Vai al contenuto

Squadra Rossa Atomica

Traduzione: Copia tutti i comandi Traduzione: Generare PDF < > Atomic Red Team è una libreria di test mappati al framework MITRE ATT&CK che i team di sicurezza possono utilizzare per testare rapidamente, portabilmente e riproducibilmente i loro ambienti. ## Installazione e configurazione |Command|Description| |---------|-------------| |`git clone https://github.com/redcanaryco/atomic-red-team.git`|Clone Atomic Red Team repository| |`cd atomic-red-team`|Navigate to repository| |`Install-Module -Name invoke-atomicredteam,powershell-yaml -Scope CurrentUser`|Install PowerShell modules| |`Import-Module "C:\AtomicRedTeam\invoke-atomicredteam\Invoke-AtomicRedTeam.psd1" -Force`|Import PowerShell module| |`Invoke-AtomicTest T1003.001 -ShowDetails`|Show test details| ## Uso di base |Command|Description| |---------|-------------| |`Invoke-AtomicTest T1003.001`|Execute specific atomic test| |`Invoke-AtomicTest T1003.001 -TestNumbers 1`|Execute specific test number| |`Invoke-AtomicTest T1003.001 -ShowDetails`|Show test details without executing| |`Invoke-AtomicTest T1003.001 -CheckPrereqs`|Check prerequisites| |`Invoke-AtomicTest T1003.001 -GetPrereqs`|Install prerequisites| |`Invoke-AtomicTest T1003.001 -Cleanup`|Run cleanup for test| ## Test Discovery |Command|Description| |---------|-------------| |`Get-AtomicTechnique`|List all available techniques| |`Get-AtomicTechnique -Path "C:\AtomicRedTeam\atomics"`|List techniques from specific path| |`Get-AtomicTechnique \| Where-Object {$_.DisplayName -match "credential"}`|Search techniques by keyword| |`Get-AtomicTechnique T1003`|Get details for specific technique| ## MITRE ATT&CK Tecniche ### Accesso iniziale |Command|Description| |---------|-------------| |`Invoke-AtomicTest T1566.001`|Spearphishing Attachment| |`Invoke-AtomicTest T1566.002`|Spearphishing Link| |`Invoke-AtomicTest T1190`|Exploit Public-Facing Application| |`Invoke-AtomicTest T1133`|External Remote Services| |`Invoke-AtomicTest T1200`|Hardware Additions| ### Esecuzione |Command|Description| |---------|-------------| |`Invoke-AtomicTest T1059.001`|PowerShell execution| |`Invoke-AtomicTest T1059.003`|Windows Command Shell| |`Invoke-AtomicTest T1059.004`|Unix Shell| |`Invoke-AtomicTest T1059.006`|Python execution| |`Invoke-AtomicTest T1053.005`|Scheduled Task/Job| ### Persistenza |Command|Description| |---------|-------------| |`Invoke-AtomicTest T1547.001`|Registry Run Keys| |`Invoke-AtomicTest T1053.005`|Scheduled Task| |`Invoke-AtomicTest T1543.003`|Windows Service| |`Invoke-AtomicTest T1136.001`|Local Account creation| |`Invoke-AtomicTest T1098`|Account Manipulation| ### Escalation Privilege |Command|Description| |---------|-------------| |`Invoke-AtomicTest T1548.002`|Bypass User Account Control| |`Invoke-AtomicTest T1055`|Process Injection| |`Invoke-AtomicTest T1134`|Access Token Manipulation| |`Invoke-AtomicTest T1068`|Exploitation for Privilege Escalation| ### Evasione della difesa |Command|Description| |---------|-------------| |`Invoke-AtomicTest T1027`|Obfuscated Files or Information| |`Invoke-AtomicTest T1070.004`|File Deletion| |`Invoke-AtomicTest T1562.001`|Disable or Modify Tools| |`Invoke-AtomicTest T1218.010`|Regsvr32| |`Invoke-AtomicTest