Open in app

Sign in

Write

Sign in

Elastic Security — Detectando o EICAR

João Neto
3 min readJan 31, 2023

--

INTRODUÇÃO

Olá, leitores!

Imagino que se você não tinha tido problemas com vírus em seu computador, provavelmente conhece alguém que já teve. Outro ponto que tenho certeza que você já deve ter ouvido é do tão temido ransonware.

A Elastic tem atuado fortemente nos produtos dela relacionados a segurança e nesse artigo de hoje demonstrarei o passo a passo para validar se a solução de segurança de endpoint da Elastic consegue identificar o “malware” conhecido como EICAR.

HANDS-ON

Primeiro passo é adicionar o integration “Elastic Defend” em um política do Fleet Server. Nesta PoC selecionei a opção “Next-Generation Antivirus”:

Sua política do Fleet Server deverá ter ficado assim:

Clique na política “Elastic Defend”, desça a página até o final e marque a opção “Register as antivirus”, salve a política:

Instale o Elastic Agent em uma estação (Basta seguir o passo a passo abaixo):

Assim que estiver instalado e comunicando a tela ficará assim:

No menu Security valide se os dados estão sendo coletados:

Na máquina onde instalamos o Elastic Agent vamos “infectá-la” com o EICAR, mas não se preocupe, ele é um malware “controlado”

O EICAR test file é um arquivo de 68 bytes que possui uma linha de caracteres, desenvolvido pelo European Institute of Computer Anti-Virus Research, é usado para testar a eficiência dos antivírus na detecção de vírus conhecidos sem qualquer risco ao computador.

Salve a string abaixo em um bloco de notas no computador:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Aqui ainda estou usando uma técnica de evasão famosa, coloquei o nome do arquivo como “i am not a virus”:

Assim que eu salvo o arquivo já sou notificado pelo Elastic Agent com a mensagem “Malware Alert” e o arquivo é imediatamente deletado do computador:

Ao olhar no Kibana no menu de “Dectection & Response” já tenho as notificações de detecção de malware:

Olhando com mais detalhes tenho todo o fluxo da ameaça:

É até possível ver um fluxo do ataque com detalhes de cada etapa:

Legal né? Espero que seja útil para você como é útil para mim!!

FINE!

Essa era a dica que tinha para hoje, te vejo em breve!

Isso é tudo, pessoal ;)

REFERÊNCIA

Link da documentação oficial: https://www.elastic.co/pt/security/endpoint-security/
https://www.eicar.org/

Elastic
Security
Eicar
Elastic Endpoint Security

--

--

João Neto

Written by João Neto

37 Followers

Especialista Elasticsearch, entusiasta na área de segurança da informação, cientista louco e acredita que melhor maneira de aprender é através do humor.

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams