Atomic Red 팀¶

Atomic Red Team은 보안팀이 신속하게 사용할 수 있는 MITRE ATT&CK 프레임워크에 맵핑된 테스트 라이브러리이며, 이를 통해 해당 환경을 신속하게 테스트할 수 있습니다.

설치 및 설치¶

Command	Description
`git clone https://github.com/redcanaryco/atomic-red-team.git`	Clone Atomic Red Team repository
`cd atomic-red-team`	Navigate to repository
`Install-Module -Name invoke-atomicredteam,powershell-yaml -Scope CurrentUser`	Install PowerShell modules
`Import-Module "C:\AtomicRedTeam\invoke-atomicredteam\Invoke-AtomicRedTeam.psd1" -Force`	Import PowerShell module
`Invoke-AtomicTest T1003.001 -ShowDetails`	Show test details

기본 사용¶

Command	Description
`Invoke-AtomicTest T1003.001`	Execute specific atomic test
`Invoke-AtomicTest T1003.001 -TestNumbers 1`	Execute specific test number
`Invoke-AtomicTest T1003.001 -ShowDetails`	Show test details without executing
`Invoke-AtomicTest T1003.001 -CheckPrereqs`	Check prerequisites
`Invoke-AtomicTest T1003.001 -GetPrereqs`	Install prerequisites
`Invoke-AtomicTest T1003.001 -Cleanup`	Run cleanup for test

시험 Discovery¶

Command	Description
`Get-AtomicTechnique`	List all available techniques
`Get-AtomicTechnique -Path "C:\AtomicRedTeam\atomics"`	List techniques from specific path
`Get-AtomicTechnique \\| Where-Object {$_.DisplayName -match "credential"}`	Search techniques by keyword
`Get-AtomicTechnique T1003`	Get details for specific technique

미츠비시 ATT&CK 기술 정보¶

초기 액세스¶

Command	Description
`Invoke-AtomicTest T1566.001`	Spearphishing Attachment
`Invoke-AtomicTest T1566.002`	Spearphishing Link
`Invoke-AtomicTest T1190`	Exploit Public-Facing Application
`Invoke-AtomicTest T1133`	External Remote Services
`Invoke-AtomicTest T1200`	Hardware Additions

회사연혁¶

Command	Description
`Invoke-AtomicTest T1059.001`	PowerShell execution
`Invoke-AtomicTest T1059.003`	Windows Command Shell
`Invoke-AtomicTest T1059.004`	Unix Shell
`Invoke-AtomicTest T1059.006`	Python execution
`Invoke-AtomicTest T1053.005`	Scheduled Task/Job

회사 소개¶

Command	Description
`Invoke-AtomicTest T1547.001`	Registry Run Keys
`Invoke-AtomicTest T1053.005`	Scheduled Task
`Invoke-AtomicTest T1543.003`	Windows Service
`Invoke-AtomicTest T1136.001`	Local Account creation
`Invoke-AtomicTest T1098`	Account Manipulation

Privilege 확장¶

Command	Description
`Invoke-AtomicTest T1548.002`	Bypass User Account Control
`Invoke-AtomicTest T1055`	Process Injection
`Invoke-AtomicTest T1134`	Access Token Manipulation
`Invoke-AtomicTest T1068`	Exploitation for Privilege Escalation

방어 Evasion¶

Command	Description
`Invoke-AtomicTest T1027`	Obfuscated Files or Information
`Invoke-AtomicTest T1070.004`	File Deletion
`Invoke-AtomicTest T1562.001`	Disable or Modify Tools
`Invoke-AtomicTest T1218.010`	Regsvr32
`Invoke-AtomicTest T1036`	Masquerading

Credential 접근¶

Command	Description
`Invoke-AtomicTest T1003.001`	LSASS Memory dump
`Invoke-AtomicTest T1003.002`	Security Account Manager
`Invoke-AtomicTest T1003.003`	NTDS.dit
`Invoke-AtomicTest T1110.001`	Password Spraying
`Invoke-AtomicTest T1555.003`	Credentials from Web Browsers

