Zum Inhalt

Atomrot Team

_

Atomic Red Team ist eine Bibliothek von Tests, die dem MITRE ATT&CK-Framework zugeordnet sind, mit denen Sicherheitsteams schnell, portabel und reproduzierbar ihre Umgebung testen können.

Installation und Inbetriebnahme

Command Description
INLINE_CODE_3 Clone Atomic Red Team repository
INLINE_CODE_4 Navigate to repository
INLINE_CODE_5 Install PowerShell modules
INLINE_CODE_6 Import PowerShell module
INLINE_CODE_7 Show test details

oder Basisnutzung

Command Description
INLINE_CODE_8 Execute specific atomic test
INLINE_CODE_9 Execute specific test number
INLINE_CODE_10 Show test details without executing
INLINE_CODE_11 Check prerequisites
INLINE_CODE_12 Install prerequisites
INLINE_CODE_13 Run cleanup for test
_
oder Test Discovery
Command Description
INLINE_CODE_14 List all available techniques
INLINE_CODE_15 List techniques from specific path
INLINE_CODE_16 Search techniques by keyword
INLINE_CODE_17 Get details for specific technique

MITRE ATT&CK Techniken

Initial Access

Command Description
INLINE_CODE_18 Spearphishing Attachment
INLINE_CODE_19 Spearphishing Link
INLINE_CODE_20 Exploit Public-Facing Application
INLINE_CODE_21 External Remote Services
INLINE_CODE_22 Hardware Additions

Execution

Command Description
INLINE_CODE_23 PowerShell execution
INLINE_CODE_24 Windows Command Shell
INLINE_CODE_25 Unix Shell
INLINE_CODE_26 Python execution
INLINE_CODE_27 Scheduled Task/Job

Persistence

Command Description
INLINE_CODE_28 Registry Run Keys
INLINE_CODE_29 Scheduled Task
INLINE_CODE_30 Windows Service
INLINE_CODE_31 Local Account creation
INLINE_CODE_32 Account Manipulation

Vorrechte Escalation

Command Description
INLINE_CODE_33 Bypass User Account Control
INLINE_CODE_34 Process Injection
INLINE_CODE_35 Access Token Manipulation
INLINE_CODE_36 Exploitation for Privilege Escalation

Verteidigung Evasion_TABLE_116__

Credential Access

Command Description
INLINE_CODE_42 LSASS Memory dump
INLINE_CODE_43 Security Account Manager
INLINE_CODE_44 NTDS.dit
INLINE_CODE_45 Password Spraying
INLINE_CODE_46 Credentials from Web Browsers

Discovery

Command Description
INLINE_CODE_47 Local Account Discovery
INLINE_CODE_48 Domain Account Discovery
INLINE_CODE_49 Remote System Discovery
INLINE_CODE_50 File and Directory Discovery
INLINE_CODE_51 Process Discovery
_
### Lateral Movement
Command Description
--------- -------------
INLINE_CODE_52 Remote Desktop Protocol
INLINE_CODE_53 SMB/Windows Admin Shares
INLINE_CODE_54 Distributed Component Object Model
INLINE_CODE_55 Windows Remote Management
INLINE_CODE_56 Pass the Hash

Collection

Command Description
INLINE_CODE_57 Data from Local System
INLINE_CODE_58 Data from Network Shared Drive
INLINE_CODE_59 Screen Capture
INLINE_CODE_60 Audio Capture
INLINE_CODE_61 Clipboard Data

Command and Control

Command Description
INLINE_CODE_62 Web Protocols
INLINE_CODE_63 DNS
INLINE_CODE_64 Multi-hop Proxy
INLINE_CODE_65 Asymmetric Cryptography

Exfiltration

Command Description
INLINE_CODE_66 Exfiltration Over C2 Channel
INLINE_CODE_67 Exfiltration Over Unencrypted/Obfuscated Non-C2 Protocol
INLINE_CODE_68 Exfiltration to Cloud Storage

Impact

Command Description
INLINE_CODE_69 Data Destruction
INLINE_CODE_70 Data Encrypted for Impact
INLINE_CODE_71 Inhibit System Recovery
INLINE_CODE_72 Network Denial of Service

/ Fortgeschrittene Nutzung

Benutzerdefinierte Parameter

Command Description
INLINE_CODE_73 Pass custom parameters
INLINE_CODE_74 Specify username parameter