T1036`|Masquerading| ### Accesso Credenziale |Command|Description| |---------|-------------| |`Invoke-AtomicTest T1003.001`|LSASS Memory dump| |`Invoke-AtomicTest T1003.002`|Security Account Manager| |`Invoke-AtomicTest T1003.003`|NTDS.dit| |`Invoke-AtomicTest T1110.001`|Password Spraying| |`Invoke-AtomicTest T1555.003`|Credentials from Web Browsers| ### Discovery |Command|Description| |---------|-------------| |`Invoke-AtomicTest T1087.001`|Local Account Discovery| |`Invoke-AtomicTest T1087.002`|Domain Account Discovery| |`Invoke-AtomicTest T1018`|Remote System Discovery| |`Invoke-AtomicTest T1083`|File and Directory Discovery| |`Invoke-AtomicTest T1057`|Process Discovery| ### Movimento laterale |Command|Description| |---------|-------------| |`Invoke-AtomicTest T1021.001`|Remote Desktop Protocol| |`Invoke-AtomicTest T1021.002`|SMB/Windows Admin Shares| |`Invoke-AtomicTest T1021.003`|Distributed Component Object Model| |`Invoke-AtomicTest T1021.006`|Windows Remote Management| |`Invoke-AtomicTest T1550.002`|Pass the Hash| ### Collezione |Command|Description| |---------|-------------| |`Invoke-AtomicTest T1005`|Data from Local System| |`Invoke-AtomicTest T1039`|Data from Network Shared Drive| |`Invoke-AtomicTest T1113`|Screen Capture| |`Invoke-AtomicTest T1123`|Audio Capture| |`Invoke-AtomicTest T1115`|Clipboard Data| ### Comando e Controllo |Command|Description| |---------|-------------| |`Invoke-AtomicTest T1071.001`|Web Protocols| |`Invoke-AtomicTest T1071.004`|DNS| |`Invoke-AtomicTest T1090.003`|Multi-hop Proxy| |`Invoke-AtomicTest T1573.002`|Asymmetric Cryptography| ### Esfiltrazione |Command|Description| |---------|-------------| |`Invoke-AtomicTest T1041`|Exfiltration Over C2 Channel| |`Invoke-AtomicTest T1048.003`|Exfiltration Over Unencrypted/Obfuscated Non-C2 Protocol| |`Invoke-AtomicTest T1567.002`|Exfiltration to Cloud Storage| ### Impatto |Command|Description| |---------|-------------| |`Invoke-AtomicTest T1485`|Data Destruction| |`Invoke-AtomicTest T1486`|Data Encrypted for Impact| |`Invoke-AtomicTest T1490`|Inhibit System Recovery| |`Invoke-AtomicTest T1498`|Network Denial of Service| ## Uso avanzato ### Parametri personalizzati |Command|Description| |---------|-------------| |`Invoke-AtomicTest T1003.001 -InputArgs @{"output_file"="C:\temp\lsass.dmp"}`|Pass custom parameters| |`Invoke-AtomicTest T1087.001 -InputArgs @{"username"="testuser"}`|Specify username parameter| ### Esecuzione batch |Command|Description| |---------|-------------| |`Invoke-AtomicTest T1003.001,T1003.002,T1003.003`|Execute multiple tests| |`Get-AtomicTechnique \| ForEach-Object {Invoke-AtomicTest $_.Technique}`|Execute all available tests| ### Registrazione e uscita |Command|Description| |---------|-------------| |`Invoke-AtomicTest T1003.001 -LoggingModule "Attire-ExecutionLogger"`|Enable logging| |`Invoke-AtomicTest T1003.001 -ExecutionLogPath "C:\logs\atomic.log"`|Specify log path| |`Invoke-AtomicTest T1003.001 -TimeoutSeconds 60`|Set execution timeout| ## Configurazione ### File di configurazione (config.yaml) Traduzione: ### Variabili dell'ambiente |Variable|Description| |---------|-------------| |`$env:ATOMIC_RED_TEAM_PATH`|Path to Atomic Red Team directory| |`$env:ATOMIC_LOG_PATH`|Path for execution