premium support Kopie...In diesem Lab lernen Sie, wie Sie mit der neuen EDR-Lösung von Matrix42 umgehen können . Lernziele . ... gegebenenfalls schneller absolviert werden. Sie bestimmen

Hands-on Lab

Endpoint Detection and Response

www.matrix42.com | © Matrix42 2

Beschreibung In diesem Lab lernen Sie, wie Sie mit der neuen EDR-Lösung von Matrix42 umgehen können

Lernziele Am Ende dieses Hands-On-Labs wissen Sie • Wie Sie die Installation des enSilo-Agenten optimieren

können • Wie Sie die enSilo-Umgebung auf Ihre Bedürfnisse hin

anpassen können • Wie Sie Viren aktiv mit Hilfe von enSilo blockieren können

Hinweise Die Inhalte dieses Labs werden Ihnen im Rahmen einer kurzen Präsentation erläutert.

Das Lab führt Sie Schritt für Schritt an das Lernziel heran.

Bitte nutzen Sie die Lab-Anleitung auf den nächsten Seiten. Das Lab ist für etwa 45 Minuten konzipiert, kann gegebenenfalls schneller absolviert werden. Sie bestimmen die Geschwindigkeit.

Bitte stellen Sie Ihre Fragen den Moderatoren Ihrer Lab-Session.

Danke, dass Sie sich für dieses Lab entschieden haben.

Viel Spaß!


Vorbereitung

Melden Sie sich am Server SRVWSM001 mit dem Benutzernamen „imagoverum\vvogel“ und dem Passwort „Matrix42“ an. Ihnen wurde ein Server (SRVWSM001) als virtuelle Maschinen bereitgestellt. Die virtuelle Umgebung stellt die mustergültige Installation innerhalb einer virtuellen Firma dar, die Sie nun administrieren können. Download benötigter Dateien

Motivation: Die für das HandsOnLab benötigten Dateien von Box.net auf den Server herunterladen.

• Auf dem Desktop das Verzeichnis „Demo Data“ öffnen • Die Datei „Download enSilo Files.cmd“ starten


• Die im Internet Explorer angezeigten Dateien EINZELN herunterladen (pro Datei rechts außen auf „Weitere Optionen >> Herunterladen“).

• Beim Download angezeigtes Fenster für Registrieren/Anmelden schließen (im Fenster das Kreuz rechts oben) und bei der Frage vom Internet Explorer auf „Speichern“ klicken.

• Für jede Datei erneut den Download durchführen • Nach erfolgtem Download der letzten Datei den Internet Explorer schließen


• Im Windows Explorer in das Download-Verzeichnis (…\Downloads) wechseln und die ZIP-Dateien entpacken (jeweils rechte Maustaste auf Datei >> Extract files… >> OK); bei der Datei Petya.zip und flash_install.zip lautet das Passwort: infected


Erster Start der enSilo Konsole

Motivation: die erste Anmeldung an der enSilo Console, bei der ein neues Passwort vergeben werden muss. Beim Anmelden auf den richtigen Mandantennamen achten!

• Im Download-Verzeichnis (…\Downloads) die heruntergeladene Datei „enSilo Console.cmd“ starten, bei der Sicherheitswarnung „Ausführen“ wählen. Dadurch wird der Chrome Browser mit der URL der enSilo Console gestartet (https://matrix42demo.console.ensilo.com)

https://matrix42demo.console.ensilo.com/


• Anmelden mit folgenden Daten: User Name: Admin >> ACHTUNG: auch der User name ist Case sensitive!!! Password: Matrix42 Organization Name: holXXX (wobei XXX für Ihren Mandanten steht!!!)

• Beim ersten Login muss das Passwort geändert werden, z.B. in Matrix42XXX, (wobei XXX für Ihren Mandanten steht!!!) >> zumindest Passwort mit mindestens 8 Zeichen!!!


