X
Jak opanować zainfekowany system
Cześć. Nazywam się Peter Ingebrigtsen. Dzisiaj zalogowaliśmy się na falcon.crowdstrike.com, czyli interfejs użytkownika Falcon.
I to, co zamierzamy zrobić, to przyjrzeć się niektórym z naszych systemów i stwierdzić, że niektóre z nich są obecnie atakowane lub niedawno były atakowane i mogły zostać skompromitowane. I chcielibyśmy powstrzymać ten system, dopóki nie będziemy mogli się do niego dostać, dostać w nasze ręce i wydobyć z niego trochę więcej informacji, lub po prostu zapobiec wyrządzeniu większej szkody niż już wyrządził.
Aby to zrobić, musisz być w swojej aplikacji Detections. Możesz to zrobić, przechodząc do radaru tutaj, po lewej stronie. Jeśli jeszcze nie jesteś, lub jeśli twój interfejs użytkownika nie otwiera się po pierwszym zalogowaniu, udaj się tam. A następnie wybierz opcję Ostatnie wykrycia.
Gdy to się otworzy, zauważysz, że możesz filtrować według dowolnej liczby kryteriów, ale my patrzymy na niektóre z ostatnich wydarzeń lub sytuacji, które się dzieją. Zauważysz, że ta sama maszyna odnotowała wiele różnych scenariuszy z eskalacją uprawnień lub exploitami internetowymi. A ich nasilenie jest od wysokiego do krytycznego.
I chcielibyśmy się tam zalogować, może coś zrobić, przyjrzeć się temu bliżej i zobaczyć, czy jest coś, co powinniśmy zrobić. Oczywiście, powinniśmy coś zrobić. Gdy zaczniemy grzebać w tym miejscu, zobaczymy, że istnieje wiele wzorców wykrywania, niezależnie od tego, czy jest to znane złośliwe oprogramowanie, kradzież danych uwierzytelniających czy exploity internetowe. W drzewie procesów możemy zobaczyć wiele różnych poleceń, które zostały wydane w celu eskalacji uprawnień, którą zauważyliśmy wcześniej – lub rozpoczęcia jej tworzenia.
Wiemy więc, że dzieje się coś złego i chcielibyśmy od razu podjąć działania. Chcemy więc zamknąć tę maszynę w sieci. Ale chcę wam pokazać, że gdy to zrobimy, przejdę do samej maszyny. Chciałbym rozpocząć ciągłe pingowanie, abyś mógł obserwować zachowanie maszyny i to, ile czasu zajmuje jej reakcja na zamknięcie w sieci.
Teraz, podczas zamykania tej maszyny – lub wyłączania jej z sieci – nie zabijamy połączenia z CrowdStrike Cloud. Tak więc, gdy się tym zajmiemy – wyczyścimy to, poczujemy się komfortowo włączając to z powrotem do sieci – możemy nadal obsługiwać lub kontrolować tę maszynę poprzez interfejs użytkownika, który tu mamy.
Inną rzeczą, którą chciałbym zrobić, jest rozpoczęcie dużego pobierania, tak abyśmy zainicjowali pojedyncze połączenie TCP – a tak się składa, że jest jedno w procesie – w przeciwieństwie do ping, gdzie może być wiele resetów TCP lub pojedynczych wątków TCP za każdym razem. Abyś mógł zobaczyć, że gdy powstrzymujemy tę maszynę, to dosłownie po prostu wyrzucamy ją z sieci.
Wybacz mój ekran, ale zmieniłem rozdzielczość dla YouTube i dla celów wyglądu.
Ale gdy tu wchodzę- i to będzie na samym środku ekranu- to faktycznie mówi Device Actions. I chciałbym go zawrzeć.
Teraz, gdy to zrobimy, mamy kilka opcji, aby zrobić kilka notatek. Zatrzymane przez Petera. Zaobserwowano wiele zagrożeń. Cokolwiek chcesz zanotować, a następnie wybierz opcję Zatrzymaj.
Teraz, gdy to zrobimy, po lewej stronie zobaczysz, jak szybko nastąpi reakcja. Tak więc, natychmiast, prawie w czasie rzeczywistym, widzisz awarię sieci podczas pobierania, a test ping- lub ciągłe ping fail. Więc możemy to zamknąć.
Teraz, powiedzmy, że jesteśmy kilka dni później, ta maszyna jest oczyszczona, gotowa do pracy i ponownie włączona do sieci. Możesz przejść dalej i znieść blokadę sieci, ponownie, z poziomu interfejsu użytkownika. Nadal mamy to połączenie z maszyną, mimo że wszystkie inne połączenia sieciowe zostały zakończone.
Więc, jak to zrobimy, wszystko w porządku. Odłączamy. Zauważysz, że prawie natychmiast ping zaczyna się ponownie uruchamiać.
Więc, hermetyzacja sieci jest potężnym narzędziem, którego możemy użyć, jeśli widzimy, że coś natychmiast podejmuje działanie lub jeśli widzimy coś, co miało miejsce w przeszłości i chcielibyśmy usunąć tę maszynę z sieci – prawie poddać ją kwarantannie – aby nie mogła wyrządzić więcej szkód.
Więc, to jest hermetyzacja urządzeń sieciowych w platformie Falcon Sensor User Interface. Jeszcze raz dziękuję za oglądanie.