Requirements
仮想マシンを使用している場合は、このシミュレーションの終了時に元に戻すためのスナップショットを作成します。
- ターミナルを開いて、規定の順序で以下のコマンドを実行します。
# copy the native whoami binary to create an executable disguised as a PDF cp /usr/bin/whoami ~/Desktop/jptest.pdf - デスクトップに移動し、新しく作成された jptest.pdf ファイルを見つけます。これが PDF ファイルであることを示すプレビューアイコンに注意してください。
- ターミナル を開いて、以下のコマンドを実行します。
~/Desktop/jptest.pdf上記のテスト手順を完了すると、Jamf Protect Cloud 内に DisguisedExecution というタイトルの新しいアラートが表示されます。 - DisguisedExecution アラートを開いて、確認します。このアラートを分析する際に最も興味深いデータポイントは以下のとおりです。
概要 (Summary) > 名称 (Name):作成された疑わしい LaunchDaemon/Agent の名前。
概要 (Summary) > itemBinary:システム起動時に実行される持続的項目のファイルパス。これは、このインシデントへの対応時に調査するのに最も役立つファイルです。
プロセス (Processes) > プロセスツリー (Process Tree):イベントにつながる各プロセスのバイナリとそのコード署名情報。
実際のシナリオでは、このアラートの調査は、LaunchDaemon/Agent によって保持されているファイル (itemBinary として提供) の内容と目的、および LaunchDaemon/Agent 自体の作成方法を調べることから始まります。
- 仮想マシンのスナップショットがこのテストシナリオを完了する前に作成された場合、最も簡単なクリーンアップ方法はそのスナップショットに戻すことです。それ以外の場合は、ターミナルでこれらのコマンドを実行して、作成されたテストファイルを削除します。
# delete the executable disguised as a PDF rm ~/Desktop/jptest.pdf # delete the testing file rm /Users/Shared/jptest