0x01 前言
本文主要講述如何在自己本地構建起一套小型威脅狩獵平台,同時你也可以基於該小型威脅狩獵平台來輔助你理解ATT&CK相關技戰術,並了解藍隊視角下紅隊攻擊技術可能會帶來哪些痕跡。
0x02 平台架構/構建
| 操作系統 | 功能角色 | 采集數據 | 插件配置 |
|---|---|---|---|
| Windows server 2012 | 域控服務器 | Windows event log、Sysmon_log | Splunk_forwarder、Sysmon |
| Windows server 2016 | 域內主機 | Windows event log、Sysmon_log | Splunk_forwarder、Sysmon |
| Ubuntu 18.04 | Linux主機 | System_log、Audit_log | Audit、Splunk_forwarder |
| Ubuntu 18.04 | Soc服務器 | Splunk Free | |
| Kali linux | 模擬Red Team |
環境構建說明:
1、模擬部署Windows AD域環境,並在域環境下開啟Windows日志審核策略,並部署Sysmon作為Windows日志的補充。部署Splunk日志轉發工具,轉發Windows event_log和Sysmon_log至Soc平台;
2、部署Ubuntu18.04,並安裝Splunk Free,作為Soc平台,收集域內主機日志,並對模擬攻擊行為產生的數據進行分析。
3、Kali linux作為模擬Red Team的攻擊機,本次測試直接使用Atomic Red Team在Windows server 2016上進行本地測試。也可以使用遠程測試,把相關測試文件部署在Kali linux上。
0x03 模擬狩獵
在接下來的例子中我們將會模擬使用Atomic Red Team在Windows server 2016上模擬T1069-002權限組發現。
階段1:T1069.002介紹
攻擊者可能會嘗試查找域級別的組和權限設置。域級別的權限組的信息可以幫助攻擊者確定存在哪些組以及哪些用戶屬於特定組。攻擊者可以使用此信息來確定哪些用戶具有提升的權限,例如域管理員。
在Windows操作系統上可以使用net group /domain命令進行查找,在Mac操作系統上使用dscacheutil -q group命令、Linux上可以使用ldapsearch命令查找。
階段2:執行測試
本次模擬主要為Atomic Red Team項目中的T1069-002第一個測試項,該測試項包含以下命令:
net localgroup
net group /domain
net group "domain admins" /domain
net group "enterprise admins" /domain
執行模擬測試:
Invoke-AtomicTest T1069.002 -TestNumbers 1
階段3:分析及檢測
測試命令執行后,數據采集器將會采集windows安全日志/Sysmon日志,並發送至SOC平台。SOC平台將會收集到攻擊所使用的命令以及基本的進程信息。我們可以在這里提取到許多有價值的信息,包括一些進程調用、命令行參數。
對數據的挖掘和分析,有助於幫助我們觀察攻擊中的載荷信息。直觀的觀察到攻擊的執行流程,從powershell.exe的進程啟用,到調用cmd.exe、net.exe、net1.exe等進程,再到具體命令的執行。
階段4:總結
在完成一次簡單的模擬測試之后,你可以,分析哪些字段可以用於生成告警規則,以便於你在真實的生產環境中檢測該攻擊事件的發生。當然,真實的攻擊並非這么簡單,因此需要你不斷的進行學習紅隊的相關技術,分析其攻擊行為特征。
0x04 最后
通過這篇文章,你可以簡單的利用自己的資源部署一套小型仿真威脅狩獵平台,來模擬各種攻擊手法,並分析相關特征。同時,也可以輔助你來理解ATT&CK相關技戰術手法。
基於這套小型仿真威脅狩獵平台,你還可以做更多的事情,值得你去發掘,比如利用Sysmon、Audit日志等,去做更有意義的事情。
0x05 參考文章
Sysmon使用社區指南
https://mp.weixin.qq.com/s/yloFDpJ6wvFZymzqCRtbBQ
windows基本審核策略
Atomic Red Team
https://github.com/redcanaryco/atomic-red-team/
Threathunting-book