ATT&CK子项目atomicredteam测试环境安装与使用

ATT&CK(六)之ATT&CK子项目atomicredteam测试环境安装与使用_网络安全

Atomicredteam的主站点为https://atomicredteam.io/,是一个攻击测试库,每个安全团队都可以执行这些测试来测试他们的防御控件。测试是有重点的,几乎没有依赖关系,并且以结构化格式定义,自动化框架可以使用这种格式。

Atomicredteam与Invoke-Atomicredteam一起使用,或者被其他的自动化测试框架集成使用。使用两个案例说明Atomicredteam的使用

T1003.001

先打开Atomicredteam的目录atomics,进入到T1003目录,干脆直接进入T1003.001目录。T1003.001,表示OS Credential Dumping。共有13种记录的方式可以获取。逐个解读以下:

ATT&CK(六)之ATT&CK子项目atomicredteam测试环境安装与使用_网络_02

常用的指令包括:

#执行测试
Invoke-AtomicTest T1218 -TestNames "Uninstall Sysmon"
Invoke-AtomicTest T1218 -TestNumbers 2
#输出执行日志
Invoke-AtomicTest T1218.010 -ExecutionLogPath 'C:\Temp\mylog.csv'
#执行日志转换为表格
Import-Csv $env:TEMP\Invoke-AtomicTest-ExecutionLog.csv | Out-GridView
#清除执行痕迹
Invoke-AtomicTest T1218 -Cleanup