Atomic Red 팀

Atomic Red Team은 보안팀이 신속하게 사용할 수 있는 MITRE ATT&CK; 프레임워크에 맵핑된 테스트 라이브러리이며, 이를 통해 해당 환경을 신속하게 테스트할 수 있습니다.

설치 및 설치

| | Command | Description | | | --- | --- | | | git clone https://github.com/redcanaryco/atomic-red-team.git | Clone Atomic Red Team repository | | | | cd atomic-red-team | Navigate to repository | | | | Install-Module -Name invoke-atomicredteam,powershell-yaml -Scope CurrentUser | Install PowerShell modules | | | | Import-Module "C:\AtomicRedTeam\invoke-atomicredteam\Invoke-AtomicRedTeam.psd1" -Force | Import PowerShell module | | | | Invoke-AtomicTest T1003.001 -ShowDetails | Show test details | |

기본 사용

| | Command | Description | | | --- | --- | | | Invoke-AtomicTest T1003.001 | Execute specific atomic test | | | | Invoke-AtomicTest T1003.001 -TestNumbers 1 | Execute specific test number | | | | Invoke-AtomicTest T1003.001 -ShowDetails | Show test details without executing | | | | Invoke-AtomicTest T1003.001 -CheckPrereqs | Check prerequisites | | | | Invoke-AtomicTest T1003.001 -GetPrereqs | Install prerequisites | | | | Invoke-AtomicTest T1003.001 -Cleanup | Run cleanup for test | |

시험 Discovery

| | Command | Description | | | --- | --- | | | Get-AtomicTechnique | List all available techniques | | | | Get-AtomicTechnique -Path "C:\AtomicRedTeam\atomics" | List techniques from specific path | | | | Get-AtomicTechnique \ | Where-Object {$_.DisplayName -match "credential"} | Search techniques by keyword | | | | Get-AtomicTechnique T1003 | Get details for specific technique | |

미츠비시 ATT&CK; 기술 정보

초기 액세스

| | Command | Description | | | --- | --- | | | Invoke-AtomicTest T1566.001 | Spearphishing Attachment | | | | Invoke-AtomicTest T1566.002 | Spearphishing Link | | | | Invoke-AtomicTest T1190 | Exploit Public-Facing Application | | | | Invoke-AtomicTest T1133 | External Remote Services | | | | Invoke-AtomicTest T1200 | Hardware Additions | |

회사연혁

| | Command | Description | | | --- | --- | | | Invoke-AtomicTest T1059.001 | PowerShell execution | | | | Invoke-AtomicTest T1059.003 | Windows Command Shell | | | | Invoke-AtomicTest T1059.004 | Unix Shell | | | | Invoke-AtomicTest T1059.006 | Python execution | | | | Invoke-AtomicTest T1053.005 | Scheduled Task/Job | |

회사 소개

| | Command | Description | | | --- | --- | | | Invoke-AtomicTest T1547.001 | Registry Run Keys | | | | Invoke-AtomicTest T1053.005 | Scheduled Task | | | | Invoke-AtomicTest T1543.003 | Windows Service | | | | Invoke-AtomicTest T1136.001 | Local Account creation | | | | Invoke-AtomicTest T1098 | Account Manipulation | |

Privilege 확장

| | Command | Description | | | --- | --- | | | Invoke-AtomicTest T1548.002 | Bypass User Account Control | | | | Invoke-AtomicTest T1055 | Process Injection | | | | Invoke-AtomicTest T1134 | Access Token Manipulation | | | | Invoke-AtomicTest T1068 | Exploitation for Privilege Escalation | |

방어 Evasion

| | Command | Description | | | --- | --- | | | Invoke-AtomicTest T1027 | Obfuscated Files or Information | | | | Invoke-AtomicTest T1070.004 | File Deletion | | | | Invoke-AtomicTest T1562.001 | Disable or Modify Tools | | | | Invoke-AtomicTest T1218.010 | Regsvr32 | | | | Invoke-AtomicTest T1036 | Masquerading | |

