| Comando | Descrição |
|---|
git clone https://github.com/redcanaryco/atomic-red-team.git | Clone repositório Atomic Red Team |
cd atomic-red-team | Navegue até o repositório |
Install-Module -Name invoke-atomicredteam,powershell-yaml -Scope CurrentUser | Instalar módulos do PowerShell |
Import-Module "C:\AtomicRedTeam\invoke-atomicredteam\Invoke-AtomicRedTeam.psd1" -Force | Importar módulo PowerShell |
Invoke-AtomicTest T1003.001 -ShowDetails | Mostrar detalhes do teste |
| Comando | Descrição |
|---|
Invoke-AtomicTest T1003.001 | Executar teste atômico específico |
Invoke-AtomicTest T1003.001 -TestNumbers 1 | Executar número de teste específico |
Invoke-AtomicTest T1003.001 -ShowDetails | Mostrar detalhes do teste sem executar |
Invoke-AtomicTest T1003.001 -CheckPrereqs | Verificar pré-requisitos |
Invoke-AtomicTest T1003.001 -GetPrereqs | Instalar pré-requisitos |
Invoke-AtomicTest T1003.001 -Cleanup | Executar limpeza para teste |
| Comando | Descrição |
|---|
Get-AtomicTechnique | Listar todas as técnicas disponíveis |
Get-AtomicTechnique -Path "C:\AtomicRedTeam\atomics" | Listar técnicas do caminho específico |
| `Get-AtomicTechnique \ | Where-Object {$_.DisplayName -match “credential”}` |
Get-AtomicTechnique T1003 | Obter detalhes para técnica específica |
| Comando | Descrição |
|---|
Invoke-AtomicTest T1566.001 | Anexo de Spearphishing |
Invoke-AtomicTest T1566.002 | Link de Spearphishing |
Invoke-AtomicTest T1190 | Explorar Aplicação Exposta Publicamente |
Invoke-AtomicTest T1133 | Serviços Remotos Externos |
Invoke-AtomicTest T1200 | Adições de Hardware |
| Comando | Descrição |
|---|
Invoke-AtomicTest T1059.001 | Execução do PowerShell |
Invoke-AtomicTest T1059.003 | Windows Command Shell |
Invoke-AtomicTest T1059.004 | Unix Shell |
Invoke-AtomicTest T1059.006 | Execução Python |
Invoke-AtomicTest T1053.005 | Tarefa/Job Agendado |
| Comando | Descrição |
|---|
Invoke-AtomicTest T1547.001 | Chaves de Execução do Registro |
Invoke-AtomicTest T1053.005 | Tarefa Agendada |
Invoke-AtomicTest T1543.003 | Serviço do Windows |
Invoke-AtomicTest T1136.001 | Criação de Conta Local |
Invoke-AtomicTest T1098 | Manipulação de Conta |
| Comando | Descrição |
|---|
Invoke-AtomicTest T1548.002 | Ignorar Controle de Conta de Usuário |
Invoke-AtomicTest T1055 | Injeção de Processo |
Invoke-AtomicTest T1134 | Manipulação de Token de Acesso |
Invoke-AtomicTest T1068 | Exploração para Escalação de Privilégios |
| Comando | Descrição |
|---|
Invoke-AtomicTest T1027 | Arquivos ou Informações Ofuscados |
Invoke-AtomicTest T1070.004 | Exclusão de Arquivo |
Invoke-AtomicTest T1562.001 | Desativar ou Modificar Ferramentas |
Invoke-AtomicTest T1218.010 | Regsvr32 |
Invoke-AtomicTest T1036 | Mascaramento |
| Comando | Descrição |
|---|
Invoke-AtomicTest T1003.001 | Despejo de Memória do LSASS |
Invoke-AtomicTest T1003.002 | Gerente de Conta de Segurança |
Invoke-AtomicTest T1003.003 | NTDS.dit |
Invoke-AtomicTest T1110.001 | Pulverização de Senha |
Invoke-AtomicTest T1555.003 | Credenciais de Navegadores Web |
| Comando | Descrição |
|---|
Invoke-AtomicTest T1087.001 | Descoberta de Conta Local |
Invoke-AtomicTest T1087.002 | Descoberta de Conta de Domínio |