팟캐스트¶

Command	Description
`Invoke-AtomicTest T1087.001`	Local Account Discovery
`Invoke-AtomicTest T1087.002`	Domain Account Discovery
`Invoke-AtomicTest T1018`	Remote System Discovery
`Invoke-AtomicTest T1083`	File and Directory Discovery
`Invoke-AtomicTest T1057`	Process Discovery

옆 운동¶

Command	Description
`Invoke-AtomicTest T1021.001`	Remote Desktop Protocol
`Invoke-AtomicTest T1021.002`	SMB/Windows Admin Shares
`Invoke-AtomicTest T1021.003`	Distributed Component Object Model
`Invoke-AtomicTest T1021.006`	Windows Remote Management
`Invoke-AtomicTest T1550.002`	Pass the Hash

제품정보¶

Command	Description
`Invoke-AtomicTest T1005`	Data from Local System
`Invoke-AtomicTest T1039`	Data from Network Shared Drive
`Invoke-AtomicTest T1113`	Screen Capture
`Invoke-AtomicTest T1123`	Audio Capture
`Invoke-AtomicTest T1115`	Clipboard Data

명령 및 제어¶

Command	Description
`Invoke-AtomicTest T1071.001`	Web Protocols
`Invoke-AtomicTest T1071.004`	DNS
`Invoke-AtomicTest T1090.003`	Multi-hop Proxy
`Invoke-AtomicTest T1573.002`	Asymmetric Cryptography

제품정보¶

Command	Description
`Invoke-AtomicTest T1485`	Data Destruction
`Invoke-AtomicTest T1486`	Data Encrypted for Impact
`Invoke-AtomicTest T1490`	Inhibit System Recovery
`Invoke-AtomicTest T1498`	Network Denial of Service

고급 사용¶

주문 모수¶

Command	Description
`Invoke-AtomicTest T1003.001 -InputArgs @{"output_file"="C:\temp\lsass.dmp"}`	Pass custom parameters
`Invoke-AtomicTest T1087.001 -InputArgs @{"username"="testuser"}`	Specify username parameter

일괄 실행¶

Command	Description
`Invoke-AtomicTest T1003.001,T1003.002,T1003.003`	Execute multiple tests
`Get-AtomicTechnique \\| ForEach-Object {Invoke-AtomicTest $_.Technique}`	Execute all available tests

로깅 및 출력¶

Command	Description
`Invoke-AtomicTest T1003.001 -LoggingModule "Attire-ExecutionLogger"`	Enable logging
`Invoke-AtomicTest T1003.001 -ExecutionLogPath "C:\logs\atomic.log"`	Specify log path
`Invoke-AtomicTest T1003.001 -TimeoutSeconds 60`	Set execution timeout

제품 설명¶

Config 파일 (config.yaml)¶

카지노사이트

환경 변수¶

Variable	Description
`$env:ATOMIC_RED_TEAM_PATH`	Path to Atomic Red Team directory
`$env:ATOMIC_LOG_PATH`	Path for execution logs
`$env:ATOMIC_TIMEOUT`	Default timeout for tests

Linux/macOS 사용법¶

설치하기¶

Command	Description
`git clone https://github.com/redcanaryco/atomic-red-team.git`	Clone repository
`cd atomic-red-team`	Navigate to directory
`chmod +x atomics//src/`	Make scripts executable

회사연혁¶

Command	Description
`bash atomics/T1059.004/src/T1059.004.sh`	Execute bash-based test
`python3 atomics/T1059.006/src/T1059.006.py`	Execute Python-based test
`./atomics/T1083/src/T1083-1.sh`	Execute specific test variant

