CrowdStrike OverWatch 検知の体験談

OverWatchとは

CrowdStrike には、他のEDRソリューションには無い「OverWatch」というオプションサービスがあります。

<OverWatchの特徴>

  • CrowdStrike社のハンティングチームがログを24時間365日監視
  • 機械的なふるまい検知やAIによる検知だけでは発見することが難しい巧妙な攻撃を検知し通知

CrowdStrikeでもEmotetなどの感染時に機械的に特徴的な振る舞いをするエクスプロイトの場合、確実に検知/防御/通知が行われます。ただし、システム内に潜伏し慎重に準備が進められる最先端の攻撃を見極めるためには、専門家による人の目を介した調査が必要なことがよくあります。CrowdStrike OverWatch にて、既存の防御システムでは見つかりにくいインシデントをハンティングしてもらうことで、事前に素早く処置が行えるため、被害の拡大を未然に防ぐことができます。

OverWatch の検知内容

今回は、その「OverWatch」による検知を経験する機会がありましたので、簡単に紹介してみたいと思います。

状況としましては、自分の端末でマルウェア解析でよく使われるツールやWindows 標準ツールを使用した調査方法を試しているときでした。突然、CrowdStrike の検知が通知がありました。よく見てみると検知された端末名は自分の端末でした。

内容を確認したしたところ、以下のことが記載されていました。

Suspicious Activity Notice:

Falcon OverWatch identified process enumeration and reconnaissance using `WMIC.exe`.

Additionally, Falcon OverWatch identified installation and execution of `ProcessHacker.exe`, a tool often used by malicious actors for the same purpose, prior to installation of malware.

CMD: wmic  /node:xxx.xxx.xxx.xxx /user:xxx  process  where name="svchost.exe" get name,commandline

CMD: "C:\Users\xxxx\OneDrive - css-snet.co.jp\02_work\20220130\Windows Internal\processhacker-2.39-setup.exe"

CMD: "C:\Program Files\Process Hacker 2\ProcessHacker.exe"

If this activity is unexpected, consider quarantining the asset.

マルウェアが隠されているプログラムの調査の手法を検証するため、Windows 標準ツールやプロセスのハッキングツールを使用してコンピュータのプロセスの状態を調べていました。実は、これらは攻撃者も活用するツールでもあるのですが、これが見事に検知されていました。破壊的な攻撃に移る前の内偵的な動きもしっかりと見ているということが実感できる出来事でした。