Häufige Fragen zu CrowdStrike Falcon® Sandbox

CrowdStrike Falcon® Sandbox ist eine Lösung für automatisierte Malware-Analysen, mit der Sicherheitsteams umfangreiche Bedrohungsdaten mit den Ergebnissen der weltweit leistungsstärksten Sandbox-Lösung korrelieren können. Diese einzigartige Kombination liefert wichtigen Kontext, durch den Analysten hochentwickelte Malware-Angriffe besser verstehen und ihre Schutzmaßnahmen optimieren können. Falcon Sandbox führt umfangreiche Analysen getarnter und unbekannter Bedrohungen durch, reichert die Ergebnisse mit Bedrohungsdaten an und liefert verwertbare Kompromittierungsindikatoren (IOCs). Mit Falcon Sandbox können Cybersicherheitsteams unabhängig von ihrer Qualifikation relevante Bedrohungen besser verstehen und künftige Angriffe dank dieses Wissens abwehren.

Die hybride Analyse ist ein Ansatz zur Dateianalyse, bei dem Laufzeitdaten mit Speicher-Dump-Analysen kombiniert werden, um alle erdenklichen Ausführungspfade selbst der am besten getarnten Malware aufzudecken. Die Kombination aus hybriden und erweiterten Analysen vor und nach der Ausführung bietet einzigartige Möglichkeiten und erlaubt die Gewinnung von mehr IOCs als bei jeder anderen Sandbox-Lösung. Alle aus dem hybriden Analysemodul extrahierten Daten werden automatisch verarbeitet und in Malware-Analyseberichte integriert.

Hybrid-Analysis.com ist eine kostenlose Online-Community für Malware-Analysen, bei der Benutzer Dateien zur detaillierten Analyse einreichen können, ohne dass ihnen Kosten entstehen. Außerdem können Benutzer tausende vorhandener Malware-Berichte durchsuchen oder über die Website sowie die gut dokumentierte REST-API Beispieldateien und IOCs herunterladen.

Hybrid-Analysis.com ist ein unabhängiger Service, der von Falcon Sandbox bereitgestellt wird und einen hervorragenden Einblick in die Technologie hinter Falcon Sandbox gibt. Der Service bietet jedoch nur Zugriff auf einen Teil der Falcon Sandbox-Funktionen. Das folgende Diagramm zeigt einige wichtige Unterschiede:

Ja, an Falcon Sandbox übermittelte Dateien sind privat. Alle übermittelten Dateien und die dazugehörigen Berichte werden in der zuverlässig abgesicherten Falcon-Plattform gespeichert und gepflegt.

Entwickler aktueller Malware kennen die Sandbox-Technologie und haben ihre Malware so gebaut, dass die schädlichen Aktivitäten entweder gestoppt oder verborgen werden, wenn sie einen externen Prozess erkennen, der die Datei überwacht. Sandbox-Überwachungslösungen der ersten Generation laufen auf der Anwendungsebene (User-Modus), um Aufrufe der Systembibliothek abzufangen. Diese lassen sich leicht erkennen. Falcon Sandbox implementiert die Überwachung auf Betriebssystemebene (Kernel-Modus), sodass der Zielprozess unberührt bleibt, was seine Entdeckung erschwert. Die Kernel-Modus-Überwachung von Falcon Sandbox hat sich bei der Erkennung im Umlauf befindlicher und aktueller Malware-Exemplare als zuverlässig und äußerst effektiv erwiesen. Die erstklassige CrowdStrike-Technologie zur Erkennung von Sandbox- und VM-Umgehungsmaßnahmen (wie durch Benchmark-Tools wie Pafish oder VMDE demonstriert) erlaubt Analysen selbst besonders stark getarnter Malware. Falcon Sandbox wird permanent von CrowdStrike aktualisiert, um neue Umgehungstechnologien zu berücksichtigen, und überprüft die Leistung mit internen Benchmark-Tools sowie mithilfe des öffentlichen Community-Angebots Hybrid-Analysis.com, das sich Tag für Tag beweisen muss.

Falcon Sandbox skaliert automatisch. Mit der richtigen Lizenz können Sie leicht bis zu 25.000 Dateien pro Monat verarbeiten. Diese Skalierbarkeit können Sie nutzen, ohne dass Ihnen Kosten für die Infrastruktur entstehen.