SIEM과의 통합¶

Splunk 통합¶

Command	Description
`Invoke-AtomicTest T1003.001 -LoggingModule "Splunk"`	Log to Splunk
`index=atomic_red_team technique=T1003.001`	Search Splunk for test results

사이트맵 Stack 통합¶

Command	Description
`Invoke-AtomicTest T1003.001 -LoggingModule "Elasticsearch"`	Log to Elasticsearch

주문 시험 개발¶

시험 구조¶

카지노사이트

주문 시험 실행¶

Command	Description
`Invoke-AtomicTest -AtomicsFolder "C:\CustomAtomics" T9999.001`	Execute custom test

보고 및 분석¶

Command	Description
`Get-AtomicTestResults`	Get execution results
`Export-AtomicTestResults -Format CSV -Path "results.csv"`	Export results to CSV
`Get-AtomicCoverage`	Show MITRE ATT&CK coverage
`Show-AtomicTestMatrix`	Display test matrix

자동화 및 일정¶

PowerShell 일정 채용 정보¶

카지노사이트

연속 테스트¶

Command	Description
`Start-AtomicContinuousTesting -Techniques @("T1003.001","T1087.001") -Interval 3600`	Run tests every hour

보안 고려 사항¶

격리된 환경에서 테스트 실행
시험 실행 후에 적당한 cleanup를 지킵니다
보안 도구에서 false 긍정적 인 모니터링
문서 준수에 대한 모든 테스트 실행
최소한의 권한 원칙
적절한 액세스 제어 구현
시험의 앞에 일정한 백업
보안 운영 센터와의 협조

최고의 연습¶

낮은 충격 기술로 시작
항상 prerequisite 체크를 실행
시험 후에 cleanup 기능 사용
문서 시험 결과 및 관측
Blue 팀 활동과의 협조
비생산 환경에서 테스트
적절한 로깅 및 모니터링
시험 도서관에 일정한 업데이트
검증된 탐지 기능
특정 환경에 대한 사용자 정의 테스트 만들기

문제 해결¶

Command	Description
`Get-Help Invoke-AtomicTest -Full`	Get detailed help
`Test-AtomicTestInputArgs T1003.001`	Validate input arguments
`Get-AtomicTestPrerequisites T1003.001`	Check prerequisites
`Repair-AtomicTest T1003.001`	Attempt to fix test issues

일반적인 문제¶

시험 실행을 가진 항 바이러스 방해
예비 부품 또는 의존성
테스트 실행에 대한 충분한 권한
외부 리소스에 대한 네트워크 연결 문제
다른 운영 체제에서 경로 관련 문제

Command	Description
`Invoke-AtomicTest T1041`	Exfiltration Over C2 Channel
`Invoke-AtomicTest T1048.003`	Exfiltration Over Unencrypted/Obfuscated Non-C2 Protocol
`Invoke-AtomicTest T1567.002`	Exfiltration to Cloud Storage

Atomic Red 팀¶

설치 및 설치¶

기본 사용¶

시험 Discovery¶

미츠비시 ATT&CK 기술 정보¶

초기 액세스¶

회사연혁¶

회사 소개¶

Privilege 확장¶

방어 Evasion¶

Credential 접근¶

팟캐스트¶

옆 운동¶

제품정보¶

명령 및 제어¶

관련 제품¶

제품정보¶

고급 사용¶

주문 모수¶

일괄 실행¶

로깅 및 출력¶

제품 설명¶

Config 파일 (config.yaml)¶

환경 변수¶

Linux/macOS 사용법¶

설치하기¶

회사연혁¶

SIEM과의 통합¶

Splunk 통합¶

사이트맵 Stack 통합¶

주문 시험 개발¶

시험 구조¶

주문 시험 실행¶

보고 및 분석¶

자동화 및 일정¶

PowerShell 일정 채용 정보¶

연속 테스트¶

보안 고려 사항¶

최고의 연습¶

문제 해결¶

일반적인 문제¶