- Relatório Global de Ameaças 2025 da CrowdStrike: os adversários se adaptaram. E você?
Teste de ataque avançado: Mac
OBSERVAÇÃO: Esses comandos farão alterações temporárias na máquina para demonstrar exemplos do mundo real. No entanto, eles não usam malware ativo. Você também pode conduzir cenários de teste com malware real no ambiente virtual do CloudShare baseado em Windows. Essas instruções podem ser encontradas no guia do Windows.
Tempo estimado
Mínimo de 20 minutos, dependendo da quantidade de testes que você deseja realizar
Requisitos
Sistema operacional Windows ou Mac
Navegador Google Chrome
1. Técnicas de evasão de defesa
- Abra um terminal.
- Digite ou copie e cole este comando:
cd ~/Desktop; cp /usr/bin/whoami whoami.pdf; ./whoami.pdf; rm whoami.pdf
- Em seguida, vá para a IU do Falcon e navegue até Atividade > Detecções. Você deve ver um novo alerta, indicando que a atividade maliciosa foi detectada.
ⓘ Essa detecção ilustra a capacidade do Falcon de responder a comportamentos maliciosos com IOAs. Um indicador de ataque ou IOA representa uma série de ações que uma aplicação ou um adversário precisa realizar durante um ataque bem-sucedido. Os IOAs estão relacionados com a execução dessas etapas, a intenção do adversário e os resultados que ele está tentando alcançar. Isso é melhor do que usar indicadores de comprometimento (IOCs) ou assinaturas porque permite que o Falcon Prevent bloqueie ameaças novas e desconhecidas. Esse comando específico faz uma cópia do whoami com a extensão pdf e a executa. Alterar a extensão de uma ferramenta existente acionará uma detecção do Falcon para disfarce. O comando inclui a remoção do arquivo para que nenhuma limpeza adicional ou reversão seja necessária.
Dumping de credenciais é o processo de obter informações de login e senha de contas, normalmente na forma de hash ou senha de texto não criptografado, do sistema operacional e do software. Tais credenciais podem ser usadas para realizar movimento lateral e acessar informações restritas. O comando listado abaixo vai solicitar do "shadowhash" um usuário via terminal. Esse comando pode ser usado em um host MacOS para reunir informações usadas para descriptografar senhas. Nenhuma limpeza é necessária no sistema após a execução deste comando.
2. Detecção de roubo de credenciais
- Abra um terminal.
- Digite ou copie e cole este comando:
sudo dscl. read /Users/$USER dsAttrTypeNative:ShadowHashData
- Volte para a IU do Falcon e vá para Atividade > Detecções e veja se há um novo evento de Prevenção com a Tática e Técnica: Acesso à Credencial via Dumping de Credencial.
- O símbolo de ‘check’ em verde indica que esta atividade foi bloqueada com sucesso.
Isso foi útil?
Isso foi útil?
Agradecemos muito seu feedback; ele nos ajudará a melhorar nosso serviço para você e outros usuários deste e de outros guias. Envie seu feedback sobre esta seção do guia de avaliação para falcontrial@crowdstrike.com.
