- CrowdStrike wurde im Gartner® Magic Quadrant™ for Endpoint Protection Platforms 2024 als führender Anbieter eingestuft.
Abwehr raffinierter Angriffe testen: Mac
HINWEIS: Diese Befehle nehmen vorübergehende Änderungen am Rechner vor, um reale Beispiele vorzuführen. Es wird jedoch keine echte Malware verwendet. In der Windows-basierten virtuellen CloudShare-Umgebung können Sie jedoch auch Szenarios für Tests mit echter Malware erstellen. Die entsprechenden Anweisungen finden Sie im Leitfaden für Windows.
Geschätzter Zeitaufwand
Mindestens 20 Minuten, je nach Anzahl und Dauer
der Tests, die Sie durchführen möchten
Anforderungen
Windows- oder Mac-Betriebssystem
Browser: Google Chrome
1. Techniken zur Umgehung der Schutzmaßnahmen
- Öffnen Sie ein Terminal.
- Geben Sie (ggf. durch Kopieren und Einfügen) folgenden Befehl ein:
cd ~/Desktop; cp /usr/bin/whoami whoami.pdf; ./whoami.pdf; rm whoami.pdf
- Wechseln Sie dann zur Falcon-Bedienungsoberfläche, und navigieren Sie zu Activity > Detections (Aktivität > Erkennungen). Sie sollten eine neue Warnung sehen, dass die schädliche Aktivität erkannt wurde.
ⓘ Diese Erkennung illustriert die Fähigkeit von Falcon, mit IOAs auf schädliche Verhaltensweisen zu reagieren. Ein Angriffsindikator (IOA) stellt eine Reihe von Schritten dar, die eine Anwendung oder ein Angreifer für einen erfolgreichen Angriff ausführen muss. IOAs geben Informationen über die Durchführung dieser Schritte, die Absicht des Bedrohungsakteurs und die Ergebnisse, die dieser zu erzielen versucht. Sie haben gegenüber Kompromittierungsindikatoren (IOCs) oder Signaturen den Vorteil, dass Falcon Prevent damit neue und unbekannte Bedrohungen blockieren kann. Dieser Befehl fertigt eine Kopie von „whoami“ mit der Erweiterung „pdf“ an und führt sie dann aus. Eine Änderung der Erweiterung eines vorhandenen Tools löst in Falcon eine Erkennung eines Verschleierungsversuchs aus. Der Befehl schließt das Entfernen der Datei ein, sodass keine zusätzliche Bereinigung oder Umbenennung erforderlich ist.
Credential Dumping ist der Prozess, bei dem Anmeldedaten und Kennwort für ein Konto aus dem Betriebssystem oder der Software gewonnen werden, normalerweise im Format eines Hash oder eines Klartext-Kennworts. Die Anmeldedaten können dann für laterale Bewegungen und den Zugriff auf Daten verwendet werden, die Zugriffsbeschränkungen unterliegen. Der unten aufgeführte Befehl fragt das „shadowhash“ für einen Benutzer über das Terminal ab. Dieser Befehl kann auf einem MacOS-Host verwendet werden, um Informationen zur Entschlüsselung von Kennwörtern zu erhalten. Nach der Ausführung des Befehls ist auf dem System keine Bereinigung erforderlich.
2. Erkennung des Diebstahls von Anmeldedaten
- Öffnen Sie ein Terminal.
- Geben Sie (ggf. durch Kopieren und Einfügen) den folgenden Befehl ein:
sudo dscl . read /Users/$USER dsAttrTypeNative:ShadowHashData
- Wechseln Sie wieder zur Falcon-Benutzeroberfläche, und wählen Sie Activity > Detections (Aktivität > Erkennungen). Sie sehen ein neues Prevention-Ereignis mit Tactic & Technique „Credential Access via Credential Dumping“ (Anmeldedaten aus Credential Dumping).
- Das grüne Häkchen zeigt, dass die Aktivität erfolgreich blockiert wurde.
War das nützlich?
War das nützlich?
Wir freuen uns über Ihr Feedback. Es hilft uns dabei, unsere Leitfäden für Sie und andere Nutzer weiter zu verbessern. Bitte senden Sie Ihr Feedback zu diesem Abschnitt des Testleitfadens an: falcontrial@crowdstrike.com.
