CrowdStrike Falcon™ Sandbox FAQ

CrowdStrike® Falcon Sandbox est une solution d'analyse antimalware automatisée qui permet aux équipes de sécurité de combiner une cyberveille très complète avec les résultats de l'outil d'analyse en environnement sandbox le plus puissant du marché. Cette association unique apporte le contexte nécessaire aux analystes pour comprendre les attaques sophistiquées et adapter leurs systèmes de défense. Falcon Sandbox effectue une analyse en profondeur des menaces furtives et encore inconnues, enrichit les résultats grâce à la cyberveille et génère des indicateurs de compromission. Falcon Sandbox permet aux équipes de sécurité de tous niveaux de mieux comprendre les menaces auxquelles elles font face et d'utiliser ces connaissances pour se défendre contre les attaques futures.

Oui, les fichiers soumis à Falcon Sandbox demeurent confidentiels. Lors de la souscription d'une licence Sandbox, CrowdStrike crée une instance de cloud privé dédiée qui est entièrement réservée à votre organisation.  Tous les fichiers soumis à analyse et tous les rapports associés sont stockés et gérés dans cet environnement isolé. Si vos politiques de confidentialité interdisent l'envoi de fichiers de logiciel malveillant dans le cloud, il est possible d'installer une version sur site de Falcon Sandbox, Falcon Sandbox On-Prem.

La technologie Hybrid Analysis combine les données d'exécution avec l'analyse du vidage de mémoire pour en extraire tous les chemins d'exécution possibles, même ceux des logiciels malveillants les plus furtifs. Cette association entre la technologie Hybrid Analysis et les analyses approfondies pré- et post-exécution de Falcon Sandbox offre des résultats exceptionnels, avec un plus grand nombre d'indicateurs de compromission que toute autre solution d'analyse en environnement sandbox. Toutes les données produites par le moteur Hybrid Analysis sont traitées automatiquement et sont intégrées aux rapports Falcon Sandbox.

Consultez la page de la technologie Hybrid Analysis.

Les auteurs de logiciels malveillants actuels connaissent bien la technologie sandbox et leur malware est muni de mécanismes qui interrompent ou cachent l'activité malveillante lorsqu'il détecte la surveillance du fichier par un processus externe. Les moniteurs sandbox classiques, de première génération, s'exécutent au niveau de l'application (mode utilisateur) pour intercepter les appels de bibliothèque, faciles à détecter. Falcon Sandbox met en œuvre la surveillance au niveau du système d'exploitation (mode noyau), agissant en toute discrétion et laissant le processus cible intact. La surveillance en mode noyau de Falcon Sandbox s'est avérée robuste et extrêmement efficace contre les échantillons de logiciels malveillants identifiés en environnement réel et très récents. CrowdStrike met en œuvre des technologies de classe mondiale pour la détection des contournements de machine virtuelle et d'environnement sandbox, illustrées par quelques outils de référence tels Pafish ou VMDE. Ce sont ces technologies qui permettent l'analyse des malwares les plus furtifs. CrowdStrike met continuellement à jour Falcon Sandbox afin de conserver son avance sur les techniques de contournement les plus récentes, et vérifie les performances de son produit en interne, avec des outils de référence augmentés de renseignements provenant du public (sur Hybrid-Analysis.com) qui sont testés chaque jour sur le terrain.

Hybrid-Analysis.com est un site gratuit de lutte contre les logiciels malveillants, une communauté d'utilisateurs qui soumettent leurs fichiers pour permettre une analyse en profondeur. Qui plus est, les utilisateurs peuvent effectuer des recherches sur des milliers de rapports sur les logiciels malveillants existants ou télécharger des exemples et des indicateurs de compromission, via le site web et des API REST bien documentées.

Hybrid-Analysis est un service indépendant utilisant Falcon Sandbox, et une excellente façon d'évaluer la technologie de Falcon Sandbox. Hybrid-Analysis offre un sous-ensemble des fonctionnalités de Falcon Sandbox Private Cloud. Le tableau suivant illustre quelques-unes des différences :

Falcon Sandbox s'adapte automatiquement aux volumes et dimensions nécessaires. Avec la licence appropriée, il est possible de traiter jusqu'à 25 000 fichiers par jour. Ce niveau d'adaptabilité est fourni sans aucun coût d'infrastructure à la charge du client.

Les clients Falcon Sandbox On-Prem peuvent aisément traiter jusqu'à 25 000 fichiers par jour, selon les déploiements. Il est possible de créer des systèmes distribués à grande échelle en utilisant le broker à équilibrage de charge Falcon Sandbox Bridge et de traiter des centaines de milliers de fichiers par jour. Pour obtenir des conseils sur les choix de déploiement, merci de contacter [email protected].

