Hands-on Lab Endpoint Detection and Response
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Hands-on Lab Endpoint Detection and Response
Beschreibung In diesem Lab lernen Sie, wie Sie mit der neuen EDR-Lösung
von Matrix42 umgehen können
Lernziele Am Ende dieses Hands-On-Labs wissen Sie
• Wie Sie die Installation des enSilo-Agenten optimieren
können
• Wie Sie die enSilo-Umgebung auf Ihre Bedürfnisse hin
anpassen können
• Wie Sie Viren aktiv mit Hilfe von enSilo blockieren können
Hinweise Die Inhalte dieses Labs werden Ihnen im Rahmen einer kurzen
Präsentation erläutert.
Das Lab führt Sie Schritt für Schritt an das Lernziel heran.
Bitte nutzen Sie die Lab-Anleitung auf den nächsten Seiten.
Das Lab ist für etwa 45 Minuten konzipiert, kann
gegebenenfalls schneller absolviert werden. Sie bestimmen
die Geschwindigkeit.
Bitte stellen Sie Ihre Fragen den Moderatoren Ihrer Lab-
Session.
Danke, dass Sie sich für dieses Lab entschieden haben.
Viel Spaß!
www.matrix42.com | © Matrix42 2
Vorbereitung
Melden Sie sich am Server SRVWSM001 mit dem Benutzernamen „imagoverum\vvogel“ und
dem Passwort „Matrix42“ an.
Ihnen wurde ein Server (SRVWSM001) als virtuelle Maschinen bereitgestellt. Die virtuelle
Umgebung stellt die mustergültige Installation innerhalb einer virtuellen Firma dar, die Sie
nun administrieren können.
Download benötigter Dateien
Motivation: Die für das HandsOnLab benötigten Dateien von Box.net auf den Server
herunterladen.
• Auf dem Desktop das Verzeichnis „Demo Data“ öffnen
• Die Datei „Download enSilo Files.cmd“ starten
www.matrix42.com | © Matrix42 3
• Die im Internet Explorer angezeigten Dateien EINZELN herunterladen (pro Datei
rechts außen auf „Weitere Optionen >> Herunterladen“).
• Beim Download angezeigtes Fenster für Registrieren/Anmelden schließen (im Fenster
das Kreuz rechts oben) und bei der Frage vom Internet Explorer auf „Speichern“
klicken.
• Für jede Datei erneut den Download durchführen
• Nach erfolgtem Download der letzten Datei den Internet Explorer schließen
www.matrix42.com | © Matrix42 4
• Im Windows Explorer in das Download-Verzeichnis (…\Downloads) wechseln und die
ZIP-Dateien entpacken (jeweils rechte Maustaste auf Datei >> Extract files… >> OK);
bei der Datei Petya.zip und flash_install.zip lautet das Passwort: infected
www.matrix42.com | © Matrix42 5
Erster Start der enSilo Konsole
Motivation: die erste Anmeldung an der enSilo Console, bei der ein neues Passwort vergeben
werden muss. Beim Anmelden auf den richtigen Mandantennamen achten!
• Im Download-Verzeichnis (…\Downloads) die heruntergeladene Datei „enSilo
Console.cmd“ starten, bei der Sicherheitswarnung „Ausführen“ wählen. Dadurch wird
der Chrome Browser mit der URL der enSilo Console gestartet
(https://matrix42demo.console.ensilo.com)
www.matrix42.com | © Matrix42 6
• Anmelden mit folgenden Daten:
User Name: Admin >> ACHTUNG: auch der User name ist Case sensitive!!!
Password: Matrix42
Organization Name: holXXX (wobei XXX für Ihren Mandanten steht!!!)
