行するとアラートが出て実行が止まりました。

これはあくまでテスト用の著名なファイルであり、CrowdStrike側もそれは把握していますので、以下の通り実行時点でInformationalとして出力されていました。※

では実際にマルウェアを実行してみましょう。
実行時に検知されたインシデント (Severity=Informationalですが) のProcessツリーを最後に見ていきます。

こんな感じで、Windowsへのログインからファイルのダウンロード、実行までが数珠繋ぎで表示されます。慣れた管理者が見れば、人手の作業によるダウンロード＆実行なのか、何かのボットが行っているのか、判別できそうです。

※昨今のオフィス環境ではZTNA/SASEを導入するケースも増えていますが、それらのソリューションでもマルウェアの検知・排除は可能です。

ネクストモードではNetskopeの導入支援を提供しています。

技術, CrowdStrike

関連記事