欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Invoke-Adversary:一款基于APT威胁程度评估安全产品和监控解决方案的工具

来源:本站整理 作者:佚名 时间:2018-04-25 TAG: 我要投稿

Invoke-Adversary是一个基于APT威胁程度,来评估安全产品和监控解决方案的PowerShell脚本。在看到来自Florian Roth的APTSimulator优秀工具后,我的灵感来自写这个脚本。我编写这个脚本的灵感主要来自Florian Roth的APTSimulator工具集。
警告:该脚本仅用于授权测试和/或研究教育目的。使用脚本可能会对Windows系统的安全性和稳定性(包括但不限于:密码转储,禁用安全功能等)造成影响,因此请勿将其运行在生产系统上。该脚本的是属于我个人的,且与Microsoft不以任何形式相关。
“Kill Chain”模型,或在有针对性的网络安全攻击期间会发生些什么?
Cyber Kill Chain模型是由Lock Martin公司Eric M. Hutchins等三位安全研究员,在2011年3月举行的ICIW大会上公布的。由于攻击可能会分阶段发生,因此作为防御者,若能阻断/瓦解攻击方的进攻组织环节,即是成功地挫败对手的攻击企图。
Kill Chain模型将攻击者的攻击过程分解为如下七个步骤:
侦察(Reconnaissance)- 攻击者开始探测目标可能存在的弱点或不良配置
组装(Weaponization)- 攻击者开始构建一个可以传递给受害者的有效载荷(它可以是PDF文件或Office文档)
投送(Delivery)- 攻击者通过电子邮件,网页链接或可移动媒体将有效载荷发送给目标
利用(Exploit)- 有效载荷将在受害者的网络上执行
植入(Installation)- 有效载荷将下载其他远程访问工具,并安装它们以建立持久后门
命令和控制(Command and Control)- 在受害者和攻击者之间创建一个通道
收割(Actions)- 执行预期目标(如加密文件,窃取数据等)

除此之外,Mitre是一家非营利性组织,为网络对抗行为开发了一种增强模型称为“敌对策略,技术和常识”(ATT&CK)矩阵。
目前,MITRE ATT&CK矩阵为企业日常遇到的对抗技术和策略提供了最全面的框架。
技术
描述
Persistence(持久化)
在目标系统上持续存在的一种技术
Privilege Escalation(提权)
一种攻击者用于获取更高权限的技术
Defense Evasion(防御规避)
可以用来逃避检测或避免其他防御措施的技术
Credential Access(凭据访问)
访问或控制系统,域或服务凭据
Discovery(发现)
允许攻击者获得关于系统和内网信息的技术
Lateral Movement(内网漫游)
使攻击者能够访问和控制网络上的远程系统的技术
Execution(执行)
在远程或本地系统上执行攻击者代码的技术
Collection(收集)
用于识别和收集信息的技术
Exfiltration(窃取)
帮助攻击者从目标网络中窃取文件和信息的技术
Command and Control(命令和控制)
攻击者与目标网络内的系统进行通信的技术
当前有许多公司都在使用安全信息和事件管理(SIEM),端点保护平台(EPP)和端点检测与响应(EDR)产品来监视和保护其环境。但似乎还缺少了一个能够生成真实环境中的针对性攻击真实数据的工具。Invoke-Adversary是一个PowerShell脚本,它使用一组函数来模拟Windows企业网络中的后利用行为。
通过使用Invoke-Adversary脚本你可以:
评估您的安全监控工具和实践
评估端点检测代理
设置
部署要求:
PowerShell 3.0版本及以上
Windows 7(某些测试用例只能在Windows 10上运行)及更高版本
Invoke-Adversary.ps1文件下载:https://github.com/MotiBa/Invoke-Adversary/tree/master
使用
运行脚本最简单的方法是打开一个以管理员身份运行的PowerShell ISE窗口并按F5。

脚本即将开始运行,您需要做的第一件事就是阅读免责声明,并通过键入yes来接受条款

现在,您可以通过菜单上的编号来选择任何的测试用例

通过菜单上的编号选择你想要运行的测试

截图


运用了哪些战术/策略
防御规避
禁用网络接口 – 禁用网络适配器并致使网络连接丢失
禁用Windows Defender AV – 关闭实时保护,扫描所有下载的文件和附件,行为监控,网络保护和隐私模式
添加本地防火墙规则例外 – 将虚构规则“Invoke-APT测试规则”添加到Windows高级防火墙
关闭Windows防火墙 – 关闭Windows高级防火墙
清除安全日志 – 使用wevtutil命令清除安全日志
持久战术
辅助功能 – 使用图像文件执行选项“劫持cmd.exe替换为sethc.exe
AppInit DLL – 在AppInit_DLLs下为pserver32.dll添加条目

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载