Atomic Red Team

Comando	Descrizione
`git clone https://github.com/redcanaryco/atomic-red-team.git`	Clona repository di Atomic Red Team
`cd atomic-red-team`	Vai al repository
`Install-Module -Name invoke-atomicredteam,powershell-yaml -Scope CurrentUser`	Installare moduli PowerShell
`Import-Module "C:\AtomicRedTeam\invoke-atomicredteam\Invoke-AtomicRedTeam.psd1" -Force`	Importa modulo PowerShell
`Invoke-AtomicTest T1003.001 -ShowDetails`	Mostra dettagli test

Comando	Descrizione
`Get-AtomicTechnique`	Elenca tutte le tecniche disponibili
`Get-AtomicTechnique -Path "C:\AtomicRedTeam\atomics"`	Elenca tecniche dal percorso specifico
`Get-AtomicTechnique \	Where-Object {$_.DisplayName -match “credential”}`
`Get-AtomicTechnique T1003`	Ottieni dettagli per tecnica specifica

Comando	Descrizione
`Invoke-AtomicTest T1566.001`	Allegato di Spearphishing
`Invoke-AtomicTest T1566.002`	Spearphishing Link
`Invoke-AtomicTest T1190`	Sfruttare Applicazione Esposta Pubblicamente
`Invoke-AtomicTest T1133`	Servizi Remoti Esterni
`Invoke-AtomicTest T1200`	Aggiunte Hardware

Comando	Descrizione
`Invoke-AtomicTest T1059.001`	Esecuzione di PowerShell
`Invoke-AtomicTest T1059.003`	Windows Command Shell
`Invoke-AtomicTest T1059.004`	Unix Shell
`Invoke-AtomicTest T1059.006`	Esecuzione Python
`Invoke-AtomicTest T1053.005`	Attività/Job pianificata

Comando	Descrizione
`Invoke-AtomicTest T1547.001`	Chiavi di Esecuzione del Registry
`Invoke-AtomicTest T1053.005`	Attività Pianificata
`Invoke-AtomicTest T1543.003`	Servizio Windows
`Invoke-AtomicTest T1136.001`	Creazione Account Locale
`Invoke-AtomicTest T1098`	Manipolazione Account

Comando	Descrizione
`Invoke-AtomicTest T1548.002`	Bypassa Controllo Account Utente
`Invoke-AtomicTest T1055`	Process Injection
`Invoke-AtomicTest T1134`	Manipolazione del Token di Accesso
`Invoke-AtomicTest T1068`	Sfruttamento per Escalation dei Privilegi

Comando	Descrizione
`Invoke-AtomicTest T1027`	File o Informazioni Offuscati
`Invoke-AtomicTest T1070.004`	Eliminazione File
`Invoke-AtomicTest T1562.001`	Disabilita o Modifica Tools
`Invoke-AtomicTest T1218.010`	Regsvr32
`Invoke-AtomicTest T1036`	Mascheramento

Comando	Descrizione
`Invoke-AtomicTest T1003.001`	Dump della memoria di LSASS
`Invoke-AtomicTest T1003.002`	Security Account Manager
`Invoke-AtomicTest T1003.003`	NTDS.dit
`Invoke-AtomicTest T1110.001`	Password Spraying
`Invoke-AtomicTest T1555.003`	Credenziali dai Browser Web

Comando	Descrizione
`Invoke-AtomicTest T1087.001`	Individuazione Account Locali
`Invoke-AtomicTest T1087.002`	Individuazione Account di Dominio
`Invoke-AtomicTest T1018`	Scoperta di Sistema Remoto
`Invoke-AtomicTest T1083`	Individuazione di File e Directory
`Invoke-AtomicTest T1057`	Scoperta del Processo

Comando	Descrizione
`Invoke-AtomicTest T1021.001`	Remote Desktop Protocol
`Invoke-AtomicTest T1021.002`	SMB/Windows Admin Shares
`Invoke-AtomicTest T1021.003`	Distributed Component Object Model
`Invoke-AtomicTest T1021.006`	Windows Remote Management
`Invoke-AtomicTest T1550.002`	Pass the Hash

Comando	Descrizione
`Invoke-AtomicTest T1005`	Dati dal Sistema Locale
`Invoke-AtomicTest T1039`	Dati da Network Shared Drive
`Invoke-AtomicTest T1113`	Cattura dello schermo
`Invoke-AtomicTest T1123`	Cattura Audio
`Invoke-AtomicTest T1115`	Dati Clipboard

Comando	Descrizione
`Invoke-AtomicTest T1071.001`	Protocolli Web
`Invoke-AtomicTest T1071.004`	DNS
`Invoke-AtomicTest T1090.003`	Proxy Multi-hop
`Invoke-AtomicTest T1573.002`	Crittografia Asimmetrica

Comando	Descrizione
`Invoke-AtomicTest T1041`	Esfiltrazione su Canale C2
`Invoke-AtomicTest T1048.003`	Esfiltrazione su Protocollo Non-C2 Non Crittografato/Offuscato
`Invoke-AtomicTest T1567.002`	Esfiltrazione su Cloud Storage

Comando	Descrizione
`Invoke-AtomicTest T1485`	Distruzione dei Dati
`Invoke-AtomicTest T1486`	Dati Crittografati per Impact
`Invoke-AtomicTest T1490`	Inibisci Recovery del Sistema
`Invoke-AtomicTest T1498`	Denial of Service di Rete