logs| |`$env:ATOMIC_TIMEOUT`|Default timeout for tests| ## Uso di Linux/macOS ### Installazione |Command|Description| |---------|-------------| |`git clone https://github.com/redcanaryco/atomic-red-team.git`|Clone repository| |`cd atomic-red-team`|Navigate to directory| |`chmod +x atomics/*/src/*`|Make scripts executable| ### Esecuzione |Command|Description| |---------|-------------| |`bash atomics/T1059.004/src/T1059.004.sh`|Execute bash-based test| |`python3 atomics/T1059.006/src/T1059.006.py`|Execute Python-based test| |`./atomics/T1083/src/T1083-1.sh`|Execute specific test variant| ## Integrazione con SIEM ### Integrazione Splunk |Command|Description| |---------|-------------| |`Invoke-AtomicTest T1003.001 -LoggingModule "Splunk"`|Log to Splunk| |`index=atomic_red_team technique=T1003.001`|Search Splunk for test results| ### ELK Integrazione dello Stack |Command|Description| |---------|-------------| |`Invoke-AtomicTest T1003.001 -LoggingModule "Elasticsearch"`|Log to Elasticsearch| ## Sviluppo di test personalizzato ### Struttura di prova Traduzione: ### Esecuzione test personalizzata |Command|Description| |---------|-------------| |`Invoke-AtomicTest -AtomicsFolder "C:\CustomAtomics" T9999.001`|Execute custom test| ## Rapporti e analisi |Command|Description| |---------|-------------| |`Get-AtomicTestResults`|Get execution results| |`Export-AtomicTestResults -Format CSV -Path "results.csv"`|Export results to CSV| |`Get-AtomicCoverage`|Show MITRE ATT&CK coverage| |`Show-AtomicTestMatrix`|Display test matrix| ## Automazione e Scheduling ### PowerShell programmato Lavoro Traduzione: ### Test continuo |Command|Description| |---------|-------------| |`Start-AtomicContinuousTesting -Techniques @("T1003.001","T1087.001") -Interval 3600`|Run tests every hour| ## Considerazioni di sicurezza - Eseguire test solo in ambienti isolati - Assicurare una corretta pulizia dopo l'esecuzione del test - Monitorare i falsi positivi negli strumenti di sicurezza - Documentare tutte le esecuzioni di prova per la conformità - Utilizzare i principi meno privilegi - Implementare controlli di accesso adeguati - Backup regolare prima del test - Coordinare con il centro operazioni di sicurezza ## Migliori Pratiche - Inizia con tecniche a basso impatto - Eseguire sempre controlli prerequisiti prima - Utilizzare le funzioni di pulizia dopo i test - Risultati e osservazioni dei documenti - Coordinare le attività del team blu - Test in ambienti non produttivi prima - Implementazione corretta registrazione e monitoraggio - Aggiornamenti regolari alla libreria di test - Convalida funzionalità di rilevamento - Crea test personalizzati per ambienti specifici ## Risoluzione dei problemi |Command|Description| |---------|-------------| |`Get-Help Invoke-AtomicTest -Full`|Get detailed help| |`Test-AtomicTestInputArgs T1003.001`|Validate input arguments| |`Get-AtomicTestPrerequisites T1003.001`|Check prerequisites| |`Repair-AtomicTest T1003.001`|Attempt to fix test issues| ## Questioni comuni - Interferenze antivirus con esecuzione test - Prerequisiti mancanti o dipendenze - privilegi insufficienti per l'esecuzione dei test - Problemi di connettività di rete per le risorse esterne - Problemi legati al percorso su diversi sistemi operativi