• Falls die Console nicht komplett dargestellt wird das Browserbild zoomen (z.B. auf 67%, rechts oben auf die drei Punkte klicken, dann beim „Zoomen“ auf das Minuszeichen klicken)


Vorbereitung in der Console

Motivation: Erste Anpassungen in der Console, um z.B. das enSilo Icon im System-Tray anzeigen zu lassen.

• Auf „Administration“ klicken, dann links auf „Tools“ • Haken bei „Automatic Updates“ wegnehmen • Beide Haken bei „End Users Notifications“ setzen, rechts außen mit „Safe“ speichern


Einrichten der Umgebung

Motivation: Die Umgebung kann nach den Bedürfnissen des Kunden angepasst werden. Hier wird erläutert, wie z.B. Maschinen in verschiedenen Gruppen mit jeweils eigenen Policies organisiert werden können.

• Auf „Inventory“ klicken, dann auf „Collectors“ • In „Collectors“ auf „Degraded“ klicken, auf “All” ändern

• Eine neue Gruppe anlegen mit „Create Group“, Name: Simulation


• Die neue Gruppe “Simulation“ zur Default-Gruppe machen, dazu auf das Symbol direkt vor dem Namen klicken. Dadurch wird das Symbol gelb, die neue Gruppe ist jetzt die Default-Gruppe

• Auf „Security Settings“ klicken • Die drei bestehenden Policies werden kopiert. Dazu den Haken neben „All“ setzen,

dadurch werden alle Policies markiert • Auf „Clone policy“ klicken • Bei den Namen der neuen Policies am Ende das „clone“ löschen, am Anfang den

Namen mit „Simulation“ ergänzen


• Jetzt werden die Policies mit der neuen Collector-Gruppe verbunden, dazu die drei neuen Policies markieren

• Oben auf „Assign collector group” klicken, im erscheinenden Fenster dann die neue Collector-Gruppe „Simulation“ auswählen, mit „Assign“ bestätigen

• In der enSilo Console die Policies „Simulation Exfiltration Prevention” und „Simulation Ransomware Prevention” in den Modus “Prevention” setzen, dazu auf den Schieberegler klicken. Dieser wird dann grün. Jetzt ist der aktive Schutz eingeschaltet

• Hinweis: Die Policy „Simulation Execution Prevention” NICHT aktiv schalten, damit die weiteren Tests mit den Virendateien funktionieren!


Konfiguration des enSilo Collectors

Motivation: Der enSilo Collector ist der Agent für die zu beschützenden Maschinen. Um eine möglichst einfache Verteilung z.B. über ein Empirum-Paket oder GPO’s zu gewährleisten kann die Installationsdatei im Vorfeld schon konfiguriert werden.

• Im Download-Verzeichnis (…\Downloads) gehen und die Datei „enSiloCollectorSilentInstallerGenerator_3.1.0.379.exe“ starten


• Zur Auswahl der MSI-Datei (Agent Installation Package) rechts neben dem leeren Feld auf „Browse…“ klicken und die angebotene MSI-Datei (enSiloCollectorInstaller64_3.1.1.542.MSI) auswählen

• Bei „Aggregator address:port“ die IP-Adresse des enSilo Aggregator-Servers eingeben: 35.198.154.187, der Port bleibt auf „8081“

• Das Registration password eingeben: Matrix42 • Collector Group bleibt leer • Organization: holXXX (wobei XXX für Ihren Mandanten steht!!!) • Alle weiteren Einstellungen so beibehalten • Unten links auf „Generate“ klicken, nach erfolgreicher Erstellung (Hinweis) mit „Exit“

beenden.

• Hinweis: die angegebene MSI-Datei kann nicht erneut konfiguriert werden!


Installieren des enSilo Collectors

Motivation: Für das HandsOnLab wird den enSilo Agent auf dem Server installiert.

