[Blue Teams Academy] 모듈 20 - "Atomic Red Team"을 사용한 Red Teaming 공격 시뮬레이션

현대 조직들은 매일 사이버 위협에 직면한다. 검은 모자 해커들은 그들이 멈출 것이라는 어떤 징후도 보이지 않는다. 새로운 해킹 기법이 정기적으로 등장한다. 복수의 정보보안 보고서에 따르면 APT 공격 건수가 눈에 띄게 증가해 국방, 제조업, 금융업 등을 대상으로 하고 있다. 그러므로 고전적인 보호 기술은 많은 경우에 무용지물이다. 적절한 플랫폼과 솔루션을 구축하면 조직과 기업이 특히 APT를 비롯한 사이버 공격을 방어하는 데 도움이 될 수 있다. 이러한 플랫폼 중 일부는 공격 시뮬레이션 툴이다. 이 기사에서는 Atomic Red Team이라고 하는 적색 팀 구성 시뮬레이션 플랫폼을 구축하는 방법에 대해 알아보려고 한다.

하지만 먼저 레드 팀 구성이란 무엇인가?

Techtarget은 빨간색 팀 구성을 다음과 같이 정의한다.

"적색 팀 구성은 적대적 접근법을 채택함으로써 계획, 정책, 시스템 및 가정에 엄격하게 도전하는 관행이다. 레드팀은 계약된 외부 당사자일 수도 있고, 외부인의 관점을 장려하기 위해 전략을 사용하는 내부 그룹일 수도 있다."

Red Teamers는 보통 다음 단계를 수행한다.

• Recon
• 초기 절충
• 지속성 확립
• 권한 상승
• 내부 재구성
• 횡방향 이동
• 데이터 분석
• Exfiltrate and complete mission

이미지 소스

아토믹 레드 팀

공식 기투브 리포지토리에 따르면

Atomic Red Team은 모든 보안 팀이 적들에 의해 사용되는 동일한 기법을 실행하는 간단한 "원자 테스트"를 실행함으로써 그들의 통제력을 테스트할 수 있도록 허용한다. 미트레의 ATT&CK). 원자적색팀은 모든 보안팀이 그들의 통제력을 테스트하기 위해 실행할 수 있는 간단한 테스트의 라이브러리다. 테스트는 초점이 맞춰지고, 의존성이 거의 없으며, 자동화 프레임워크에서 사용할 수 있는 구조화된 형식으로 정의된다.

MITRE AT&CK는 Mitre Corporation이 개발한 프레임워크다. 이 포괄적인 문서는 많은 다른 조직에 대한 수백만 건의 실제 공격을 관찰한 후 상대 공격, 즉 그들의 기술과 전술을 분류한다. ATT&CK가 'Adversarical Tactory, Technology & Common Knowledge'를 지칭하는 이유다. 전술은 가장 높은 수준의 공격 행동이다. 공격을 성공적으로 실행하기 위한 기법을 사용한다.

MITRE 프레임워크는 다음과 같이 전술을 제시한다.

1. 초기 액세스
2. 실행
3. 끈기
4. 권한 상승
5. 디펜스 포탈
6. 자격 증명 액세스
7. 디스커버리
8. 횡방향 이동
9. 컬렉션
10. 엑필터레이션
11. 명령 및 제어

Atomic Red Team을 설치하고 사용하는 방법을 살펴봅시다.

먼저 여기서 프로젝트를 다운로드하십시오. https://github.com/redcanaryco/atomic-red-team

Windows Defender 사용 안 함

zip 파일 추출:

이 기법은 "원자" 폴더에서 찾을 수 있다.

이제 파워쉘을 열고 다음을 입력하십시오.

powershell -ExecutionPolicy bypass

필요한 모듈을 장착하십시오.

Install-Module -Name powershell-yaml

이제 https://github.com/redcanaryco/invoke-atomicredteam에서 Atomicreadteam을 다운로드하십시오.

호출-AtomicRedTeam은 에 정의된 대로 __tests_를 실행하는 PowerShell 모듈이다. 아토믹스 폴더 레드 카나리의 아토믹 레드(Atomic Red) 프로젝트__Team_ 프로젝트. "원자 폴더"는 에 의해 정의된 각 __Technique__에 대한 폴더를 포함한다. MITRE AT&CK™ 프레임워크. 이러한 각각의 "T#" 폴더 안에는 동일한 데이터의 마크다운(__md )__버전뿐 아니라 각 원자 테스트에 대한 _procedures _procedures __version을 정의하는 __yaml 파일이 들어 있다.

