MITRE
Hello there, ('ω')ノ 昨日は、朝から倦怠感で仕事が手に使ず。 午前の体温は36.2度だったものの昼過ぎには37.2度に。 横になって静養に入ったものの加速度的に体温は上昇して38度を超えて。 もしかして、コロナ感染かと思ったものの。 咳はなく、呼吸も苦し…
Hello there, ('ω')ノ アトミック テストを実行した後は。 アトミック テストで定義されたクリーンアップ コマンドを実行して。 システムをリセットし、テストを再度実行する準備をして。 一部のテストは、機密情報を含む可能性のあるファイルを作成したり。…
Hello there, ('ω')ノ 今回は、T1016を。 まずは、T1016の詳細について。 Atomic Test #3が表示されないもので。 Invoke-AtomicTest T1016 -ShowDetailsBrief 下記で、確認すると。 サポートされているプラットフォームは、LinuxとmacOSのことで表示されず…
Hello there, ('ω')ノ PowerShellをつかってフレームワークで、アトミックテストを実行するのに。 使用できるメソッドは、ローカルとリモートがあって。 「ローカル」メソッドでは、フレームワークがインストールされているのと。 同じマシン上でアトミック…
Hello there, ('ω')ノ フレームワークで、アトミックテストを実行するための。 前提条件を満たしているかどうかを確認することに。 今回は、下記のテクニックについて。 https://attack.mitre.org/techniques/T1485/ まずは、下記を実行すると。 sdelete.exe…
Hello there, ('ω')ノ フレームワークを使用して、実行可能なテストを確認をするには。 PowerShellプロンプトに下記のように入力すると。 特定のテクニック番号(別名T#)に関連付けられたテスト名と番号を確認できて。 Invoke-AtomicTest T1003.001 -ShowD…
Hello there, ('ω')ノ 前回は、ExecutionFrameworkをインストールしたので。 Atomic Red Teamモジュールをインポートして。 「Invoke-AtomicTest」などの機能を使用できるようにすることで。 必要なモジュールは、既にインポートされているので。 Invoke-Ato…
Hello there, ('ω')ノ MITREサイトでは、攻撃の情報を検出できたりと。 情報を掘り下げていくとアトミックレッドチームにたどり着いて。 アトミックレッドチームとは、攻撃者が実際に行うことを模倣した。 小さなスクリプトのリポジトリで。 アトミックレッ…
Hello there, ('ω')ノ 脅威インテリジェンスに対して何ができるのか。 イランからと疑われるサイバー攻撃についてのニュースを目にしたら。 イランの脅威グループに関する情報を探すといくつかあって。 https://attack.mitre.org/groups/ OilRigののページを…
Hello there, ('ω')ノ 今回は、APT3とAPT29の2つのグループで戦術と攻撃テクニックを見ていくことに。 このグループで使用されているテクニックを比較することに。 まずは、下記サイトからナビゲータを起動して。 https://attack.mitre.org/matrices/enterpr…
Hello there, ('ω')ノ ここ最近、Pentester Labの問題をやっていると。 問題自体、なにがやりたいのがよく理解できず。 さらに憂鬱になって、ストレスが溜まる一方で。 以前からやりたかったMITRE ATT&CKを。 これは。戦術テクニックとグループ、攻撃マトリ…