• Im Download-Verzeichnis (…\Downloads) die MSI-Datei starten, bei allen Fenstern auf „Next“ bzw. „Install“ klicken

• Das Fenster mit „Close“ schließen


• Der enSilo Agent wurde auf dem Server installiert • Hinweis: diese MSI kann über Empirum auf den Zielmaschinen installiert werden, ein

vorkonfiguriertes Paket finden Sie in der Matrix42 Package Cloud; alternativ kann die MSI auch über die Microsoft GPO’s verteilt werden oder über jedes beliebige andere Softwareverteilsystem.


Aufgabe 1: Versuch den enSilo Dienst zu stoppen

Motivation: Der enSilo-Agent kann auch von lokalen Administratoren nicht gestoppt werden. Dies schützt somit auch vor Viren, die sich Adminrechte besorgt haben und Schutzmechanismen wie enSilo stoppen wollen.

• In „Services“ (Aufruf z.B. über Suche) den enSilo Agenten suchen: „enSilo Collector Service“

• Versuchen den Dienst zu stoppen, z.B. über rechte Maustaste auf dem Dienst >> nicht möglich, da der Dienst auch mit Adminrechten nicht gestoppt werden kann


Aufgabe 2: Kontrolle ob die Verbindung zum enSilo Server steht

Motivation: Der enSilo-Agent muss sich beim Server melden, damit die Schutzfunktion des Agenten vorhanden ist.

• Auf dem Server selbst im Systray prüfen, ob das enSilo Icon erscheint

• In der enSilo Console unter „Inventory“ prüfen, ob in der neuen Default-Gruppe „Simulation“ der Server auftaucht. Dazu den Inhalt des Browsers mit F5 mehrmals aktualisieren.

• Darauf achten das der Status „Running“ ist


Aufgabe 3: Starten einer böswilligen Aktion mit BadRabbit MIT Blockieren, Analyse der in enSilo aufgelaufenen Meldungen, weitergehende Forensic

Motivation: Jetzt wird über eine harmlos erscheinende Datei ein Virus auf dem Server gestartet. Hier sehen wir enSilo in voller Aktion, indem der bösartige Prozess geblockt wird. Darüber hinaus sehen wir in der Console, was genau das Virus versucht hat, um dem Befall entgegenzuwirken. In diesem Fall löschen bzw. Prüfen der flash_install-Dateien im Firmennetz und auf allen Maschinen.

• Der Virus BadRabbit steckt in einer harmlos erscheinenden flash-Player Install-Datei.

• Die Datei „flash_install.exe“ ausführen. Es poppt im System-Tray eine Meldung auf, dass die Ausführung geblockt wurde.

• Zur Analyse in die enSilo Console gehen. Gegebenenfalls muss man sich neu anmelden. In den Bereich „Event Viewer“ wechseln und durch Klick auf „Advanced Data“ den Eventgraph anzeigen


• Im oberen Bereich unter „Events“ werden die negativen Aktionen aufgelistet, die geblockt wurden. Im unteren Bereich wird für jedes Event grafisch dargestellt, was für Aktionen vom Virus durchgeführt wurden. Der rote enSilo Kasten weist darauf hin, dass die finale bösartige Aktion geblockt wurde. Im Simulation Modus OHNE Blockfunktion wäre dieser Kasten grau. Hier mal die verschiedenen Events anklicken und sich die verschiedenen Graphen anschauen.


• Konkret auf folgendes Event klicken, danach auf den kleinen Pfeil klicken:

Hier werden die Versuche des Virus aufgezeigt, sich im Unternehmen zu verbreiten. Das geschieht so schnell, dass man mit manuellen Eingriffen keine Chance hätte das zu verhindern. Mit „Back“ kommt man zurück zur Events-Übersicht


• Auf folgendes Event klicken:

Hier sieht man sehr schön das der Virus versucht Dateien zu verschlüsseln. Dies wird von enSilo unterbunden.