• Beim ersten Login muss das Passwort geändert werden, z.B. in Matrix42XXX, (wobei
XXX für Ihren Mandanten steht!!!) >> zumindest Passwort mit mindestens 8
Zeichen!!!
www.matrix42.com | © Matrix42 7
• Falls die Console nicht komplett dargestellt wird das Browserbild zoomen (z.B. auf
67%, rechts oben auf die drei Punkte klicken, dann beim „Zoomen“ auf das
Minuszeichen klicken)
www.matrix42.com | © Matrix42 8
Vorbereitung in der Console Motivation: Erste Anpassungen in der Console, um z.B. das enSilo Icon im System-Tray anzeigen zu lassen. • Auf „Administration“ klicken, dann links auf „Tools“ • Haken bei „Automatic Updates“ wegnehmen • Beide Haken bei „End Users Notifications“ setzen, rechts außen mit „Safe“ speichern www.matrix42.com | © Matrix42 9
Einrichten der Umgebung Motivation: Die Umgebung kann nach den Bedürfnissen des Kunden angepasst werden. Hier wird erläutert, wie z.B. Maschinen in verschiedenen Gruppen mit jeweils eigenen Policies organisiert werden können. • Auf „Inventory“ klicken, dann auf „Collectors“ • In „Collectors“ auf „Degraded“ klicken, auf “All” ändern • Eine neue Gruppe anlegen mit „Create Group“, Name: Simulation www.matrix42.com | © Matrix42 10
• Die neue Gruppe “Simulation“ zur Default-Gruppe machen, dazu auf das Symbol
direkt vor dem Namen klicken. Dadurch wird das Symbol gelb, die neue Gruppe ist
jetzt die Default-Gruppe
• Auf „Security Settings“ klicken
• Die drei bestehenden Policies werden kopiert. Dazu den Haken neben „All“ setzen,
dadurch werden alle Policies markiert
• Auf „Clone policy“ klicken
• Bei den Namen der neuen Policies am Ende das „clone“ löschen, am Anfang den
Namen mit „Simulation“ ergänzen
www.matrix42.com | © Matrix42 11• Jetzt werden die Policies mit der neuen Collector-Gruppe verbunden, dazu die drei
neuen Policies markieren
• Oben auf „Assign collector group” klicken, im erscheinenden Fenster dann die neue
Collector-Gruppe „Simulation“ auswählen, mit „Assign“ bestätigen
• In der enSilo Console die Policies „Simulation Exfiltration Prevention” und
„Simulation Ransomware Prevention” in den Modus “Prevention” setzen, dazu auf
den Schieberegler klicken. Dieser wird dann grün. Jetzt ist der aktive Schutz
eingeschaltet
• Hinweis: Die Policy „Simulation Execution Prevention” NICHT aktiv schalten, damit
die weiteren Tests mit den Virendateien funktionieren!
www.matrix42.com | © Matrix42 12Konfiguration des enSilo Collectors
Motivation: Der enSilo Collector ist der Agent für die zu beschützenden Maschinen. Um eine
möglichst einfache Verteilung z.B. über ein Empirum-Paket oder GPO’s zu gewährleisten kann
die Installationsdatei im Vorfeld schon konfiguriert werden.
• Im Download-Verzeichnis (…\Downloads) gehen und die Datei
„enSiloCollectorSilentInstallerGenerator_3.1.0.379.exe“ starten
www.matrix42.com | © Matrix42 13• Zur Auswahl der MSI-Datei (Agent Installation Package) rechts neben dem leeren Feld
auf „Browse…“ klicken und die angebotene MSI-Datei
(enSiloCollectorInstaller64_3.1.1.542.MSI) auswählen
• Bei „Aggregator address:port“ die IP-Adresse des enSilo Aggregator-Servers eingeben:
35.198.154.187, der Port bleibt auf „8081“
• Das Registration password eingeben: Matrix42
• Collector Group bleibt leer
• Organization: holXXX (wobei XXX für Ihren Mandanten steht!!!)
• Alle weiteren Einstellungen so beibehalten
• Unten links auf „Generate“ klicken, nach erfolgreicher Erstellung (Hinweis) mit „Exit“
beenden.
• Hinweis: die angegebene MSI-Datei kann nicht erneut konfiguriert werden!
www.matrix42.com | © Matrix42 14Installieren des enSilo Collectors
Motivation: Für das HandsOnLab wird den enSilo Agent auf dem Server installiert.