Comando	Descrizione
`Invoke-AtomicTest T1003.001 -InputArgs @{"output_file"="C:\temp\lsass.dmp"}`	Passa parametri personalizzati
`Invoke-AtomicTest T1087.001 -InputArgs @{"username"="testuser"}`	Specificare il parametro username

Comando	Descrizione
`Invoke-AtomicTest T1003.001,T1003.002,T1003.003`	Esegui più test
`Get-AtomicTechnique \	ForEach-Object {Invoke-AtomicTest $_.Technique}`

Comando	Descrizione
`Invoke-AtomicTest T1003.001 -LoggingModule "Attire-ExecutionLogger"`	Abilitare la registrazione
`Invoke-AtomicTest T1003.001 -ExecutionLogPath "C:\logs\atomic.log"`	Specificare il percorso del log
`Invoke-AtomicTest T1003.001 -TimeoutSeconds 60`	Imposta timeout di esecuzione

# Atomic Red Team Configuration
atomics_folder: "C:\\AtomicRedTeam\\atomics"
log_folder: "C:\\AtomicRedTeam\\logs"
default_timeout: 120
check_prereqs: true
get_prereqs: false
cleanup: true

Environment Variables

Variabile	Descrizione
`$env:ATOMIC_RED_TEAM_PATH`	Percorso della directory di Atomic Red Team
`$env:ATOMIC_LOG_PATH`	Percorso per i log di esecuzione
`$env:ATOMIC_TIMEOUT`	Timeout predefinito per i test

Linux/macOS Usage

Installation

Comando	Descrizione
`git clone https://github.com/redcanaryco/atomic-red-team.git`	Clona repository
`cd atomic-red-team`	Vai nella directory
`chmod +x atomics//src/`	Rendere gli script eseguibili

Execution

Comando	Descrizione
`bash atomics/T1059.004/src/T1059.004.sh`	Esegui test basati su bash
`python3 atomics/T1059.006/src/T1059.006.py`	Esegui test basati su Python
`./atomics/T1083/src/T1083-1.sh`	Esegui variante di test specifica

Integration with SIEM

Splunk Integration

Comando	Descrizione
`Invoke-AtomicTest T1003.001 -LoggingModule "Splunk"`	Log su Splunk
`index=atomic_red_team technique=T1003.001`	Cerca Splunk per risultati di test

ELK Stack Integration

Comando	Descrizione
`Invoke-AtomicTest T1003.001 -LoggingModule "Elasticsearch"`	Log su Elasticsearch

Custom Test Development

Test Structure

attack_technique: T1003.001
display_name: "LSASS Memory"
atomic_tests:
- name: Dump LSASS.exe Memory using ProcDump
  auto_generated_guid: 0be2230c-9ab3-4ac2-8826-3199b9a0ebf8
  description: |
    The memory of lsass.exe is often dumped for offline credential theft attacks.
  supported_platforms:
  - windows
  input_arguments:
    output_file:
      description: Path where resulting dump should be placed
      type: Path
      default: C:\Windows\Temp\lsass_dump.dmp
  executor:
    command: |
      procdump.exe -accepteula -ma lsass.exe #{output_file}
    name: command_prompt

Custom Test Execution

Comando	Descrizione
`Invoke-AtomicTest -AtomicsFolder "C:\CustomAtomics" T9999.001`	Esegui test personalizzato

Reporting and Analysis

Comando	Descrizione
`Get-AtomicTestResults`	Ottieni risultati di esecuzione
`Export-AtomicTestResults -Format CSV -Path "results.csv"`	Esporta risultati in CSV
`Get-AtomicCoverage`	Mostra la copertura MITRE ATT&CK
`Show-AtomicTestMatrix`	Visualizza matrice di test

Automation and Scheduling

PowerShell Scheduled Jobs

$trigger = New-JobTrigger -Daily -At "2:00 AM"
Register-ScheduledJob -Name "AtomicRedTeam" -Trigger $trigger -ScriptBlock {
    Import-Module Invoke-AtomicRedTeam
    Invoke-AtomicTest T1003.001 -Cleanup
}

Continuous Testing

Comando	Descrizione
`Start-AtomicContinuousTesting -Techniques @("T1003.001","T1087.001") -Interval 3600`	Esegui test ogni ora

Security Considerations

Run tests in isolated environments only
Ensure proper cleanup after test execution
Monitor for false positives in security tools
Document all test executions for compliance
Use least privilege principles
Implement proper access controls
Regular backup before testing
Coordinate with security operations center

Best Practices

Start with low-impact techniques
Always run prerequisite checks first
Use cleanup functions after testing
Document test results and observations
Coordinate with blue team activities
Test in non-production environments first
Implement proper logging and monitoring
Regular updates to test library
Validate detection capabilities
Create custom tests for specific environments

Troubleshooting

Comando	Descrizione
`Get-Help Invoke-AtomicTest -Full`	Ottieni aiuto dettagliato
`Test-AtomicTestInputArgs T1003.001`	Convalidare gli argomenti di input
`Get-AtomicTestPrerequisites T1003.001`	Verificare i prerequisiti
`Repair-AtomicTest T1003.001`	Cerca di risolvere i problemi dei test

Common Issues

Antivirus interference with test execution
Missing prerequisites or dependencies
Insufficient privileges for test execution
Network connectivity issues for external resources
Path-related issues on different operating systems