- クラウドストライクは2024 Gartner® Magic Quadrant™ for Endpoint Protection Platformsでリーダーの1社に位置付けられました
高度な攻撃のテスト:Mac
注:これらのコマンドは、実際の例を示すためにマシンに一時的に変更を加えます。ただし、実際のマルウェアは使用されません。WindowsベースのCloudShare仮想環境で、実際のマルウェアを使用したテストシナリオを体験することもできます。それらの手順については、Windowsのガイドをご覧ください。
推定所要時間
実施するテストの量に応じて
最低20分
要件
WindowsまたはMacオペレーティングシステム
Google Chromeブラウザ
1. 防衛回避の手法
- ターミナルを開きます。
- 以下のコマンドを入力するか、コピーして貼り付けます。
cd ~/Desktop; cp /usr/bin/whoami whoami.pdf; ./whoami.pdf; rm whoami.pdf
- 次に、Falcon UIで「Activity(アクティビティ)」>「Detections(検知)」に移動します。悪意のあるアクティビティが検知されたことを示す新しいアラートが表示されます。
ⓘ この検知は、FalconがIOAを使用して悪意のある振る舞いに対応できることを示しています。攻撃の痕跡 (IOA) は、アプリケーションまたは攻撃者が攻撃を成功させるために実行する必要がある一連のアクションを表します。IOAは、このような攻撃ステップの実行、攻撃者の意図、攻撃者が達成しようとしている成果に関連して、どのような痕跡が残されるかに着目した情報です。IOAを使用すると、Falcon Preventにおいて新たな未知の脅威をもブロックできるため、侵害の痕跡 (IOC) またはシグネチャを使用するよりも優れています。ここで示したコマンドは、whoamiのコピーを作成し、拡張子pdfを付加して、そのファイルを実行しています。既存のツールの拡張子を変更すると、Falconにより偽装が検知されます。このコマンドには、クリーンアップや元に戻す手間が必要ないよう、ファイルを削除する処理が含まれています。
認証情報ダンプとは、通常はハッシュまたはクリアテキストのパスワードの形で、オペレーティングシステムやソフトウェアからアカウントのログインおよびパスワード情報を入手するプロセスです。この認証情報を使用してラテラルムーブメントし、機密情報へのアクセスが試みられます。以下に示すコマンドでは、ターミナルからユーザーの「ShadowHash」をクエリしています。macOSホストでこのコマンドを使用すると、パスワードの復号に使用される情報を収集できます。このコマンドを実行後、システム上でクリーンアップを行う必要はありません。
2. 認証情報の窃取の検知
- ターミナルを開きます。
- 以下のコマンドを入力するか、コピーして貼り付けます。
sudo dscl . read /Users/$USER dsAttrTypeNative:ShadowHashData
- Falcon UIに戻り、「Activity(アクティビティ)」>「Detections(検知)」に移動し、「Tactic & technique: Credential Access via Credential Dumping(戦術および手法:認証情報アクセス(認証情報ダンプを使用))」の新しい防御イベントがあることを確認します。
- 緑色のチェックマークは、このアクティビティが正常にブロックされたことを示します。
この情報は役に立ちましたか?
この情報は役に立ちましたか?
お客様からのフィードバックをお待ちしております。このガイドなどをご利用の皆様に対するサービス向上の参考にさせていただきます。トライアルガイドのこのセクションに関するフィードバックを、falcontrial@crowdstrike.com宛てにお寄せください。