• Im Download-Verzeichnis (…\Downloads) die MSI-Datei starten, bei allen Fenstern
auf „Next“ bzw. „Install“ klicken
• Das Fenster mit „Close“ schließen
www.matrix42.com | © Matrix42 15• Der enSilo Agent wurde auf dem Server installiert
• Hinweis: diese MSI kann über Empirum auf den Zielmaschinen installiert werden, ein
vorkonfiguriertes Paket finden Sie in der Matrix42 Package Cloud; alternativ kann die
MSI auch über die Microsoft GPO’s verteilt werden oder über jedes beliebige andere
Softwareverteilsystem.
www.matrix42.com | © Matrix42 16Aufgabe 1: Versuch den enSilo Dienst zu stoppen
Motivation: Der enSilo-Agent kann auch von lokalen Administratoren nicht gestoppt werden.
Dies schützt somit auch vor Viren, die sich Adminrechte besorgt haben und
Schutzmechanismen wie enSilo stoppen wollen.
• In „Services“ (Aufruf z.B. über Suche) den enSilo Agenten suchen: „enSilo Collector
Service“
• Versuchen den Dienst zu stoppen, z.B. über rechte Maustaste auf dem Dienst >> nicht
möglich, da der Dienst auch mit Adminrechten nicht gestoppt werden kann
www.matrix42.com | © Matrix42 17Aufgabe 2: Kontrolle ob die Verbindung zum enSilo Server steht
Motivation: Der enSilo-Agent muss sich beim Server melden, damit die Schutzfunktion des
Agenten vorhanden ist.
• Auf dem Server selbst im Systray prüfen, ob das enSilo Icon erscheint
• In der enSilo Console unter „Inventory“ prüfen, ob in der neuen Default-Gruppe
„Simulation“ der Server auftaucht. Dazu den Inhalt des Browsers mit F5 mehrmals
aktualisieren.
• Darauf achten das der Status „Running“ ist
www.matrix42.com | © Matrix42 18Aufgabe 3: Starten einer böswilligen Aktion mit BadRabbit MIT
Blockieren, Analyse der in enSilo aufgelaufenen Meldungen,
weitergehende Forensic
Motivation: Jetzt wird über eine harmlos erscheinende Datei ein Virus auf dem Server
gestartet. Hier sehen wir enSilo in voller Aktion, indem der bösartige Prozess geblockt wird.
Darüber hinaus sehen wir in der Console, was genau das Virus versucht hat, um dem Befall
entgegenzuwirken. In diesem Fall löschen bzw. Prüfen der flash_install-Dateien im
Firmennetz und auf allen Maschinen.
• Der Virus BadRabbit steckt in einer harmlos erscheinenden flash-Player Install-Datei.
• Die Datei „flash_install.exe“ ausführen. Es poppt im System-Tray eine Meldung auf,
dass die Ausführung geblockt wurde.
• Zur Analyse in die enSilo Console gehen. Gegebenenfalls muss man sich neu
anmelden. In den Bereich „Event Viewer“ wechseln und durch Klick auf „Advanced
Data“ den Eventgraph anzeigen
www.matrix42.com | © Matrix42 19• Im oberen Bereich unter „Events“ werden die negativen Aktionen aufgelistet, die
geblockt wurden. Im unteren Bereich wird für jedes Event grafisch dargestellt, was für
Aktionen vom Virus durchgeführt wurden. Der rote enSilo Kasten weist darauf hin,
dass die finale bösartige Aktion geblockt wurde. Im Simulation Modus OHNE
Blockfunktion wäre dieser Kasten grau. Hier mal die verschiedenen Events anklicken
und sich die verschiedenen Graphen anschauen.
www.matrix42.com | © Matrix42 20• Konkret auf folgendes Event klicken, danach auf den kleinen Pfeil klicken:
Hier werden die Versuche des Virus aufgezeigt, sich im Unternehmen zu verbreiten.
Das geschieht so schnell, dass man mit manuellen Eingriffen keine Chance hätte das
zu verhindern. Mit „Back“ kommt man zurück zur Events-Übersicht
www.matrix42.com | © Matrix42 21• Auf folgendes Event klicken:
Hier sieht man sehr schön das der Virus versucht Dateien zu verschlüsseln. Dies wird
von enSilo unterbunden.
