ATT&CK(五)之ATT&CK子项目invoke-atomicredteam的安装与使用
ATT&CK子项目invoke-atomicredteam的安装与使用
Invoke_atomicredteam介绍
Invoke-AtomicRedTeam 是一个 PowerShell 模块,用于执行在Red Canary 的 Atomic Red Team 项目的atomics 文件夹中定义的测试。“atomics”包含由MITRE ATT&CK™ 框架定义的每个技术的文件夹。在每个“T#”文件夹中,您会找到一个yaml文档,该文件定义了每个原子测试的攻击过程以及相同数据的更易于阅读的Markdown文档
建议设置一个测试机器来执行类似于您环境中的构建的原子测试执行。确保您已准备好收集/EDR 解决方案,并且端点正在签入并处于活动状态
这是Markdown文件对攻击技术大类的描述,可以看到,T1003有6个子技术,这个完全按照ATT&CK矩阵中的技术进行描述
Invoke_atomicredteam环境安装
在安装之前,需要有点准备
1.网络环境
可从github上搜索该名字自行下载
2.杀毒软件关闭
因为安装测试的工具软件大部分情况下会被操作系统自带的杀毒软件Defender或其他第三方杀毒软件查杀,因此需要关闭杀毒软件;Defender需要从组策略中禁用,并重启后才能彻底关闭
组策略->计算机配置->管理模板->windows组件->Microsoft Defender防病毒
- 启用“关闭实施保护”策略
- 禁用“监视计算机上的文件和程序活动”策略
- 禁用“打开行为监视”策略
如果是家庭版操作系统,需要运行一个小脚本才能开启组策略功能。
由于我们安装的软件,可能会被windows系统的杀毒软件defender查杀, 所有需要在组策略中关闭defender。如果环境操作系统是家庭版操作系统,需要进行部分变更,重新启动操作系统,才可以调出组策略
@echo off
pushd "%~dp0"
dir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum >List.txt
dir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum >>List.txt
for /f %%i in ('findstr /i . List.txt 2^>nul') do dism /online /norestart /add-package:"C:\Windows\servicing\Packages\%%i"
pause
有远程安装方式和本地安装方式,如果本地安装,需要将Invoke_atomicredteam项目的压缩包下载到本地的“C:\Windows\System32\WindowsPowerShell\v1.0\Modules”目录,并解压。下载链接地址为https://codeload.github.com/redcanaryco/invoke-atomicredteam/zip/refs/heads/master
,在github上搜索Invoke_atomicredteam项目即可
安装指令如下,表示为当前用户安装项目。可能需要安装最新的Nuget和Gallery程序作为支撑,我们直接安装就好
Install-Module -Name invoke-atomicredteam,powershell-yaml -Scope CurrentUser
如果遇到没有签名的Powershell包,在安装的时候,需要强行将签名校验放行才能正常安装,指令为
Set-ExecutionPolicy -ExecutionPolicy Bypass
或者
powershell -exec bypass
也可以不需要下载,直接从网络上安装。执行指令如下,第一条指令表示从网络上,将install-atomicredteam.ps1加载到本地内存中,然后可以执行第二条指令,真正的开始安装。安装的时候,可以在Install-AtomicRedTeam 命令后面带上参数BASEPATH,可以将Invoke_atomicredteam安装至指定目录下
IEX (IWR 'https://raw.githubusercontent.com/redcanaryco/invoke-atomicredteam/master/install-atomicredteam.ps1' -UseBasicParsing);
Install-AtomicRedTeam
安装Invoke_atomicredtea的目的是为了更好的进行红蓝队攻击动作的测试,所以需要继续添加红队的战术、技术和工具。安装指令如下,也不需要下载
直接从网络上下载安装即可
但是这会将所有的RedTeam的说明文件,还有payload等工具全部下载下来,时间会比较长,因此可以先选择只下载说明文件,而不下载payload工具。指令如下:
Install-AtomicRedTeam -getAtomics -Force -noPayloads
如果在安装之前,系统弹出SSL/TLS错误,则需要安装更新一个工具,指令如下:
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12