• Weitere böswillige Aktionen des Virus wäre die gesamte Verschlüsselung der Festplatte. Auch dieses wurde von enSilo geblockt:


Aufgabe 4: Starten einer böswilligen Aktion über den Virus „Petya.exe“ MIT Blockieren, Analyse der in enSilo aufgelaufenen Meldungen, weitergehende Forensic

Motivation: Dieser Virus verschlüsselt die Festplatte. In der Analyse kann man auch direkt über die enSilo Console das Portal „Virus Total“ befragen, ob die gefundene Datei dort als Virus schon gelistet ist, und zwar für alle gängigen Antiviren Produkte.

• Im Download-Verzeichnis (…\Downloads) im Unterverzeichnis „Petya“ die Datei „Petya.vir“ in „Petya.exe“ umbenennen

• Die Datei „Petya.exe“ starten. Diese Datei verschlüsselt Festplatten. Auch diese Aktion wird von enSilo geblockt:


• In der Console sieht das dann unter „Events“ so aus (mit F5 den Browserinhalt erneuern):

Zur weiteren Analyse des Events vor dem Event den Haken setzen und oben auf „Forensic“ klicken. Damit kann man die Events genauer untersuchen. Hier wird der Event-graph noch mal größer dargestellt. Man sieht das enSilo den Zugriff auf „DR0“ unterbunden hat, das steht für Drive0, die Systemfestplatte. Weiter Analysen sind durch Klicken rechts oben auf das Symbol für die „Stacks View“ möglich:


Hier kann man sehr schön den Event in seine einzelnen Prozesse aufgelistet sehen. Klickt man hier bei der ersten Zeile, in der die Datei Petya.exe steht, rechts auf den senkrechten Strich kann man direkt diese Datei in „Virus Total“ prüfen lassen:


Wie man sieht erkennt nicht jede Antiviren-Software den Virus Petya.exe…


Aufgabe 5: Deinstallation des enSilo-Agenten über die MSI (nur mit Passwort) und über die enSilo Console (ohne Passwort)

Motivation: Sollte der enSilo-Agent von einer Maschine deinstalliert werden müssen wird hier aufgezeigt, über welche Mechanismen die Deinstallation ausgeführt werden kann.

• Im Downloads-Verzeichnis, im Unterverzeichnis „enSilo Collector 3.0.0.257 und Generator“ die MSI starten und die Deinstallation auswählen. Diese ist nur mit dem Registration password, welches bei der Konfiguration der MSI gesetzt wurde, möglich. Das gilt auch für lokale Administratoren. Die Deinstallation dann bitte abbrechen.


• Die Deinstallation des enSilo-Agenten kann auch über die enSilo Console (ohne Angabe des Passwortes) erfolgen. Dazu in das „Inventory“ wechseln, den Server auswählen und „Uninstall“ auswählen:


Den Browser mit F5 aktualisieren, danach ist der Server aus dem Inventory verschwunden.


Zusatzaufgabe: Wer mag kann jetzt auf dem Server die Virendateien erneut starten und schauen was passiert… ohne Schutz durch enSilo

Motivation: Mal sehen was passiert, wenn ohne den Schutz von enSilo der Virus Petya.exe ausgeführt wird. Allerdings dauert das auf dem Server eine Weile, daher sind die verschiedenen Schritte hier als Screenshots dargestellt.

• Petya.exe: es kommt ein Bluescreen hoch, nach einem Reboot erfolgt ein CHKDSK, danach kommt ein Totenkopf und nach einem Return die Seite mit der Aufforderung, Geld für den passenden Schlüssel zu zahlen …das dauert auf dem Server etwas…daher hier die Screenshots vom Ablauf:


Ende

Sie haben dieses Hands on Lab erfolgreich abgeschlossen. Wir hoffen, Sie hatten Spaß dabei und konnten etwas Hilfreiches lernen.

Documents

premium support Kopie...In diesem Lab lernen Sie, wie Sie mit der neuen EDR-Lösung von Matrix42 umgehen können . Lernziele . ... gegebenenfalls schneller absolviert werden. Sie bestimmen