• Weitere böswillige Aktionen des Virus wäre die gesamte Verschlüsselung der
Festplatte. Auch dieses wurde von enSilo geblockt:
www.matrix42.com | © Matrix42 22Aufgabe 4: Starten einer böswilligen Aktion über den Virus „Petya.exe“
MIT Blockieren, Analyse der in enSilo aufgelaufenen Meldungen,
weitergehende Forensic
Motivation: Dieser Virus verschlüsselt die Festplatte. In der Analyse kann man auch direkt
über die enSilo Console das Portal „Virus Total“ befragen, ob die gefundene Datei dort als
Virus schon gelistet ist, und zwar für alle gängigen Antiviren Produkte.
• Im Download-Verzeichnis (…\Downloads) im Unterverzeichnis „Petya“ die Datei
„Petya.vir“ in „Petya.exe“ umbenennen
• Die Datei „Petya.exe“ starten. Diese Datei verschlüsselt Festplatten. Auch diese
Aktion wird von enSilo geblockt:
www.matrix42.com | © Matrix42 23• In der Console sieht das dann unter „Events“ so aus (mit F5 den Browserinhalt
erneuern):
Zur weiteren Analyse des Events vor dem Event den Haken setzen und oben auf
„Forensic“ klicken. Damit kann man die Events genauer untersuchen. Hier wird der
Event-graph noch mal größer dargestellt. Man sieht das enSilo den Zugriff auf „DR0“
unterbunden hat, das steht für Drive0, die Systemfestplatte. Weiter Analysen sind
durch Klicken rechts oben auf das Symbol für die „Stacks View“ möglich:
www.matrix42.com | © Matrix42 24Hier kann man sehr schön den Event in seine einzelnen Prozesse aufgelistet sehen.
Klickt man hier bei der ersten Zeile, in der die Datei Petya.exe steht, rechts auf den
senkrechten Strich kann man direkt diese Datei in „Virus Total“ prüfen lassen:
www.matrix42.com | © Matrix42 25Wie man sieht erkennt nicht jede Antiviren-Software den Virus Petya.exe… www.matrix42.com | © Matrix42 26
Aufgabe 5: Deinstallation des enSilo-Agenten über die MSI (nur mit
Passwort) und über die enSilo Console (ohne Passwort)
Motivation: Sollte der enSilo-Agent von einer Maschine deinstalliert werden müssen wird
hier aufgezeigt, über welche Mechanismen die Deinstallation ausgeführt werden kann.
• Im Downloads-Verzeichnis, im Unterverzeichnis „enSilo Collector 3.0.0.257 und
Generator“ die MSI starten und die Deinstallation auswählen. Diese ist nur mit dem
Registration password, welches bei der Konfiguration der MSI gesetzt wurde,
möglich. Das gilt auch für lokale Administratoren. Die Deinstallation dann bitte
abbrechen.
www.matrix42.com | © Matrix42 27• Die Deinstallation des enSilo-Agenten kann auch über die enSilo Console (ohne
Angabe des Passwortes) erfolgen. Dazu in das „Inventory“ wechseln, den Server
auswählen und „Uninstall“ auswählen:
www.matrix42.com | © Matrix42 28Den Browser mit F5 aktualisieren, danach ist der Server aus dem Inventory
verschwunden.
www.matrix42.com | © Matrix42 29Zusatzaufgabe: Wer mag kann jetzt auf dem Server die Virendateien
erneut starten und schauen was passiert… ohne Schutz durch enSilo
Motivation: Mal sehen was passiert, wenn ohne den Schutz von enSilo der Virus Petya.exe
ausgeführt wird. Allerdings dauert das auf dem Server eine Weile, daher sind die
verschiedenen Schritte hier als Screenshots dargestellt.
• Petya.exe: es kommt ein Bluescreen hoch, nach einem Reboot erfolgt ein CHKDSK,
danach kommt ein Totenkopf und nach einem Return die Seite mit der Aufforderung,
Geld für den passenden Schlüssel zu zahlen …das dauert auf dem Server
etwas…daher hier die Screenshots vom Ablauf:
www.matrix42.com | © Matrix42 30Ende Sie haben dieses Hands on Lab erfolgreich abgeschlossen. Wir hoffen, Sie hatten Spaß dabei und konnten etwas Hilfreiches lernen. www.matrix42.com | © Matrix42 31
Sie können auch lesen