Falcon Sandbox On-Prem est conçu pour les organisations qui nécessitent un contrôle personnalisé sur la façon dont s'exécute la détonation des logiciels malveillants, qui ont en place des règles de confidentialité très strictes excluant la possibilité de laisser circuler des fichiers en dehors de l'organisation, ou qui ont des besoins en analyse dépassant 25 000 fichiers par jour.

Falcon Sandbox On-Prem inclut toutes les fonctionnalités de Falcon Sandbox Private Cloud, auxquelles s'ajoutent les caractéristiques suivantes :

• Autorise des images de machine virtuelle invitée personnalisées ou de référence. (Les hyperviseurs VMWare et VirtualBox sont pris en charge.)
• Analyse en parallèle les fichiers d'un nombre illimité d'environnements virtuels, offrant la détection authentique des attaques ciblées.
• Possibilité de paramétrer Falcon Sandbox selon des exigences spécifiques. Falcon Sandbox On-Prem comporte des centaines d'options de configuration y compris des « scripts d'action » (pour simuler l'activité humaine pendant la détonation) et des indicateurs de comportement personnalisés. Vous pouvez modifier le verdict de malware pour y attribuer une note de risque personnalisée.
• Possibilité de faire tourner Sandbox alors qu'il est complètement déconnecté et isolé du réseau, tout en simulant une connectivité réseau (avec FakeNet-NG ou INetSim).
• Autorise une série d'intégrations, par exemple l'envoi de résultats d'analyse en retour aux outils SIEM en utilisant CEF syslog.
• Possibilité d'utiliser des règles YARA personnalisées, des listes blanches de valeurs de hachage ou des certificats, etc.

CrowdStrike fournit l'ensemble des logiciels utilisés par Falcon Sandbox On-Prem en tant qu'éléments d'un processus d'installation automatisé. CrowdStrike avertit tous ses clients lorsqu'une nouvelle version est disponible, avec des liens vers la documentation et vers le package de distribution. La mise à jour du système est automatisée, simple et rapide.

Falcon Sandbox Private Cloud est la version la plus souvent adoptée. Le modèle cloud offre une efficacité immédiate, ne nécessite aucun investissement en infrastructure et constitue une option de déploiement d'un bon rapport prix-performance.  

Falcon Sandbox On-Prem est conçu pour les organisations qui exigent un contrôle personnalisé sur la façon dont s'exécute la détonation des logiciels malveillants, qui ont en place des règles de confidentialité très strictes excluant la possibilité de laisser circuler des fichiers en dehors de l'organisation, ou qui ont des besoins en analyse dépassant 25 000 fichiers par jour.

Le tableau suivant offre un résumé de ces deux options :

Pour les clients Falcon Sandbox On-Prem : Falcon Sandbox Bridge permet la création d'un système Falcon Sandbox distribué capable de traiter des centaines de milliers de fichiers par jour.  Cette montée en charge est réalisée en ajoutant des serveurs physiques au système Falcon Sandbox On-Prem avec un contrôleur d'équilibrage de charge qui répartit les fichiers à l'arrivée sur un ou plusieurs serveurs d'applications désignés gérés par Falcon Sandbox Bridge.

Pour tous les clients Falcon Sandbox : Falcon Sandbox Bridge est capable de collecter des fichiers de plusieurs sources (boîtes aux lettres e-mail, disques réseau, etc.) et de les transmettre à Falcon Sandbox Private Cloud ou Falcon Sandbox On-Prem. La collecte de fichiers se fait en interrogeant la source du fichier à une fréquence définie par l'utilisateur. Une fois l'analyse terminée et les résultats concernant un fichier rassemblés (en fonction d'un niveau de menace défini par l'utilisateur ), une notification est envoyée par e-mail.

Falcon Sandbox prend en charge les fichiers PE (.exe, .scr, .pif, .dll, .com, .cpl, etc.), Office (.doc, .docx, .ppt, .pps, .pptx, .ppsx, .xls, .xlsx, .rtf, .pub), PDF, APK, JAR exécutables, Windows Script Component (.sct), Windows Shortcut (.lnk), Windows Help (.chm), HTML Application (.hta), Windows Script File (*.wsf), Javascript (.js), Visual Basic (*.vbs, *.vbe), Shockwave Flash (.swf), Perl (.pl), Powershell (.ps1, .psd1, .psm1), Scalable Vector Graphics (.svg), scripts Python (.py) et Perl (.pl), exécutables Linux ELF, MIME RFC 822 (*.eml) et les fichiers Outlook *.msg.

Les archives peuvent être téléchargées avec ou sans mot de passe : formats ACE, ARJ, 7z, bzip2, gzip2, ISO, RAR, REV, TAR, WIM, XZ et ZIP. Si un mot de passe est utilisé, ce doit être le mot obligatoire, « infected ».

Les formats de rapports sont notamment XML, MAEC (4.1), OpenIOC (1.1), MISP XML et JSON. Les rapports sont aussi fournis au format HTML ou PDF.