Falcon Sandbox unterstützt PE-Dateien (.exe, .scr, .pif, .dll, .com, .cpl usw.), Office (.doc, .docx, .ppt, .pps, .pptx, .ppsx, .xls, .xlsx, .rtf, .pub), PDF, APK, ausführbare JAR-Dateien, Windows Script Component (.sct), Windows-Shortcuts (.lnk), Windows-Hilfe (.chm), HTML Application (.hta), Windows Script File (*.wsf), JavaScript (.js), Visual Basic (*.vbs, *.vbe), Shockwave Flash (.swf), Perl (.pl), PowerShell (.ps1, .psd1, .psm1), Scalable Vector Graphics (.svg), Python- (.py) und Perl (.pl)-Skripte, ausführbare Linux ELF-Dateien, MIME RFC 822 (*.eml) sowie Outlook *.msg-Dateien.

Sie können Archive mit oder ohne Kennwort hochladen: ace, arj, 7z, bzip2, gzip2, iso, rar, rev, tar, wim, xz und zip. Wenn Sie ein Kennwort festlegen möchten, nutzen Sie immer „infected“.

In Falcon Sandbox können Benutzer festlegen, wie Malware ausgeführt wird. Zu den verfügbaren Optionen zählen das Festlegen von Datum/Uhrzeit, Umgebungsvariablen, Befehlszeilenoptionen, Kennwörtern für PDF/Office-Dokumente uvm. Außerdem stehen Ihnen viele „Action-Skripte“ zur Auswahl, die während der Ausführung Benutzerverhalten imitieren (z. B. Mausklicks und -bewegungen, Tastatureingaben usw.), um Malware aufzudecken, die sich vor Sandbox-Technologien zu verbergen versucht.

Verhaltensbasierte Indikatoren definieren ähnlich wie Angriffsindikatoren (IOAs) äußerst riskante Aktivitäten oder Aktivitätsabfolgen, die als potenziell schädlich angesehen werden können. Dazu gehört beispielsweise das Hinzufügen eines Autostart-Eintrags, die Änderung einer Firewall-Einstellung, das Schreiben einer bekannten Ransomware-Datei auf den Datenträger oder das Senden von Daten an ungewöhnliche Ports. Verhaltensbasierte Indikatoren bieten einen umfassenderen Überblick über das potenzielle Risiko der Datei und werden zum Identifizieren zuvor unbekannter Bedrohungen genutzt. Falcon Sandbox umfasst mehr als 700 generische Verhaltensindikatoren, die ständig aktualisiert und erweitert werden.

Falcon Sandbox unterstützt Windows Desktop XP, Vista, 7, 8, 10 (32- und 64-Bit) sowie Ubuntu/RHEL Linux (32- und 64-Bit). Außerdem unterstützen wir statische Dateianalysen für Android-APK-Dateien.

Falcon Sandbox-Berichte bieten eine Zusammenfassung der Reaktionsmaßnahmen bei Zwischenfällen, Links zu verwandten Sandbox-Analyseberichten, viele IOCs, die Attribution von Bedrohungsakteuren, rekursive Dateianalysen, Details zu Dateien, Screenshots der Ausführung, Laufzeit-Prozessstrukturen, Netzwerkverkehrsanalysen, extrahierte Zeichenfolgen sowie Reputationsprüfungen der IP-Adresse/URL. Außerdem werden die Berichte mit Informationen von AlienVault OTX, VirusTotal und CrowdStrike Intelligence ergänzt, die weitere Attribution von Bedrohungsakteuren, zugehörige Malware-Exemplare und mehr liefern. Außerdem finden Sie in den CrowdStrike Falcon Sandbox-Berichten einige Beispiele.

Ja, Falcon Sandbox bietet eine Vielzahl von Suchoptionen und erlaubt auch die Kombination von Suchbegriffen. Sie können nach dem Namen einer Virusfamilie, einem Bedrohungsakteur, konkreten Dateitypen, Hash-Werten, #Tags und ausgelösten Verhaltensindikatoren suchen. Sie können auch nach Berichten zu Bedrohungen suchen, die an bestimmte IP-Adressen, Länder, URLs uvm. gesendet wurden.

Die rekursive Analyse ist eine einzigartige Funktion, mit der überprüft wird, ob die analysierte Datei zu einer größeren Kampagne, Malware-Familie oder einem Bedrohungsakteur gehört. Falcon Sandbox durchsucht automatisch die branchenweit größte Malware-Suchmaschine nach zugehörigen Exemplaren und kann die Analyse innerhalb von Sekunden auf alle Dateien ausdehnen. Dies ist wichtig, weil Analysten dadurch ein tieferes Verständnis vom Angriff und umfangreichere IOCs erhalten, mit denen sie das Unternehmen besser schützen können.

Falcon Sandbox wird auf Abonnementbasis lizenziert, wobei der Preis von der Anzahl der Dateien abhängt, die Falcon Sandbox pro Monat analysiert.

Wenn Sie weitere Informationen erhalten möchten, kontaktieren Sie uns bitte.