Batch Execution

Command Description
INLINE_CODE_75 Execute multiple tests
INLINE_CODE_76 Execute all available tests

Logging and Output

Command Description
INLINE_CODE_77 Enable logging
INLINE_CODE_78 Specify log path
INLINE_CODE_79 Set execution timeout

Konfiguration

Config File (config.yaml)

```yaml

Atomic Red Team Configuration

atomics_folder: "C:\AtomicRedTeam\atomics" log_folder: "C:\AtomicRedTeam\logs" default_timeout: 120 check_prereqs: true get_prereqs: false cleanup: true ```_

Environment Variables

Variable Description
INLINE_CODE_80 Path to Atomic Red Team directory
INLINE_CODE_81 Path for execution logs
INLINE_CODE_82 Default timeout for tests

Linux/macOS Verwendung

Installation_TABLE_128__

Execution

Command Description
INLINE_CODE_86 Execute bash-based test
INLINE_CODE_87 Execute Python-based test
INLINE_CODE_88 Execute specific test variant

Integration mit SIEM

Splunk Integration

Command Description
INLINE_CODE_89 Log to Splunk
INLINE_CODE_90 Search Splunk for test results

ELK Stack Integration_TABLE_131___

Individuelle Testentwicklung

Prüfstruktur

yaml attack_technique: T1003.001 display_name: "LSASS Memory" atomic_tests: - name: Dump LSASS.exe Memory using ProcDump auto_generated_guid: 0be2230c-9ab3-4ac2-8826-3199b9a0ebf8 description: | The memory of lsass.exe is often dumped for offline credential theft attacks. supported_platforms: - windows input_arguments: output_file: description: Path where resulting dump should be placed type: Path default: C:\Windows\Temp\lsass_dump.dmp executor: command: | procdump.exe -accepteula -ma lsass.exe #{output_file} name: command_prompt_

Custom Testausführung

Command Description
INLINE_CODE_92 Execute custom test
_
Berichterstattung und Analyse
Command Description
INLINE_CODE_93 Get execution results
INLINE_CODE_94 Export results to CSV
INLINE_CODE_95 Show MITRE ATT&CK coverage
INLINE_CODE_96 Display test matrix
_
Automatisierung und Planung

Power Shell geplant Jobs

powershell $trigger = New-JobTrigger -Daily -At "2:00 AM" Register-ScheduledJob -Name "AtomicRedTeam" -Trigger $trigger -ScriptBlock { Import-Module Invoke-AtomicRedTeam Invoke-AtomicTest T1003.001 -Cleanup }_

Continuous Testing

Command Description
INLINE_CODE_97 Run tests every hour

Sicherheitsbedenken

  • Nur in isolierten Umgebungen testen
  • Sichern Sie die richtige Reinigung nach der Testausführung
  • Monitor für falsche Positive in Sicherheitswerkzeugen
  • Dokumentieren Sie alle Testausführungen für die Einhaltung
  • Verwenden Sie Mindestprivilegprinzipien
  • Implementierung der richtigen Zugangskontrollen
  • Regelmäßige Sicherung vor dem Testen
  • Koordination mit Sicherheitsdienststellen

oder Best Practices

  • Starten Sie mit Low-Impact-Techniken
  • Vorbedingungskontrollen immer zuerst ausführen
  • Ja. Reinigungsfunktionen nach dem Testen verwenden
  • Dokumententestergebnisse und Beobachtungen
  • Koordination mit blauen Teamaktivitäten
  • Ja. Test in Nicht-Produktionsumgebungen zuerst
  • Durchführung der richtigen Protokollierung und Überwachung
  • Regelmäßige Aktualisierungen der Testbibliothek
  • Gültige Nachweisfähigkeiten
  • Erstellen Sie benutzerdefinierte Tests für bestimmte Umgebungen

Fehlerbehebung

Command Description
INLINE_CODE_98 Get detailed help
INLINE_CODE_99 Validate input arguments
INLINE_CODE_100 Check prerequisites
INLINE_CODE_101 Attempt to fix test issues
_
Häufige Fragen
  • Antivirus-Interferenz bei der Testausführung
  • Fehlende Voraussetzungen oder Abhängigkeiten
  • Unzureichende Privilegien für die Testausführung
  • Netzwerk-Konnektivität Probleme für externe Ressourcen
  • Pathbezogene Probleme bei verschiedenen Betriebssystemen