Falcon Sandbox permet à l'utilisateur de prendre les commandes en lui donnant la possibilité de paramétrer la manière selon laquelle la détonation du logiciel malveillant est déclenchée. Ces options sont notamment le réglage de l'heure et de la date, des variables environnementales, le paramétrage des options de ligne de commande, l'enregistrement de mots de passe pour les invites Adobe PDF et Office et d'autres encore. De plus, il est possible de choisir parmi plusieurs « scripts d'action » qui imitent le comportement d'un utilisateur (clics et déplacements de la souris, saisies au clavier, etc.) pendant une détonation, pour tenter de révéler un logiciel malveillant tentant d'échapper à la technologie sandbox.

Les indicateurs de comportement, qui sont similaires aux indicateurs d'attaque, sont le signe d'une activité à haut risque ou d'une série d'activités potentiellement malveillantes. Ce serait par exemple l'ajout d'une entrée dans un registre de démarrage automatique, la modification d'un des paramètres du pare-feu, l'écriture d'un ransomware connu sur le disque ou l'envoi de données vers des ports inhabituels. Les indicateurs de comportement donnent une idée du risque que peut représenter un fichier ; ils sont utilisés pour identifier des cybermenaces encore inconnues.  Falcon Sandbox comprend plus de 700 indicateurs de comportement génériques. Les indicateurs existants sont constamment mis à jour, et de nouveaux indicateurs y sont sans cesse ajoutés.

Nous prenons en charge Windows Desktop XP, Vista, 7, 8, 10 (32 et 64 bits) et Ubuntu/RHEL Linux (32 et 64 bits). Nous prenons également en charge l'analyse de fichier statique pour les fichiers Android APK. Les images de machine virtuelle personnalisée (avec VMWare et VirtualBox) sont prises en charge avec Falcon Sandbox On-Prem.

Les rapports Falcon Sandbox comprennent un résumé d'intervention sur incident, des liens vers des rapports d'analyse sandbox connexes, de nombreux indicateurs de compromission, des informations d'attribution de l'attaque, des analyses récursives de fichiers, des détails concernant les fichiers, des copies d'écran de la détonation, l'arborescence du processus d'exécution, des analyses du trafic du réseau, des chaînes extraites de fichiers et des recherches de réputation sur IP/URL. De plus, les rapports sont enrichis d'informations provenant de AlienVault OTX, de VirusTotal et de Falcon Intelligence, permettant l'attribution de la responsabilité de l'attaque, des échantillons en rapport avec l'incident, etc. Il est également possible de consulter les rapports fournis par Falcon Sandbox pour y trouver des exemples.

Oui. Falcon Sandbox offre une série d'options de recherche, y compris la possibilité de combiner les termes de recherche. Il est possible de faire des recherches par nom de famille de virus, acteur de menace, type de fichier, hachage, balise, ou en fonction du déclenchement ou non d'un indicateur de comportement spécifique. Il est même possible d'obtenir des rapports contenant une adresse IP, un pays, un domaine ou une URL spécifiques, et plus encore.

Falcon Sandbox offre une large gamme d'intégrations, notamment :

• VirusTotal and OPSWAT Metadefender
• AlienVault OTX
• SIEM utilisant le format CEF (en savoir plus)
• NSRL (listes blanches)
• Thug honeyclient (p. ex. analyse d'un exploit d'URL)
• Suricata (détection de cybermenaces réseau)
• TOR (pour éviter l'identification externe par adresse IP)
• Outils d'orchestration (p. ex. Demisto, Phantom) (en savoir plus)
• FAME (cadre d'analyse antimalware  (en savoir plus)
• Cortex (analyse d'indicateurs observés à l'échelle) (en savoir plus)

L'API REST de Falcon Sandbox, avec toutes ses fonctions, est également disponible. (En savoir plus)

L'analyse récursive est une fonctionnalité unique permettant de déterminer si un fichier analysé est associé à une campagne de plus grande envergure, à une famille de logiciels malveillants ou à un certain attaquant. Falcon Sandbox utilise automatiquement le moteur de recherche le plus puissant du marché pour trouver des échantillons semblables et, en quelques secondes, étendre l'analyse à l'ensemble des fichiers. Cette analyse est importante parce qu'elle apporte une plus profonde compréhension d'une attaque et une plus large gamme d'indicateurs de compromission, qui peuvent alors être utilisés pour mieux protéger l'organisation.

Oui. Il existe en anglais, allemand, espagnol, français, italien, néerlandais, polonais, portugais, chinois, turc, russe, vietnamien, coréen, thaïlandais, indonésien, malaisien et arabe.

La licence Falcon Sandbox est disponible sur la base d'un abonnement, dont le prix se calcule en fonction du nombre de fichiers analysés par Falcon Sandbox par mois. Des options d'abonnement flexibles sont disponibles, à la fois pour Falcon Sandbox Private Cloud et On-Prem.

Pour en savoir plus, veuillez prendre contact avec CrowdStrike.