- CrowdStrike 在 2024 年 Gartner®《端點防護平台 Magic Quadrant™》報告中獲評為領導者.
高階攻擊測試:適用於 Mac
注意:這些指令會對機器進行暫時性的更動,以模擬真實情境中的案例。然而,這些指令並不使用實際的惡意軟體。您也可以在基於 Windows 的 CloudShare 虛擬環境中,使用實際的惡意軟體進行測試。相關說明可參考Windows 指南。
預計所需時間
至少需要 20 分鐘,
實際時間取決於您希望進行的測試量
系統需求
Windows 或 Mac 作業系統
Google Chrome 瀏覽器
1. 防禦規避技術
- 開啟終端機。
- 輸入或複製並貼上以下指令:
cd ~/Desktop; cp /usr/bin/whoami whoami.pdf;./whoami.pdf;rm whoami.pdf
- 接下來,前往 Falcon 使用者介面,依序進入「Activity 」(活動)> 「Detections 」(偵測)。您應該會看到一則新的警示,表示已偵測到惡意活動。
ⓘ 此偵測展示了 Falcon 透過攻擊指標 (IOA) 回應惡意行為的能力。攻擊指標或 IOA 是指應用程式或攻擊者在成功發動攻擊過程中所執行的一系列行為。IOA 著重於這些步驟的執行過程、攻擊者的意圖,以及其試圖達成的目標。相較於使用入侵指標 (IOC) 或特徵碼,這種方式更具優勢,因為它能讓 Falcon Prevent 阻擋新型與未知的威脅。這個指令會將 whoami 程式複製成一個帶有 .pdf 副檔名的檔案,然後執行該檔案。更改現有工具的副檔名會觸發 Falcon 的偽裝偵測功能。此指令已包含移除檔案的步驟,因此不需要額外的清理或還原操作。
憑證傾印是一種從作業系統或軟體中,獲取帳戶登入和密碼資訊的方式,通常以雜湊值或明文密碼的形式呈現。這些憑證隨後就能用於進行橫向移動攻擊與存取限制性資料。下列指令將透過終端機查詢使用者的「shadowhash」資料。這個指令可在 macOS 主機上執行,用於蒐集解密所需的資訊。執行指令後,不需要清理系統。
2. 憑證竊取偵測
- 開啟終端機。
- 輸入或複製並貼上以下指令:
sudo dscl . read /Users/$USER dsAttrTypeNative:ShadowHashData
- 切換回 Falcon 使用者介面,前往「Activity」(活動) > 「Detections」 (偵測),您將看到一個新的防護事件,顯示以憑證傾印進行的「憑證存取」策略與技術。
- 綠色勾勾表示此活動已成功被阻擋。
這是否對您有幫助?
這是否對您有幫助?
您的意見回饋對我們十分重要,並有助於提升我們的服務品質,以便為您及其他指南使用者提供更完善的內容。請將您對本試用指南章節的意見回饋傳送至 falcontrial@crowdstrike.com。
