- CrowdStrike fue nombrada líder en el Cuadrante Mágico™ de Gartner® 2024 para plataformas de protección de endpoint
Pruebas de ataque avanzadas: Mac
NOTA: Estos comandos realizarán cambios temporales en la máquina para demostrar ejemplos del mundo real. Sin embargo, no utilizan malware real. También puedes realizar situaciones de prueba con malware real en el entorno virtual CloudShare basado en Windows. Estas instrucciones se pueden encontrar en la guía de Windows.
Tiempo estimado
Mínimo de 20 minutos dependiendo de la
cantidad de pruebas que deseas realizar
Requisitos
Sistema operativo Windows o Mac
Navegador Google Chrome
1. Técnicas de evasión de defensa
- Abre una terminal.
- Escribe o copia y pega este comando:
cd ~/Desktop; cp /usr/bin/whoami whoami.pdf; ./whoami.pdf; rm whoami.pdf
- A continuación, ve a la interfaz de usuario de Falcon y navega a Actividad > Detecciones. Deberías ver una nueva alerta que indica que se detectó actividad maliciosa.
ⓘ Esta detección ilustra la capacidad de Falcon para responder a comportamientos maliciosos con IOA. Un indicador de ataque o IOA, representa una serie de acciones que una aplicación o adversario debe realizar durante un ataque exitoso. Los IOA se ocupan de la ejecución de estos pasos, de la intención del adversario y de los resultados que este intenta conseguir. Esto es superior al uso de indicadores de compromiso (IOC) o firmas porque le permite a Falcon Prevent bloquear amenazas nuevas y desconocidas. Este comando específico hace una copia de whoami con la extensión pdf y, luego, lo ejecuta. Cambiar la extensión de una herramienta existente activará una detección de Falcon por mascarada. El comando incluye la eliminación del archivo, por lo que no es necesario realizar ninguna limpieza o anulación adicional.
La descarga de credenciales es el proceso de obtener información de inicio de sesión y contraseña de cuentas, normalmente en forma de hash o contraseña en texto no cifrado, del sistema operativo y el software. Las credenciales pueden utilizarse para realizar movimientos laterales y acceder a información restringida. El comando que se muestra a continuación consultará el “shadowhash” de un usuario a través del terminal. Este comando podría utilizarse en un host MacOS para recopilar información utilizada para descifrar contraseñas. No es necesario limpiar el sistema después de ejecutar este comando.
2. Detección de robo de credenciales
- Abre una terminal.
- Escribe o copia y pega este comando:
sudo dscl . read /Users/$USER dsAttrTypeNative:ShadowHashData
- Vuelve a la interfaz de usuario de Falcon y ve a Actividad > Detecciones y verás que hay un nuevo evento de Prevención con la táctica y técnica de acceso a credenciales mediante la descarga de credenciales.
- La marca verde indica que esta actividad se bloqueó de manera exitosa.
¿Te resultó útil?
¿Te resultó útil?
Tus comentarios son muy apreciados y nos ayudarán a mejorar nuestra capacidad para servirte a ti y a otros usuarios de esta y otras guías. Envía tus comentarios sobre esta sección de la guía de prueba a falcontrial@crowdstrike.com.
