- CrowdStrike désigné leader dans le Magic Quadrant™ for Endpoint Protection Platforms 2024 de Gartner®
Test d'attaque avancé : Mac
REMARQUE : ces commandes appliqueront des modifications temporaires à la machine afin de montrer des exemples du monde réel. Cependant, elles n'utilisent pas de logiciels malveillants actifs. Vous pouvez également effectuer des scénarios de test avec des logiciels malveillants réels dans l'environnement virtuel CloudShare basé sur Windows. Ces instructions sont disponibles dans le guide Windows.
Durée estimée
20 minutes minimum, en fonction du
nombre de tests que vous souhaitez effectuer
Configuration requise
Système d'exploitation Windows ou Mac
Navigateur Google Chrome
1. Techniques de contournement des défenses
- Ouvrez un terminal.
- Saisissez ou copiez-collez cette commande :
cd ~/Desktop; cp /usr/bin/whoami whoami.pdf; ./whoami.pdf; rm whoami.pdf
- Ensuite, ouvrez l'interface utilisateur Falcon et accédez à Activity > Detections. Vous devriez voir une nouvelle alerte indiquant que l'activité malveillante a été détectée.
ⓘ Cette détection illustre la capacité de Falcon à répondre à des comportements malveillants avec des indicateurs d'attaque. Un indicateur d'attaque est constitué par une série d'actions qu'une application ou un cyberadversaire doit effectuer pour arriver à ses fins. Les indicateurs d'attaque s'intéressent à l'exécution de ces étapes, à l'intention du cyberadversaire et aux résultats qu'il tente d'obtenir. Ces indicateurs sont supérieurs aux indicateurs de compromission ou aux signatures, car ils permettent à Falcon Prevent de bloquer les cybermenaces nouvelles et inconnues. Cette commande spécifique crée une copie de whoami avec l'extension pdf, puis l'exécute. La modification de l'extension d'un outil existant déclenchera une détection Falcon pour usurpation. La commande incluant la suppression du fichier, aucun nettoyage ou annulation n'est nécessaire.
La collecte d'identifiants, ou « Credential Dumping », est le processus qui consiste à obtenir des informations de connexion et de mot de passe, généralement sous la forme d'un hachage ou d'un mot de passe en clair, à partir du système d'exploitation et du logiciel. Les identifiants peuvent ensuite être utilisés pour effectuer des mouvements latéraux et accéder à des informations restreintes. La commande indiquée ci-dessous interrogera le « shadowhash » pour un utilisateur via le terminal. Cette commande peut être utilisée sur un hôte MacOS afin de collecter des informations utilisées pour décrypter les mots de passe. Aucun nettoyage n'est nécessaire sur le système une fois cette commande exécutée.
2. Détection de vol d'identifiants
- Ouvrez un terminal.
- Saisissez ou copiez-collez cette commande :
sudo dscl . read /Users/$USER dsAttrTypeNative:ShadowHashData
- Revenez à l'interface utilisateur Falcon et allez à Activity > Detections. Vous constatez la présence d'un nouvel événement Prevention avec Tactic & Technique Credential Access via Credential Dumping.
- La coche verte indique que cette activité a été bloquée avec succès.
Cela vous a-t-il été utile ?
Cela vous a-t-il été utile ?
Vos commentaires nous sont précieux et nous aideront à améliorer notre capacité à vous servir, ainsi que d'autres utilisateurs de ce type de guide. Veuillez envoyer vos commentaires à propos de cette section du guide de la version d'évaluation à l'adresse falcontrial@crowdstrike.com.
