O CrowdStrike Falcon® Sandbox é uma solução automatizada de análise de malware que empodera as equipes de segurança ao agregar uma inteligência de ameaças abrangente aos resultados da solução de sandbox mais poderosa do mundo. Essa combinação exclusiva fornece o contexto que permite que os analistas entendam melhor os sofisticados ataques de malware e ajustem suas defesas. O Falcon Sandbox realiza uma análise profunda de ameaças evasivas e desconhecidas, enriquece os resultados com inteligência de ameaças e fornece indicadores de comprometimento (IOCs) acionáveis. O Falcon Sandbox permite que equipes de cibersegurança de todos os níveis de habilidade aumentem sua compreensão das ameaças que enfrentam e usem esse conhecimento para se defender contra ataques futuros.
FAQ do CrowdStrike Falcon® Sandbox
Quer ver o CrowdStrike Falcon® Sandbox em ação? Comece com uma avaliação gratuita
A análise híbrida é uma abordagem de análise de arquivo que combina dados de tempo de execução com análise de dump de memória para extrair todos os caminhos de execução possíveis, mesmo para o malware mais evasivo. A combinação de análise híbrida e uma extensa análise pré e pós-execução oferece uma capacidade única, resultando na extração de mais IOCs do que qualquer outra solução sandbox concorrente. Todos os dados extraídos do mecanismo de análise híbrida são processados automaticamente e integrados aos relatórios de análise de malware.
Hybrid-Analysis.com é uma comunidade on-line de análise de malware gratuita que permite aos usuários enviar arquivos para uma análise aprofundada e sem custo. Além disso, os usuários podem pesquisar milhares de relatórios de malware existentes ou baixar amostras e IOCs por meio do site e da bem documentada API REST.
O Hybrid-Analysis é um serviço independente, alimentado pelo Falcon Sandbox, e é uma ótima maneira de avaliar a tecnologia Falcon Sandbox. Hybrid-Analysis oferece um subconjunto de recursos do Falcon Sandbox. O gráfico a seguir destaca algumas das diferenças:
Recurso | Hybrid-Analysis.com | Falcon Sandbox |
AMBIENTES DE DETONAÇÃO | ||
Windows 7 (32/64) |
✓ |
✓ |
Windows 10 | ✓ | |
Ubuntu 16 (64) | ✓ | ✓ |
ENVIOS DE ARQUIVOS | ||
Máximo de envios de arquivos por mês | Até 30 como Convidado | Até 25.000 |
Analisar Files/Archives | ✓ | ✓ |
Analisar URLs | ✓ | ✓ |
Envio sem re CAPTCHA | ✓ | |
Reanalisar arquivos extraídos | ✓ | |
DOWNLOADS | ||
Amostras Binárias/PCAPS | ✓ | ✓ |
MAEC, STIX, MISP, OpenIOC | ✓ | ✓ |
PDF, JSON, HTML | ✓ | |
RECURSOS DO RELATÓRIO | ||
Resumo e veredito da visão de risco | ✓ | ✓ |
Veja todos os indicadores maliciosos/suspeitos (IOCs) | ✓ | |
Veja todos os acionadores de regras IDS da rede | ✓ | |
Privacidade total para seus relatórios | ✓ | |
INTEGRAÇÃO | ||
Integração com CrowdStrike Intel (atribuição, IOCs, IDS, YARA) | ✓ | |
Integração com Falcon MalQuery | ✓ | ✓ |
API REST para envio e pesquisa de arquivos | ✓ | ✓ |
Suporte para ferramentas SOAR (por ex., Phantom, Demisto) | ✓ |
Sim, os arquivos enviados ao Falcon Sandbox são confidenciais. Todos os arquivos enviados e relatórios associados são armazenados e mantidos na plataforma Falcon, que é altamente segura.
Os autores dos malwares modernos estão cientes da tecnologia sandbox e instrumentam seu malware para interromper ou ocultar atividades maliciosas ao detectar um processo externo monitorando o arquivo. Os monitores sandbox tradicionais de primeira geração são executados na camada da aplicação (modo de usuário) para interceptar as chamadas da biblioteca do sistema, que são facilmente detectadas. O Falcon Sandbox implementa o monitoramento no nível do sistema operacional (modo kernel), deixando o processo de destino intocado, o tornando muito difícil de detectar. O monitor do modo kernel do Falcon Sandbox tem se provado robusto e extremamente eficaz contra as amostras de malware mais atuais e “in the wild”. A tecnologia de detecção anti-sandbox e anti-VM de classe mundial da CrowdStrike (demonstrada por ferramentas de benchmark como Pafish ou VMDE) permite a análise da maioria dos malwares evasivos. A CrowdStrike está constantemente atualizando o Falcon Sandbox para ficar à frente das novas técnicas de evasão e verifica seu desempenho com ferramentas de benchmark internas e pela comunidade pública Hybrid-Analysis.com que o é testado em campo todos os dias.
