Requirements
如果使用虛擬機,請拍攝快照以在此模擬結束時還原。
- 開啟終端機並按提供的順序執行這些命令。
# copy the native whoami binary to create an executable disguised as a PDF cp /usr/bin/whoami ~/Desktop/jptest.pdf - 前往桌面,找到新建立的jptest.pdf檔。注意預覽圖示表明這是PDF檔案。
- 開啟終端機並執行以下命令。
~/Desktop/jptest.pdf完成上述測試步驟後,Jamf Protect Cloud內部預計會出現標題為DisguishedExecution的新警示。 - 開啟並檢視DisguisedExecution警示。分析此警示時最有趣的資料點是:
Summary(摘要)> Name(名稱):隨即建立的可疑LaunchDaemon/Agent的名稱。
Summary(摘要)> itemBinary:將在系統啟動時執行的持久性項目檔案路徑。這是回應此事件時最有用的調查檔案。
Processes(程序)> Process Tree(程序樹):導致事件的每個程序二進位檔及其程式碼簽署資訊。
在現實場景中,對此警示的調查將從檢查LaunchDaemon/Agent(作為itemBinary提供)保存之檔案的內容和用途,以及LaunchDaemon/Agent本身的建立方法開始。
- 如果在完成此測試場景之前拍攝了虛擬機快照,最簡單的清理方法是還原到快照。否則,在終端機中執行這些命令以移除建立的測試檔。
# delete the executable disguised as a PDF rm ~/Desktop/jptest.pdf # delete the testing file rm /Users/Shared/jptest