Vai al contenuto

Squadra Rossa Atomica

Traduzione: Copia tutti i comandi Traduzione: Generare PDF < > Atomic Red Team è una libreria di test mappati al framework MITRE ATT&CK; che i team di sicurezza possono utilizzare per testare rapidamente, portabilmente e riproducibilmente i loro ambienti. ## Installazione e configurazione | | Command | Description | | | --- | --- | | | `git clone https://github.com/redcanaryco/atomic-red-team.git` | Clone Atomic Red Team repository | | | | `cd atomic-red-team` | Navigate to repository | | | | `Install-Module -Name invoke-atomicredteam,powershell-yaml -Scope CurrentUser` | Install PowerShell modules | | | | `Import-Module "C:\AtomicRedTeam\invoke-atomicredteam\Invoke-AtomicRedTeam.psd1" -Force` | Import PowerShell module | | | | `Invoke-AtomicTest T1003.001 -ShowDetails` | Show test details | | ## Uso di base | | Command | Description | | | --- | --- | | | `Invoke-AtomicTest T1003.001` | Execute specific atomic test | | | | `Invoke-AtomicTest T1003.001 -TestNumbers 1` | Execute specific test number | | | | `Invoke-AtomicTest T1003.001 -ShowDetails` | Show test details without executing | | | | `Invoke-AtomicTest T1003.001 -CheckPrereqs` | Check prerequisites | | | | `Invoke-AtomicTest T1003.001 -GetPrereqs` | Install prerequisites | | | | `Invoke-AtomicTest T1003.001 -Cleanup` | Run cleanup for test | | ## Test Discovery | | Command | Description | | | --- | --- | | | `Get-AtomicTechnique` | List all available techniques | | | | `Get-AtomicTechnique -Path "C:\AtomicRedTeam\atomics"` | List techniques from specific path | | | | `Get-AtomicTechnique \ | Where-Object {$_.DisplayName -match "credential"}` | Search techniques by keyword | | | | `Get-AtomicTechnique T1003` | Get details for specific technique | | ## MITRE ATT&CK; Tecniche ### Accesso iniziale | | Command | Description | | | --- | --- | | | `Invoke-AtomicTest T1566.001` | Spearphishing Attachment | | | | `Invoke-AtomicTest T1566.002` | Spearphishing Link | | | | `Invoke-AtomicTest T1190` | Exploit Public-Facing Application | | | | `Invoke-AtomicTest T1133` | External Remote Services | | | | `Invoke-AtomicTest T1200` | Hardware Additions | | ### Esecuzione | | Command | Description | | | --- | --- | | | `Invoke-AtomicTest T1059.001` | PowerShell execution | | | | `Invoke-AtomicTest T1059.003` | Windows Command Shell | | | | `Invoke-AtomicTest T1059.004` | Unix Shell | | | | `Invoke-AtomicTest T1059.006` | Python execution | | | | `Invoke-AtomicTest T1053.005` | Scheduled Task/Job | | ### Persistenza | | Command | Description | | | --- | --- | | | `Invoke-AtomicTest T1547.001` | Registry Run Keys | | | | `Invoke-AtomicTest T1053.005` | Scheduled Task | | | | `Invoke-AtomicTest T1543.003` | Windows Service | | | | `Invoke-AtomicTest T1136.001` | Local Account creation | | | | `Invoke-AtomicTest T1098` | Account Manipulation | | ### Escalation Privilege | | Command | Description | | | --- | --- | | | `Invoke-AtomicTest T1548.002` | Bypass User Account Control | | | | `Invoke-AtomicTest T1055` | Process Injection | | | | `Invoke-AtomicTest T1134` | Access Token Manipulation | | | | `Invoke-AtomicTest T1068` | Exploitation for Privilege Escalation | | ### Evasione della difesa | | Command | Description | | | --- | --- | | | `Invoke-AtomicTest T1027` | Obfuscated Files or Information | | | | `Invoke-AtomicTest T1070.004` | File Deletion | | | | `Invoke-AtomicTest T1562.001` | Disable or Modify Tools | | | | `Invoke-AtomicTest