Credential 접근

| | Command | Description | | | --- | --- | | | Invoke-AtomicTest T1003.001 | LSASS Memory dump | | | | Invoke-AtomicTest T1003.002 | Security Account Manager | | | | Invoke-AtomicTest T1003.003 | NTDS.dit | | | | Invoke-AtomicTest T1110.001 | Password Spraying | | | | Invoke-AtomicTest T1555.003 | Credentials from Web Browsers | |

팟캐스트

| | Command | Description | | | --- | --- | | | Invoke-AtomicTest T1087.001 | Local Account Discovery | | | | Invoke-AtomicTest T1087.002 | Domain Account Discovery | | | | Invoke-AtomicTest T1018 | Remote System Discovery | | | | Invoke-AtomicTest T1083 | File and Directory Discovery | | | | Invoke-AtomicTest T1057 | Process Discovery | |

옆 운동

| | Command | Description | | | --- | --- | | | Invoke-AtomicTest T1021.001 | Remote Desktop Protocol | | | | Invoke-AtomicTest T1021.002 | SMB/Windows Admin Shares | | | | Invoke-AtomicTest T1021.003 | Distributed Component Object Model | | | | Invoke-AtomicTest T1021.006 | Windows Remote Management | | | | Invoke-AtomicTest T1550.002 | Pass the Hash | |

제품정보

| | Command | Description | | | --- | --- | | | Invoke-AtomicTest T1005 | Data from Local System | | | | Invoke-AtomicTest T1039 | Data from Network Shared Drive | | | | Invoke-AtomicTest T1113 | Screen Capture | | | | Invoke-AtomicTest T1123 | Audio Capture | | | | Invoke-AtomicTest T1115 | Clipboard Data | |

명령 및 제어

| | Command | Description | | | --- | --- | | | Invoke-AtomicTest T1071.001 | Web Protocols | | | | Invoke-AtomicTest T1071.004 | DNS | | | | Invoke-AtomicTest T1090.003 | Multi-hop Proxy | | | | Invoke-AtomicTest T1573.002 | Asymmetric Cryptography | |

제품정보

| | Command | Description | | | --- | --- | | | Invoke-AtomicTest T1485 | Data Destruction | | | | Invoke-AtomicTest T1486 | Data Encrypted for Impact | | | | Invoke-AtomicTest T1490 | Inhibit System Recovery | | | | Invoke-AtomicTest T1498 | Network Denial of Service | |

고급 사용

주문 모수

| | Command | Description | | | --- | --- | | | Invoke-AtomicTest T1003.001 -InputArgs @{"output_file"="C:\temp\lsass.dmp"} | Pass custom parameters | | | | Invoke-AtomicTest T1087.001 -InputArgs @{"username"="testuser"} | Specify username parameter | |

일괄 실행

| | Command | Description | | | --- | --- | | | Invoke-AtomicTest T1003.001,T1003.002,T1003.003 | Execute multiple tests | | | | Get-AtomicTechnique \ | ForEach-Object {Invoke-AtomicTest $_.Technique} | Execute all available tests | |

로깅 및 출력

| | Command | Description | | | --- | --- | | | Invoke-AtomicTest T1003.001 -LoggingModule "Attire-ExecutionLogger" | Enable logging | | | | Invoke-AtomicTest T1003.001 -ExecutionLogPath "C:\logs\atomic.log" | Specify log path | | | | Invoke-AtomicTest T1003.001 -TimeoutSeconds 60 | Set execution timeout | |

제품 설명

Config 파일 (config.yaml)

카지노사이트

환경 변수

| | Variable | Description | | | --- | --- | | | $env:ATOMIC_RED_TEAM_PATH | Path to Atomic Red Team directory | | | | $env:ATOMIC_LOG_PATH | Path for execution logs | | | | $env:ATOMIC_TIMEOUT | Default timeout for tests | |

Linux/macOS 사용법

설치하기

| | Command | Description | | | --- | --- | | | git clone https://github.com/redcanaryco/atomic-red-team.git | Clone repository | | | | cd atomic-red-team | Navigate to directory | | | | chmod +x atomics/*/src/* | Make scripts executable | |