Invoke-AtomicTest T1018 | Descoberta de Sistema Remoto |
Invoke-AtomicTest T1083 | Descoberta de Arquivos e Diretórios |
Invoke-AtomicTest T1057 | Descoberta de Processo |
| Comando | Descrição |
|---|
Invoke-AtomicTest T1021.001 | Protocolo de Área de Trabalho Remota |
Invoke-AtomicTest T1021.002 | Compartilhamentos de Administração SMB/Windows |
Invoke-AtomicTest T1021.003 | Modelo de Objeto de Componente Distribuído |
Invoke-AtomicTest T1021.006 | Windows Remote Management |
Invoke-AtomicTest T1550.002 | Pass the Hash |
| Comando | Descrição |
|---|
Invoke-AtomicTest T1005 | Dados do Sistema Local |
Invoke-AtomicTest T1039 | Dados da Unidade de Rede Compartilhada |
Invoke-AtomicTest T1113 | Captura de Tela |
Invoke-AtomicTest T1123 | Captura de Áudio |
Invoke-AtomicTest T1115 | Dados da Área de Transferência |
| Comando | Descrição |
|---|
Invoke-AtomicTest T1071.001 | Protocolos Web |
Invoke-AtomicTest T1071.004 | DNS |
Invoke-AtomicTest T1090.003 | Proxy Multi-hop |
Invoke-AtomicTest T1573.002 | Criptografia Assimétrica |
| Comando | Descrição |
|---|
Invoke-AtomicTest T1041 | Exfiltração por Canal C2 |
Invoke-AtomicTest T1048.003 | Exfiltração por Protocolo Não-C2 Não Criptografado/Ofuscado |
Invoke-AtomicTest T1567.002 | Exfiltração para Armazenamento em Nuvem |
| Comando | Descrição |
|---|
Invoke-AtomicTest T1485 | Destruição de Dados |
Invoke-AtomicTest T1486 | Dados Criptografados para Impacto |
Invoke-AtomicTest T1490 | Inibir Recuperação do Sistema |
Invoke-AtomicTest T1498 | Negação de Serviço de Rede |
| Comando | Descrição |
|---|
Invoke-AtomicTest T1003.001 -InputArgs @{"output_file"="C:\temp\lsass.dmp"} | Passar parâmetros personalizados |
Invoke-AtomicTest T1087.001 -InputArgs @{"username"="testuser"} | Especificar parâmetro de nome de usuário |
| Comando | Descrição |
|---|
Invoke-AtomicTest T1003.001,T1003.002,T1003.003 | Executar múltiplos testes |
| `Get-AtomicTechnique \ | ForEach-Object {Invoke-AtomicTest $_.Technique}` |
| Comando | Descrição |
|---|
Invoke-AtomicTest T1003.001 -LoggingModule "Attire-ExecutionLogger" | Habilitar log |
Invoke-AtomicTest T1003.001 -ExecutionLogPath "C:\logs\atomic.log" | Especificar caminho do log |
Invoke-AtomicTest T1003.001 -TimeoutSeconds 60 | Definir tempo limite de execução |
# Atomic Red Team Configuration
atomics_folder: "C:\\AtomicRedTeam\\atomics"
log_folder: "C:\\AtomicRedTeam\\logs"
default_timeout: 120
check_prereqs: true
get_prereqs: false
cleanup: true
Environment Variables
| Variável | Descrição |
|---|
$env:ATOMIC_RED_TEAM_PATH | Caminho para o diretório do Atomic Red Team |
$env:ATOMIC_LOG_PATH | Caminho para logs de execução |
$env:ATOMIC_TIMEOUT | Tempo limite padrão para testes |
Linux/macOS Usage
Installation
| Comando | Descrição |
|---|
git clone https://github.com/redcanaryco/atomic-red-team.git | Clonar repositório |
cd atomic-red-team | Navegue até o diretório |
chmod +x atomics/*/src/* | Tornar scripts executáveis |
Execution
| Comando | Descrição |
|---|
bash atomics/T1059.004/src/T1059.004.sh | Executar teste baseado em bash |
python3 atomics/T1059.006/src/T1059.006.py | Executar teste baseado em Python |
