Requirements
仮想マシンを使用している場合、このシミュレーションの最後に戻すために使うスナップショットを作成してください。
- ターミナル を開いて、以下のコマンドを実行します。
# try to initiate a remote session with netcat nc 127.0.0.1 8080 -e /bin/bash上記のテスト手順を完了すると、Jamf Protect Cloud 内に ImproperUseOfNetcat というタイトルの新しいアラートが表示されます。 - ImproperUseOfNetcat アラートを開いて、確認します。このアラートを分析する際に最も興味深いデータポイントは以下のとおりです。
概要 (Summary) > プロセスイベントの詳細 (Process Event Details) > プロセス引数 (Process Arguments):これにより、リモート接続の対象 IP アドレスとポート、実行しようとしたプログラムが提供されます。
- プロセス:プロセスツリーは、Netcat リモートセッションがどのように開始されたかを示します。
実際のシナリオでは、このアラートの調査は、プロセス引数を調べてリモートセッションの対象および実行しようとしたプログラムを特定するとともに、プロセスツリーを介して Netcat コマンドがどのように実行されたかを正確に特定することから始める必要があります。
- 仮想マシンのスナップショットがこのテストシナリオを完了する前に作成された場合、最も簡単なクリーンアップ方法はそのスナップショットに戻すことです。