T1218.010` | Regsvr32 | | | | `Invoke-AtomicTest T1036` | Masquerading | | ### Accesso Credenziale | | Command | Description | | | --- | --- | | | `Invoke-AtomicTest T1003.001` | LSASS Memory dump | | | | `Invoke-AtomicTest T1003.002` | Security Account Manager | | | | `Invoke-AtomicTest T1003.003` | NTDS.dit | | | | `Invoke-AtomicTest T1110.001` | Password Spraying | | | | `Invoke-AtomicTest T1555.003` | Credentials from Web Browsers | | ### Discovery | | Command | Description | | | --- | --- | | | `Invoke-AtomicTest T1087.001` | Local Account Discovery | | | | `Invoke-AtomicTest T1087.002` | Domain Account Discovery | | | | `Invoke-AtomicTest T1018` | Remote System Discovery | | | | `Invoke-AtomicTest T1083` | File and Directory Discovery | | | | `Invoke-AtomicTest T1057` | Process Discovery | | ### Movimento laterale | | Command | Description | | | --- | --- | | | `Invoke-AtomicTest T1021.001` | Remote Desktop Protocol | | | | `Invoke-AtomicTest T1021.002` | SMB/Windows Admin Shares | | | | `Invoke-AtomicTest T1021.003` | Distributed Component Object Model | | | | `Invoke-AtomicTest T1021.006` | Windows Remote Management | | | | `Invoke-AtomicTest T1550.002` | Pass the Hash | | ### Collezione | | Command | Description | | | --- | --- | | | `Invoke-AtomicTest T1005` | Data from Local System | | | | `Invoke-AtomicTest T1039` | Data from Network Shared Drive | | | | `Invoke-AtomicTest T1113` | Screen Capture | | | | `Invoke-AtomicTest T1123` | Audio Capture | | | | `Invoke-AtomicTest T1115` | Clipboard Data | | ### Comando e Controllo | | Command | Description | | | --- | --- | | | `Invoke-AtomicTest T1071.001` | Web Protocols | | | | `Invoke-AtomicTest T1071.004` | DNS | | | | `Invoke-AtomicTest T1090.003` | Multi-hop Proxy | | | | `Invoke-AtomicTest T1573.002` | Asymmetric Cryptography | | ### Esfiltrazione | | Command | Description | | | --- | --- | | | `Invoke-AtomicTest T1041` | Exfiltration Over C2 Channel | | | | `Invoke-AtomicTest T1048.003` | Exfiltration Over Unencrypted/Obfuscated Non-C2 Protocol | | | | `Invoke-AtomicTest T1567.002` | Exfiltration to Cloud Storage | | ### Impatto | | Command | Description | | | --- | --- | | | `Invoke-AtomicTest T1485` | Data Destruction | | | | `Invoke-AtomicTest T1486` | Data Encrypted for Impact | | | | `Invoke-AtomicTest T1490` | Inhibit System Recovery | | | | `Invoke-AtomicTest T1498` | Network Denial of Service | | ## Uso avanzato ### Parametri personalizzati | | Command | Description | | | --- | --- | | | `Invoke-AtomicTest T1003.001 -InputArgs @{"output_file"="C:\temp\lsass.dmp"}` | Pass custom parameters | | | | `Invoke-AtomicTest T1087.001 -InputArgs @{"username"="testuser"}` | Specify username parameter | | ### Esecuzione batch | | Command | Description | | | --- | --- | | | `Invoke-AtomicTest T1003.001,T1003.002,T1003.003` | Execute multiple tests | | | | `Get-AtomicTechnique \ | ForEach-Object {Invoke-AtomicTest $_.Technique}` | Execute all available tests | | ### Registrazione e uscita | | Command | Description | | | --- | --- | | | `Invoke-AtomicTest T1003.001 -LoggingModule "Attire-ExecutionLogger"` | Enable logging | | | | `Invoke-AtomicTest T1003.001 -ExecutionLogPath "C:\logs\atomic.log"` | Specify log path | | | | `Invoke-AtomicTest T1003.001 -TimeoutSeconds 60` | Set execution timeout | | ## Configurazione ### File di configurazione (config.yaml) Traduzione: ### Variabili dell'ambiente | | Variable | Description | | | --- | --- | | | `$env:ATOMIC_RED_TEAM_PATH` | Path