회사연혁

| | Command | Description | | | --- | --- | | | bash atomics/T1059.004/src/T1059.004.sh | Execute bash-based test | | | | python3 atomics/T1059.006/src/T1059.006.py | Execute Python-based test | | | | ./atomics/T1083/src/T1083-1.sh | Execute specific test variant | |

SIEM과의 통합

Splunk 통합

| | Command | Description | | | --- | --- | | | Invoke-AtomicTest T1003.001 -LoggingModule "Splunk" | Log to Splunk | | | | index=atomic_red_team technique=T1003.001 | Search Splunk for test results | |

사이트맵 Stack 통합

| | Command | Description | | | --- | --- | | | Invoke-AtomicTest T1003.001 -LoggingModule "Elasticsearch" | Log to Elasticsearch | |

주문 시험 개발

시험 구조

카지노사이트

주문 시험 실행

| | Command | Description | | | --- | --- | | | Invoke-AtomicTest -AtomicsFolder "C:\CustomAtomics" T9999.001 | Execute custom test | |

보고 및 분석

| | Command | Description | | | --- | --- | | | Get-AtomicTestResults | Get execution results | | | | Export-AtomicTestResults -Format CSV -Path "results.csv" | Export results to CSV | | | | Get-AtomicCoverage | Show MITRE ATT&CK; coverage | | | | Show-AtomicTestMatrix | Display test matrix | |

자동화 및 일정

PowerShell 일정 채용 정보

카지노사이트

연속 테스트

| | Command | Description | | | --- | --- | | | Start-AtomicContinuousTesting -Techniques @("T1003.001","T1087.001") -Interval 3600 | Run tests every hour | |

보안 고려 사항

격리된 환경에서 테스트 실행
시험 실행 후에 적당한 cleanup를 지킵니다
보안 도구에서 false 긍정적 인 모니터링
문서 준수에 대한 모든 테스트 실행
최소한의 권한 원칙
적절한 액세스 제어 구현
시험의 앞에 일정한 백업
보안 운영 센터와의 협조

최고의 연습

낮은 충격 기술로 시작
항상 prerequisite 체크를 실행
시험 후에 cleanup 기능 사용
문서 시험 결과 및 관측
Blue 팀 활동과의 협조
비생산 환경에서 테스트
적절한 로깅 및 모니터링
시험 도서관에 일정한 업데이트
검증된 탐지 기능
특정 환경에 대한 사용자 정의 테스트 만들기

문제 해결

| | Command | Description | | | --- | --- | | | Get-Help Invoke-AtomicTest -Full | Get detailed help | | | | Test-AtomicTestInputArgs T1003.001 | Validate input arguments | | | | Get-AtomicTestPrerequisites T1003.001 | Check prerequisites | | | | Repair-AtomicTest T1003.001 | Attempt to fix test issues | |

일반적인 문제

시험 실행을 가진 항 바이러스 방해
예비 부품 또는 의존성
테스트 실행에 대한 충분한 권한
외부 리소스에 대한 네트워크 연결 문제
다른 운영 체제에서 경로 관련 문제

Atomic Red 팀

설치 및 설치

기본 사용

시험 Discovery

미츠비시 ATT&CK; 기술 정보

초기 액세스

회사연혁

회사 소개

Privilege 확장

방어 Evasion

Credential 접근

팟캐스트

옆 운동

제품정보

명령 및 제어

관련 제품

제품정보

고급 사용

주문 모수

일괄 실행

로깅 및 출력

제품 설명

Config 파일 (config.yaml)

환경 변수

Linux/macOS 사용법

설치하기

회사연혁

SIEM과의 통합

Splunk 통합

사이트맵 Stack 통합

주문 시험 개발

시험 구조

주문 시험 실행

보고 및 분석

자동화 및 일정

PowerShell 일정 채용 정보

연속 테스트

보안 고려 사항

최고의 연습

문제 해결

일반적인 문제