ワインをこよなく愛するネクストモードの里見です。...
ブラウザ経由で悪意のある実行ファイルをダウンロードしたときのCrowdStrikeの振る舞いの確認とProcessツリー
今日は、CrowdStrikeで保護されたWindows PC上で悪意のあるファイルをダウンロードし実行した際、どの時点でCrowdStrikeは検知を行い、アラートを出すか、または実行を停止させるか、の確認を行います。
サイトへのアクセス
https://www.eicar.org が安全なテスト用ウイルスファイルを配布してくれています。過去別記事で試したPowerShellで実行するとウイルスを検知するコマンドの配布元です。
画面右上のDOWNLOAD ANTIMALWARE TESTFILEをクリックします。
画面中部にあるこれらのテストファイルを試しにダウンロードしてみます。すると普通にダウンロードできました。その後ファイルを実行するとアラートが出て実行が止まりました。
これはあくまでテスト用の著名なファイルであり、CrowdStrike側もそれは把握していますので、以下の通り実行時点でInformationalとして出力されていました。※
Processツリー
では実際にマルウェアを実行してみましょう。
実行時に検知されたインシデント (Severity=Informationalですが) のProcessツリーを最後に見ていきます。
こんな感じで、Windowsへのログインからファイルのダウンロード、実行までが数珠繋ぎで表示されます。慣れた管理者が見れば、人手の作業によるダウンロード&実行なのか、何かのボットが行っているのか、判別できそうです。
※昨今のオフィス環境ではZTNA/SASEを導入するケースも増えていますが、それらのソリューションでもマルウェアの検知・排除は可能です。
ネクストモードではNetskopeの導入支援を提供しています。