- CrowdStrike es nombrada líder en el Magic Quadrant™ de Gartner® de 2024, en la categoría de plataformas de protección de endpoints
Pruebas de ataques avanzadas para Mac
Nota: Estos comandos introducirán cambios temporales en el dispositivo para ilustrar ejemplos reales. No introducen malware real. Puedes realizar simulaciones con malware real en CloudShare, el entorno virtual de Windows. Las instrucciones están en la guía de Windows.
Duración estimada
Mínimo de 20 minutos dependiendo del
número de pruebas que quieras realizar
Requisitos
Sistema operativo Windows o Mac
Navegador Google Chrome
1. Técnicas de evasión de medidas de defensa
- Abre un terminal.
- Introduce o copia y pega este comando:
cd ~/Desktop; cp /usr/bin/whoami whoami.pdf; ./whoami.pdf;s rm whoami.pdf
- Después, ve a la interfaz de usuario de CrowdStrike Falcon® y selecciona Actividad > Detecciones. Verás una alerta nueva que indica que se ha detectado una actividad maliciosa.
ⓘ Esta detección demuestra la capacidad de Falcon para responder a comportamientos maliciosos con indicadores de ataque (IOA). Los IOA son un conjunto de acciones que una aplicación o un adversario deben realizar para garantizar el éxito de un ataque. Los IOA observan la ejecución de estos pasos, la intención del adversario y los resultados que este trata de lograr. Son más fiables que los indicadores de compromiso (IOC) o las firmas ya que permiten a Falcon Prevent frenar amenazas nuevas y desconocidas. Este comando utiliza el formato PDF para crear una copia de whoami y ejecutarla. Al modificar el formato de una herramienta existente, Falcon detecta una ocultación. Finalmente, el comando elimina el archivo para que el usuario no tenga que realizar tareas de limpieza o volver atrás.
El volcado de credenciales consiste en el robo de los datos de inicio de sesión de una cuenta. Normalmente, los atacantes roban un hash o el propio texto de la contraseña. Las credenciales pueden emplearse para realizar un movimiento lateral o para acceder a información restringida. Este comando solicitará las credenciales de un usuario al "shadowhash" desde el terminal. Puede utilizarse en un dispositivo MacOS para obtener información empleada para descifrar contraseñas. No es necesario realizar tareas de limpieza al terminar.
2. Detección de robo de credenciales
- Abre un terminal.
- Introduce o copia y pega este comando:
sudo dscl . read /Users/$USER dsAttrTypeNative:ShadowHashData
- Vuelve a la interfaz de usuario de Falcon y selecciona Actividad > Detecciones. Verás que hay un nuevo Evento de prevención de un volcado de credenciales mediante tácticas y técnicas para obtener acceso a credenciales.
- Verás una insignia de verificación verde cuando la actividad haya sido bloqueada correctamente.
¿Te ha resultado útil?
¿Te ha resultado útil?
Valoramos mucho tus comentarios y nos ayudan a mejorar nuestra capacidad para atenderte a ti y a los demás usuarios de esta y de otras guías. Envía tu opinión sobre este apartado de la guía de la prueba a falcontrial@crowdstrike.com.
