- CrowdStrike è stata nominata Leader nel Magic Quadrant™ 2024 di Gartner® per le piattaforme di protezione degli endpoint.
Simulazioni di attacco avanzate: Mac
NOTA: questi comandi apporteranno modifiche temporanee alla macchina per illustrare esempi del mondo reale. Tuttavia, non utilizzano malware reali. È possibile condurre scenari di test con malware reali nell'ambiente virtuale CloudShare basato su Windows. Queste istruzioni sono disponibili nella guida di Windows.
Durata stimata
Minimo 20 minuti a seconda della
quantità di test che si desidera condurre
Requisiti
Sistema operativo Windows o Mac
Browser Google Chrome
1. Tecniche di aggiramento delle difese
- Apri un terminale.
- Digita o copia e incolla questo comando:
cd ~/Desktop; cp /usr/bin/whoami whoami.pdf; ./whoami.pdf; rm whoami.pdf
- Quindi, vai all'interfaccia utente di Falcon e vai a Attività > Rilevamento. Dovrebbe essere visualizzato un nuovo avviso, che indica che l'attività malevola è stata rilevata.
ⓘ Questo rilevamento illustra la capacità di Falcon di rispondere ai comportamenti dannosi con gli IOA. Un Indicatore di attacco, o IOA, rappresenta una serie di azioni che un'applicazione o un avversario deve condurre durante un attacco riuscito. Gli IOA sono relativi all'esecuzione di questi passaggi, all'intento dell'avversario e ai risultati che l'avversario sta cercando di ottenere. Questo è un metodo superiore all'uso degli Indicatori di Compromissione (IOC) o delle firme, perché consente a Falcon Prevent di bloccare minacce nuove e sconosciute. Questo comando specifico crea una copia di whoami con l'estensione pdf e la esegue. La modifica dell'estensione di uno strumento esistente attiverà un rilevamento Falcon per masquerading. Il comando include la rimozione del file, quindi non è necessaria alcuna ulteriore pulizia o inversione.
Il dump delle credenziali è il processo di ottenimento delle informazioni di accesso e password dell'account, normalmente sotto forma di hash o password in chiaro, dal sistema operativo e dal software. Le credenziali possono essere utilizzate per eseguire movimenti laterali e accedere a informazioni riservate. Il comando elencato di seguito interroga lo 'shadowhash' di un utente tramite terminale. Questo comando può essere utilizzato su un host MacOS per raccogliere informazioni utilizzate per decrittografare le password. Non è necessaria alcuna pulizia del sistema dopo l'esecuzione di questo comando.
2. Rilevamento del furto di credenziali
- Apri un terminale.
- Digita o copia e incolla questo comando:
sudo dscl . read /Users/$USER dsAttrTypeNative:ShadowHashData
- Torna all'interfaccia utente di Falcon e vai su Attività > Rilevamenti; vedrai che è presente un nuovo evento di Prevenzione con la Tattica e la Tecnica di accesso alle credenziali tramite il Dumping delle credenziali.
- Il segno di spunta verde indica che l'attività è stata bloccata correttamente.
È stato utile?
È stato utile?
Il tuo feedback è molto apprezzato e ci aiuterà a migliorare la nostra capacità di servire te e gli altri utenti di questa e altre guide. Invia commenti e suggerimenti su questa sezione della guida di prova a falcontrial@crowdstrike.com.