./atomics/T1083/src/T1083-1.sh | Executar variante de teste específica |
Integration with SIEM
Splunk Integration
| Comando | Descrição |
|---|
Invoke-AtomicTest T1003.001 -LoggingModule "Splunk" | Registrar no Splunk |
index=atomic_red_team technique=T1003.001 | Pesquisar Splunk para resultados de teste |
ELK Stack Integration
| Comando | Descrição |
|---|
Invoke-AtomicTest T1003.001 -LoggingModule "Elasticsearch" | Log para Elasticsearch |
Custom Test Development
Test Structure
attack_technique: T1003.001
display_name: "LSASS Memory"
atomic_tests:
- name: Dump LSASS.exe Memory using ProcDump
auto_generated_guid: 0be2230c-9ab3-4ac2-8826-3199b9a0ebf8
description: |
The memory of lsass.exe is often dumped for offline credential theft attacks.
supported_platforms:
- windows
input_arguments:
output_file:
description: Path where resulting dump should be placed
type: Path
default: C:\Windows\Temp\lsass_dump.dmp
executor:
command: |
procdump.exe -accepteula -ma lsass.exe #{output_file}
name: command_prompt
Custom Test Execution
| Comando | Descrição |
|---|
Invoke-AtomicTest -AtomicsFolder "C:\CustomAtomics" T9999.001 | Executar teste personalizado |
Reporting and Analysis
| Comando | Descrição |
|---|
Get-AtomicTestResults | Obter resultados de execução |
Export-AtomicTestResults -Format CSV -Path "results.csv" | Exportar resultados para CSV |
Get-AtomicCoverage | Mostrar cobertura MITRE ATT&CK |
Show-AtomicTestMatrix | Exibir matriz de teste |
Automation and Scheduling
PowerShell Scheduled Jobs
$trigger = New-JobTrigger -Daily -At "2:00 AM"
Register-ScheduledJob -Name "AtomicRedTeam" -Trigger $trigger -ScriptBlock {
Import-Module Invoke-AtomicRedTeam
Invoke-AtomicTest T1003.001 -Cleanup
}
Continuous Testing
| Comando | Descrição |
|---|
Start-AtomicContinuousTesting -Techniques @("T1003.001","T1087.001") -Interval 3600 | Executar testes a cada hora |
Security Considerations
- Run tests in isolated environments only
- Ensure proper cleanup after test execution
- Monitor for false positives in security tools
- Document all test executions for compliance
- Use least privilege principles
- Implement proper access controls
- Regular backup before testing
- Coordinate with security operations center
Best Practices
- Start with low-impact techniques
- Always run prerequisite checks first
- Use cleanup functions after testing
- Document test results and observations
- Coordinate with blue team activities
- Test in non-production environments first
- Implement proper logging and monitoring
- Regular updates to test library
- Validate detection capabilities
- Create custom tests for specific environments
Troubleshooting
| Comando | Descrição |
|---|
Get-Help Invoke-AtomicTest -Full | Obtenha ajuda detalhada |
Test-AtomicTestInputArgs T1003.001 | Validar argumentos de entrada |
Get-AtomicTestPrerequisites T1003.001 | Verificar pré-requisitos |
Repair-AtomicTest T1003.001 | Tentar corrigir problemas de teste |
Common Issues
- Antivirus interference with test execution
- Missing prerequisites or dependencies
- Insufficient privileges for test execution
- Network connectivity issues for external resources
- Path-related issues on different operating systems