O Falcon Sandbox escala automaticamente. Você pode processar facilmente até 25.000 arquivos por mês com a licença apropriada. Esse nível de escalabilidade é fornecido sem nenhum custo de infraestrutura para você.
O Falcon Sandbox oferece suporte para arquivos PE (.exe, .scr, .pif, .dll, .com, .cpl, etc.), Office (.doc, .docx, .ppt, .pps, .pptx, .ppsx, .xls, .xlsx, .rtf, .bar), PDF, APK, JAR executável, Componente de script do Windows (.sct), Atalho do Windows (.lnk), Ajuda do Windows (.chm), Aplicação HTML (.hta), Arquivo de script do Windows (*.wsf), Javascript (.js) , Visual Basic (*.vbs, *.vbe), Shockwave Flash (.swf), Perl (.pl), Powershell (.ps1, .psd1, .psm1), Scalable Vector Graphics (.svg), scripts Python (.py) e Perl (.pl), executáveis Linux ELF, arquivos MIME RFC 822 (*.eml) e Outlook *.msg.
Você pode fazer upload de arquivos com ou sem senha: ace, arj, 7z, bzip2, gzip2, iso, rar, rev, tar, wim, xz e zip. Se você usar uma senha, a senha típica, “infectada”, será necessária.
O Falcon Sandbox permite que os usuários assumam o controle, oferecendo o recurso de definir configurações para determinar como o malware é detonado. Essas opções incluem definir data/hora, variáveis ambientais, opções de linha de comando, fornecer senhas para prompts de PDF/Office e muito mais. Além disso, há muitas opções de “scripts de ação” para você selecionar, que imitarão o comportamento do usuário (como cliques e movimentos do mouse, digitação no teclado, etc.) durante a detonação para ajudar a expor um malware tentando se esconder da tecnologia sandbox.
Os indicadores comportamentais, semelhantes aos indicadores de ataque (IOAs), definem uma atividade de alto risco ou uma série de atividades realizadas em sequência que podem ser consideradas potencialmente maliciosas. Alguns exemplos seriam adicionar uma entrada a um registro de inicialização automática, alterar uma configuração de firewall, gravar um arquivo de ransomware conhecido em disco ou enviar dados em portas incomuns. Os indicadores comportamentais fornecem uma visão mais completa do risco potencial de um arquivo e são usados para identificar ameaças até então desconhecidas. O Falcon Sandbox inclui mais de 700 indicadores comportamentais genéricos, que estão em constante atualização e expansão.
O Falcon Sandbox é compatível com Windows Desktop XP, Vista, 7, 8, 10 (32 e 64 bits) e Ubuntu/RHEL Linux (32 e 64 bits). Também oferecemos suporte à análise de arquivos estáticos para arquivos APK do Android.
Os relatórios Falcon Sandbox incluem um resumo da resposta a incidentes, links para relatórios de análise de sandbox relacionados, muitos IOCs, atribuição de ator, análise recursiva de arquivo, detalhes de arquivo, capturas de tela da detonação, árvore de processo de tempo de execução, análise de tráfego de rede, strings extraídas e pesquisas de reputação de IP/URL. Além disso, os relatórios são enriquecidos com informações do AlienVault OTX, VirusTotal e da CrowdStrike Intelligence, fornecendo atribuição de atores de ameaças, amostras relacionadas e muito mais. Como exemplos, você pode revisar relatórios do CrowdStrike’s Falcon Sandbox.
Sim, o Falcon Sandbox fornece uma gama de opções de pesquisa, incluindo a capacidade de combinar termos de pesquisa. Você pode procurar por um nome de família de vírus, ator de ameaça, tipo de arquivo específico, hash, #tag e se um indicador de comportamento específico foi acionado. Você pode até encontrar relatórios que contataram um país, domínio, URL, endereço IP específico e muito mais.
A análise recursiva é um recurso exclusivo que determina se o arquivo analisado está relacionado a uma campanha maior, família de malware ou ator de ameaça. O Falcon Sandbox pesquisará automaticamente no maior mecanismo de pesquisa de malware do setor para buscar amostras relacionadas e, em segundos, expandir a análise para incluir todos os arquivos. Isso é importante porque fornece aos analistas uma compreensão mais profunda do ataque e um conjunto maior de IOCs que podem ser usados para proteger melhor a organização.
O Falcon Sandbox é licenciado por assinatura, com base no número de arquivos analisados pelo Falcon Sandbox por mês.
Para mais informações, entre em contato conosco.