to Atomic Red Team directory | | | | `$env:ATOMIC_LOG_PATH` | Path for execution logs | | | | `$env:ATOMIC_TIMEOUT` | Default timeout for tests | | ## Uso di Linux/macOS ### Installazione | | Command | Description | | | --- | --- | | | `git clone https://github.com/redcanaryco/atomic-red-team.git` | Clone repository | | | | `cd atomic-red-team` | Navigate to directory | | | | `chmod +x atomics/*/src/*` | Make scripts executable | | ### Esecuzione | | Command | Description | | | --- | --- | | | `bash atomics/T1059.004/src/T1059.004.sh` | Execute bash-based test | | | | `python3 atomics/T1059.006/src/T1059.006.py` | Execute Python-based test | | | | `./atomics/T1083/src/T1083-1.sh` | Execute specific test variant | | ## Integrazione con SIEM ### Integrazione Splunk | | Command | Description | | | --- | --- | | | `Invoke-AtomicTest T1003.001 -LoggingModule "Splunk"` | Log to Splunk | | | | `index=atomic_red_team technique=T1003.001` | Search Splunk for test results | | ### ELK Integrazione dello Stack | | Command | Description | | | --- | --- | | | `Invoke-AtomicTest T1003.001 -LoggingModule "Elasticsearch"` | Log to Elasticsearch | | ## Sviluppo di test personalizzato ### Struttura di prova Traduzione: ### Esecuzione test personalizzata | | Command | Description | | | --- | --- | | | `Invoke-AtomicTest -AtomicsFolder "C:\CustomAtomics" T9999.001` | Execute custom test | | ## Rapporti e analisi | | Command | Description | | | --- | --- | | | `Get-AtomicTestResults` | Get execution results | | | | `Export-AtomicTestResults -Format CSV -Path "results.csv"` | Export results to CSV | | | | `Get-AtomicCoverage` | Show MITRE ATT&CK; coverage | | | | `Show-AtomicTestMatrix` | Display test matrix | | ## Automazione e Scheduling ### PowerShell programmato Lavoro Traduzione: ### Test continuo | | Command | Description | | | --- | --- | | | `Start-AtomicContinuousTesting -Techniques @("T1003.001","T1087.001") -Interval 3600` | Run tests every hour | | ## Considerazioni di sicurezza - Eseguire test solo in ambienti isolati - Assicurare una corretta pulizia dopo l'esecuzione del test - Monitorare i falsi positivi negli strumenti di sicurezza - Documentare tutte le esecuzioni di prova per la conformità - Utilizzare i principi meno privilegi - Implementare controlli di accesso adeguati - Backup regolare prima del test - Coordinare con il centro operazioni di sicurezza ## Migliori Pratiche - Inizia con tecniche a basso impatto - Eseguire sempre controlli prerequisiti prima - Utilizzare le funzioni di pulizia dopo i test - Risultati e osservazioni dei documenti - Coordinare le attività del team blu - Test in ambienti non produttivi prima - Implementazione corretta registrazione e monitoraggio - Aggiornamenti regolari alla libreria di test - Convalida funzionalità di rilevamento - Crea test personalizzati per ambienti specifici ## Risoluzione dei problemi | | Command | Description | | | --- | --- | | | `Get-Help Invoke-AtomicTest -Full` | Get detailed help | | | | `Test-AtomicTestInputArgs T1003.001` | Validate input arguments | | | | `Get-AtomicTestPrerequisites T1003.001` | Check prerequisites | | | | `Repair-AtomicTest T1003.001` | Attempt to fix test issues | | ## Questioni comuni - Interferenze antivirus con esecuzione test - Prerequisiti mancanti o dipendenze - privilegi insufficienti per l'esecuzione dei test - Problemi di connettività di rete per le risorse esterne - Problemi legati al percorso su diversi sistemi operativi