- CrowdStrike, 2024 Gartner® Magic Quadrant™의 엔드포인트 보호 플랫폼 부문에서 리더로 선정
지능형 공격 테스트: Mac
참고: 해당 명령은 실제 사례를 보여주기 위해 머신에 일시적인 변경 사항을 적용합니다. 하지만 라이브 맬웨어는 사용하지 않습니다. Windows 기반 CloudShare 가상 환경에서 실제 맬웨어로 테스트 시나리오를 수행할 수도 있습니다. 이에 대한 지침은 Windows 가이드에서 확인할 수 있습니다.
예상 시간
수행하려는 테스트의 양에 따라 최소 20분 이상 소요됩니다.
요구 사항
Windows 또는 Mac 운영 체제
Google Chrome 브라우저
1. 방어 회피 기술
- 터미널을 엽니다.
- 다음 명령을 입력하거나 복사 및 붙여넣기 합니다.
cd ~/Desktop; cp /usr/bin/whoami whoami.pdf; ./whoami.pdf; rm whoami.pdf
- 다음으로 Falcon UI로 이동하여 활동 > 탐지로 이동합니다. 악성 활동이 탐지되었음을 나타내는 새 경보가 표시됩니다.
ⓘ 이 탐지는 IOA를 통해 악성 행위에 대응하는 Falcon의 능력을 보여 줍니다. 공격 지표 또는 IOA는 애플리케이션 또는 공격자가 공격에 성공하는 동안 수행해야 하는 일련의 행동을 나타냅니다. IOA는 이러한 단계의 실행, 공격자의 의도, 공격자가 달성하려는 결과와 관련이 있습니다. IOA는 알려지지 않은 새로운 위협을 차단할 수 있기 때문에 침해 지표(IOC) 또는 서명을 사용하는 것보다 우수합니다. 이 명령은 pdf 확장자를 가진 whoami의 복사본을 만든 다음 실행합니다. 기존 도구의 확장자를 변경하면 Falcon이 가장을 탐지하게 됩니다. 이 명령에는 파일 제거가 포함되어 있으므로 추가 정리나 복구가 필요하지 않습니다.
자격 증명 덤핑은 운영 체제 및 소프트웨어에서 일반적으로 해시 또는 일반 텍스트 비밀번호의 형태로 계정 로그인 및 비밀번호 정보를 가져오는 프로세스입니다. 이후 자격 증명은 측면 이동을 수행하고 제한된 정보에 액세스하는 데 사용될 수 있습니다. 아래 명령은 터미널을 통해 사용자의 'shadowhash'를 쿼리합니다. 이 명령은 MacOS 호스트에서 비밀번호 복호화에 사용되는 정보를 수집하는 데 사용할 수 있습니다. 이 명령을 실행한 후에는 시스템에서 정리할 필요가 없습니다.
2. 자격 증명 도용 탐지
- 터미널을 엽니다.
- 다음 명령을 입력하거나 복사 및 붙여넣기 합니다.
sudo dscl . read /Users/$USER dsAttrTypeNative:ShadowHashData
- Falcon UI로 다시 전환하여 활동 > 탐지로 이동하면 자격 증명 덤핑을 통한 전술 및 기법 자격 증명 액세스가 포함된 새로운 방지 이벤트를 확인할 수 있습니다.
- 초록색 확인 표시는 이 활동이 성공적으로 차단되었음을 나타냅니다.
도움이 되었나요?
도움이 되었나요?
여러분의 피드백은 매우 소중하며 여러분과 다른 가이드 사용자들에게 더 나은 서비스를 제공하는 데 도움이 됩니다. 평가판 가이드의 본 섹션에 대한 피드백을 falcontrial@crowdstrike.com으로 보내 주시면 감사하겠습니다.
