Dineshtl/CrowdStrike-Falcon-EDR-Investigations

# CrowdStrike Falcon EDR — 威胁调查与主动响应 **作者：** Thumma Lakshmikanth Gari Dinesh **角色：** SOC Analyst (Tier 1) **工具：** CrowdStrike Falcon EDR ## 调查 1 — ChaosRansomwareV4 勒索软件检测与遏制 ### 事件概述 | 字段 | 详情 | |---|---| | **日期** | 2026年6月7日 | | **分析师** | Thumma Lakshmikanth Gari Dinesh | | **严重程度** | 🔴 严重 | | **主机** | HACKBOOK (Windows 11 工作站) | | **判定** | 真阳性 | | **状态** | 已遏制 | ### 第 1 步 — 警报检测 在监控 CrowdStrike Falcon 活动仪表板时， 在端点检测队列中发现了一个严重级别的警报。 该警报显示总共有 75 条检测记录，其中包含一条 在 2026 年 6 月 7 日 09:25:17 于主机 HACKBOOK 上检测到的严重优先级警报。 触发文件名为 **Office 2019.exe.exe** — 由于其具有双重 .exe.exe 扩展名，立刻引起了怀疑， 这是一种经典的伪装技术，恶意软件借此伪装成 合法的应用程序。 **检测详情：** - 文件名：Office 2019.exe.exe - 严重程度：严重 - 来源：按需扫描 - 战术：通过妥协指标进行的自定义情报 - 技术 ID：CST0005 - IOA 名称：IOCPolicySHA256Critical - 分配给：Thumma Dinesh   ### 第 2 步 — Hash 分析与威胁情报 提取了文件的 SHA256 hash，并使用 Falcon 内置的威胁情报进行了分析： **SHA256:** 954d8fcd6b74d76999f9ec033ca855ffdab6595be23039f03bc4c6017fa3932c **活动选项卡调查结果：** - 外部流行度：低 — 全球范围内极少见到该文件 - 内部流行度：低 — 在网络内部传播有限 - 受影响主机：2 - 检测数：2 - 最后发现时间：2026年6月7日 10:12:30 - Hash 动作：阻止 — Falcon 正在主动阻止此 hash 外部流行度低是恶意软件的强烈指标 — 像 Microsoft Office 这样的合法软件在全球 具有极高的流行度。一个伪装成 Office 的稀有 可执行文件高度可疑。  **情报选项卡调查结果：** 情报选项卡提供了关键调查结果 — 该 SHA256 hash 被确认为与 **ChaosRansomwareV4** 恶意软件家族匹配。这是一种已知的 勒索软件变种，能够进行文件加密、备份 破坏以及在网络中的横向移动。 - 恶意软件家族：ChaosRansomwareV4 - 文件大小：0 Bytes — 空洞/打包文件，常见的规避手段 - 最后更新时间：2026年6月7日 11:05:24 **此阶段的判定：🔴 真阳性 — 在主机 HACKBOOK 上确认存在勒索软件**  ### 第 3 步 — 扫描结果审查 审查了按需扫描结果，以了解 感染的完整范围： - 具有检测记录的主机：1 (HACKBOOK) - 扫描文件数：4 - 遍历文件数：98 - **0/2 文件被隔离** ⚠️ — 恶意文件在主机上仍然 处于活跃状态 - 遏制状态：正常 — 主机尚未被隔离 - 扫描发起者：arvind@siemxpert.com 0 个文件被隔离的事实证实， 勒索软件仍在 HACKBOOK 上活跃且未被遏制 — 需要立即采取响应行动。  ### 第 4 步 — 主动响应与遏制 鉴于已确认的勒索软件身份和活跃的 威胁状态，立即执行了以下 响应行动： **行动 1 — 网络遏制** 通过 Falcon 的遏制功能对主机 HACKBOOK 发起了 网络遏制。这将使该主机与所有网络 通信隔离 — 防止勒索软件 横向传播到其他端点或加密 网络共享。 - 网络遏制状态：等待遏制中 ✅ - 主机状态：离线 ✅ - 主机已成功与网络隔离  **行动 2 — 尝试 RTR** 尝试发起 Real Time Response (RTR) 会话以连接 到 HACKBOOK，进行实时进程调查并终止恶意 进程。然而，RTR 无法执行，因为 主机在网络遏制后处于离线状态 — 这是预期且正确的 SOC 程序。 遏制始终优先于实时取证， 以防止进一步的传播。 **行动 3 — 禁用凭证** 作为一项额外的缓解措施，HACKBOOK 机器凭证 被禁用，以防止任何利用受感染主机的 被窃取凭证进行未经授权访问的企图 — 即使在具有部分网络访问权限的情况下也是如此。 ### 第 5 步 — 升级上报 在遏制和禁用凭证之后， 该事件被记录并升级上报给 L2 分析师， 以进行： - 对 HACKBOOK 的全面取证分析 - 恢复与还原程序 - 对第二个受影响主机的调查 - 对初始感染媒介的根本原因分析 ### MITRE ATT&CK 映射 | 战术 | 技术 ID | 技术 | 证据 | |---|---|---|---| | 防御规避 | T1036 | 伪装 | 双重 .exe.exe 扩展名 | | 影响 | T1486 | 为影响而加密数据 | ChaosRansomwareV4 家族 | | 初始访问 | T1566 | 钓鱼 | 可能的投递方式 | ### 结论 2026 年 6 月 7 日，通过 CrowdStrike Falcon EDR 在主机 HACKBOOK 上 检测到了严重的勒索软件警报。文件 Office 2019.exe.exe 通过 SHA256 hash 情报匹配被确认 为 ChaosRansomwareV4。立即采取了 响应行动，包括网络遏制和禁用凭证，以防止横向移动和 进一步的妥协。该事件被升级上报给 L2，以进行 全面的取证调查和恢复。 **最终判定：🔴 真阳性 — ChaosRansomwareV4 勒索软件 | 已遏制并升级上报** ## 展示的技能 - 端点警报分类 — 严重级别 - SHA256 hash 分析与威胁情报 - IOC 识别与验证 - 恶意软件家族识别 — ChaosRansomwareV4 - 按需扫描结果解读 - 网络遏制执行 - 作为缓解措施的凭证禁用 - MITRE ATT&CK 映射 - 事件升级上报程序 ## 联系方式 - LinkedIn: linkedin.com/in/dineshtl - GitHub: github.com/Dineshtl - 电子邮件: dineshtl821@gmail.com

标签：DNS 解析, EDR, 勒索软件分析, 安全运营中心, 终端安全, 网络映射, 脆弱性评估, 防御加固