프로젝트 폴더를 입력하고 다음을 입력하십시오.

Import-Module ./Invoke-AtomicRedTeam.psm1

이제 다음 명령만 실행하면 원하는 모든 테스트를 실행할 수 있다.

$TXXXX = Get-AtomicTechnique -Path \path\to\atomics\TXXXX\TXXXX.yaml

Invoke-AtomicTest $TXXXX

이 기술은 처음 다운로드한 프로젝트에서 찾을 수 있다.

참조:

• https://bestestredteam.com/2019/07/30/atomic-red-team/
• https://bleepsec.com/2018/11/26/using-attack-atomic-red-team-part1.html

 

Red Teaming Attack Simulation with "Atomic Red Team"

Modern organizations face cyber threats on a daily basis. Black hat hackers do not show any indication that they are going to stop. New hacking techniques appear regularly. According to multiple information security reports, the number of APT attacks is increasing in a notable way, targeting national defenses, manufacturing, and the financial industry. Thus, classic protection techniques are, in many cases, useless. Deploying suitable platforms and solutions can help organizations and companies defend against cyber attacks, especially APTs. Some of these platforms are attack simulation tools. In this article we are going to learn how to deploy a red teaming simulation platform called Atomic Red Team

But first what is Red teaming?

Techtarget defines red teaming as follows:

“Red teaming is the practice of rigorously challenging plans, policies, systems and assumptions by adopting an adversarial approach. A red team may be a contracted external party or an internal group that uses strategies to encourage an outsider perspective.”

Red Teamers usually perform the following steps:

• Recon
• Initial compromise
• Establish persistence
• Escalate privileges
• Internal Recon
• Lateral movement
• Data analysis
• Exfiltrate and complete mission

Image source

Atomic Red Team

According to its official Github repository

Atomic Red Team allows every security team to test their controls by executing simple "atomic tests" that exercise the same techniques used by adversaries (all mapped to Mitre's ATT&CK). Atomic Red Team is a library of simple tests that every security team can execute to test their controls. Tests are focused, have few dependencies, and are defined in a structured format that can be used by automation frameworks.

MITRE ATT&CK is a framework developed by the Mitre Corporation. The comprehensive document classifies adversary attacks, in other words, their techniques and tactics after observing millions of real-world attacks against many different organizations. This is why ATT&CK refers to "Adversarial Tactics, Techniques & Common Knowledge". A tactic is the highest level of attack behaviour. Techniques are used to execute an attack successfully

MITRE framework present the tactics as the following:

1. Initial Access
2. Execution
3. Persistence
4. Privilege Escalation
5. Defense Evasion
6. Credential Access
7. Discovery
8. Lateral Movement
9. Collection
10. Exfiltration
11. Command and Control

Let's explore how to install and use Atomic Red Team:

First you need to download the project from here: https://github.com/redcanaryco/atomic-red-team

Disable Windows defender

Extract the zip file:

The techniques can be found in the "atomics" folder:

Now Open powershell and type:

powershell -ExecutionPolicy bypass

Install a required module:

Install-Module -Name powershell-yaml

Now go and download Invoke-atomicreadteam from: https://github.com/redcanaryco/invoke-atomicredteam

Invoke-AtomicRedTeam is a PowerShell module to execute __tests__ as defined in the atomics folder of Red Canary's Atomic Red __Team__ project. The "atomics folder" contains a folder for each __Technique__ defined by the MITRE ATT&CK™ Framework. Inside of each of these "T#" folders you'll find a __yaml file that defines the attack __procedures for each atomic test as well as an easier to read markdown ( __md ) __version of the same data.

Enter the project folder and then type:

Import-Module ./Invoke-AtomicRedTeam.psm1

Now you can run any test you want by simply run the following commands:

$TXXXX = Get-AtomicTechnique -Path \path\to\atomics\TXXXX\TXXXX.yaml

Invoke-AtomicTest $TXXXX

The techniques can be found in the first downloaded project

References:

• https://bestestredteam.com/2019/07/30/atomic-red-team/
• https://bleepsec.com/2018/11/26/using-attack-atomic-red-team-part1.html

 

 

※ 출처 : Blue Teams Academy | www.blueteamsacademy.com/atomic/