falcon-prevent - RunkIntel

# CrowdStrike Falcon Prevent (NGAV) > NGAV · Vendor: [[_crowdstrike|CrowdStrike]] ## Visão Geral O **CrowdStrike Falcon Prevent** é o módulo de Next-Generation Antivirus (NGAV) da plataforma Falcon. Ao contrário de antivírus tradicionais baseados em assinaturas, o Falcon Prevent utiliza modelos de **machine learning treinados diretamente no sensor** (on-sensor ML) para bloquear ameaças conhecidas e desconhecidas com base em características estáticas e comportamentais dos binários - sem necessidade de conectividade com a nuvem para a decisão de bloqueio. O Falcon Prevent opera como a camada de **prevenção** da plataforma, complementando o [[falcon-edr|Falcon EDR]] (que foca em detecção e investigação) e o [[falcon-overwatch|Falcon OverWatch]] (threat hunting gerenciado). Os três módulos compartilham o mesmo agente leve - não há instalação adicional para habilitar o NGAV em um endpoint já gerenciado pelo Falcon. **Dados do produto:** - Categoria: NGAV - Vendor: [[_crowdstrike|CrowdStrike]] - Modelo de prevenção: ML on-sensor + cloud-delivered model updates - Proteção offline: Sim (modelo ML residente no sensor) ## Capacidades de Prevenção ### Machine Learning Prevention O modelo ML do Falcon Prevent analisa mais de 50 atributos de um binário antes de sua execução - incluindo strings de importação, entropia, estrutura PE, chamadas de API e histórico de reputação global. A decisão de bloqueio ocorre em milissegundos, sem consultar a nuvem, garantindo proteção mesmo em ambientes air-gapped ou com conectividade intermitente. O modelo é atualizado via sensor updates regulares - a CrowdStrike treina continuamente o modelo com novos malwares coletados globalmente pelo Threat Graph. ### Exploit Blocking O módulo de **bloqueio de exploits** protege processos em memória contra técnicas de exploração avançadas, sem necessidade de assinaturas específicas por CVE: - **Heap Spray**: detecta padrões de alocação de memória típicos de exploits de heap spray ([[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution]]) - **ROP (Return-Oriented Programming)**: monitora gadgets de ROP e desvios de fluxo de execução via Shadow Stack emulado - **COOP (Call-Oriented Programming)**: variante do ROP que encadeia chamadas de método - coberta por análise de fluxo de controle - **Process Hollowing**: impede injeção de código via vaziamento de processo ([[t1055-012-process-hollowing|T1055.012 - Process Hollowing]]) Esse módulo é particularmente relevante para exploração de vulnerabilidades como [[cve-2024-3400|CVE-2024-3400]] onde o exploit envolve execução de código arbitrário em memória. ### Ransomware Protection A proteção anti-ransomware do Falcon Prevent opera em múltiplas camadas: - **Honeypot files**: cria arquivos iscas em locais estratégicos do sistema de arquivos - se um processo tentar criptografar esses arquivos, é imediatamente bloqueado e encerrado - **VSS Protection**: impede a deleção de Volume Shadow Copies ([[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]]), técnica universal de ransomware para eliminar backups locais - **Behavioral blocking**: detecta padrões de cifração em massa - enumeração rápida de arquivos seguida de renomeação com extensão desconhecida Malwares como [[lockbit]] e [[s0368-notpetya]] possuem comportamentos de cifração e propagação reconhecíveis por essas regras comportamentais - o Falcon Prevent bloqueia na fase inicial antes que dano significativo sejá causado. ### Script Control O **Script Control** do Falcon Prevent monitora e bloqueia execução de scripts maliciosos em interpretadores comuns: - **PowerShell** ([[t1059-001-powershell|T1059.001 - PowerShell]]): visibilidade completa de scripts, bloqueio de comandos codificados em Base64, AMSI integration - **Windows Command Shell** ([[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]]): bloqueio de sequências de comandos usadas em staging de payloads - **Python/Ruby/Perl**: controle de execução de scripts em linguagens interpretadas - **VBScript/JScript** ([[t1059-005-visual-basic|T1059.005 - Visual Basic]]): frequentemente usados por grupos como [[g0099-blind-eagle-apt-c-36|Blind Eagle (APT-C-36)]] em campanhas de spearphishing contra organizações brasileiras O Script Control pode ser configurado para **modo auditoria** (log sem bloqueio), **modo bloqueio moderado** (bloqueia apenas scripts com indicadores claros de malícia) ou **modo bloqueio total** (bloqueia qualquer script não assinado digitalmente). ## Integração com Ameaças O Falcon Prevent é calibrado contra malwares e TTPs observados em campanhas reais rastreadas pelo [[_crowdstrike|CrowdStrike Intelligence]]: - **[[s0154-cobalt-strike]]**: o staging do Cobalt Strike (download de beacon via stager HTTP/S, reflective DLL injection) é bloqueado pelo módulo de ML e pelo bloqueio de process injection - o Threat Graph correlaciona os IOCs de C2 conhecidos para identificar variantes evasivas - **[[lockbit]]**: o comportamento de cifragem em massa do LockBit, combinado com deleção de VSS, é bloqueado na fase de pre-encryption pela proteção anti-ransomware - **[[s0368-notpetya]]**: o componente de propagação via SMB (EternalBlue) e o módulo de sobrescrita de MBR são detectados pelo exploit blocking e pelo ML estático antes da execução - **[[g0099-blind-eagle-apt-c-36|Blind Eagle (APT-C-36)]]**: grupo de ameaça persistente com foco em América do Sul (incluindo Brasil) - utiliza scripts VBS ([[t1059-005-visual-basic|T1059.005 - Visual Basic]]) e PDFs maliciosos como vetores iniciais. O Script Control bloqueia a execução dos droppers VBS característicos do grupo. ## Vulnerabilidades Conhecidas | CVE | CVSS | Exploração | Patch | Data | |-----|------|------------|-------|------| | Nenhuma CVE catalogada | - | - | - | - | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", exploit-type AS "Exploração", patch-daté AS "Patch" FROM "vulnerabilities" WHERE contains(product, "Falcon Prevent") SORT patch-daté DESC ``` %% > [!latam] Relevância para Brasil e LATAM > A CrowdStrike está em crescimento acelerado no mercado brasileiro. O Falcon Prevent é especialmente relevante para proteção contra grupos como Blind Eagle (APT-C-36), com forte atuação na América do Sul, e contra trojans bancários como Grandoreiro que usam VBScript como vetor inicial. ## Notas Relacionadas **Vendor:** [[_crowdstrike|CrowdStrike]] **Produtos relacionados:** [[falcon-edr|Falcon EDR]] · [[falcon-overwatch|Falcon OverWatch]] **Malwares bloqueados:** [[s0154-cobalt-strike]] · [[lockbit]] · [[s0368-notpetya]] · [[s0559-sunburst]] **Atores monitorados:** [[g0099-blind-eagle-apt-c-36|Blind Eagle (APT-C-36)]] · [[lockbit|LockBit Operators]] · [[g0032-lazarus-group|Lazarus Group]] · [[g0016-apt29|APT29 / Cozy Bear]] **Técnicas relacionadas:** [[t1059-001-powershell|T1059.001 - PowerShell]] · [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] · [[t1059-005-visual-basic|T1059.005 - Visual Basic]] · [[t1547-001-registry-run-keys|T1547.001 - Registry Run Keys]] · [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] · [[t1055-012-process-hollowing|T1055.012 - Process Hollowing]] · [[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution]] **Setores:** [[financial]] · [[government]] · [[healthcare|saúde]]