shikata ga nai

Private? There is no such things.

Atomic Red Teamをインストールしてみた

Hello there, ('ω')ノ

 

MITREサイトでは、攻撃の情報を検出できたりと。

情報を掘り下げていくとアトミックレッドチームにたどり着いて。

アトミックレッドチームとは、攻撃者が実際に行うことを模倣した。

小さなスクリプトのリポジトリで。

アトミックレッドチームを使用すると、自分のネットワークで。

これらのシミュレートされた攻撃を実行できて。

検出できるかどうか、ブロックできるかどうかを確認できて。

 

MITRE ATT&CKは、戦術と技術を列挙するものの。

これらの戦術と技術のために使用する手順は列挙せず。

そこで、アトミックレッドチームが活躍するわけで。

 

f:id:ThisIsOne:20210525143358p:plain

 

アトミックレッドチームのリポジトリを見ると、そこに多くの情報があって。

ります。このアトミックフォルダを見ていくことに。 

 https://github.com/redcanaryco/atomic-red-team

 

f:id:ThisIsOne:20210525144346p:plain

 

アトミックフォルダを開くと。

MITRE ATT&CKフレームワークと同じT番号付きフォルダが。

 

f:id:ThisIsOne:20210525144655p:plain

 

T番号付きフォルダには、少なくとも1つのmdファイルとyamlファイルがあって。

 

f:id:ThisIsOne:20210525145106p:plain

 

yamlファイルを見て、難しいようであれば。

 

f:id:ThisIsOne:20210525145652p:plain

 

yamlファイルよりマークダウンを読むほうが簡単で。 

https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1016/T1016.md

 

f:id:ThisIsOne:20210525145406p:plain

 

アトミックフォルダにもどって。

 https://github.com/redcanaryco/atomic-red-team

 

f:id:ThisIsOne:20210525150519p:plain

 

ページ下には、アトミックレッドチーム入門について。

 

f:id:ThisIsOne:20210525154442p:plain

 

アトミックテストの実施については、下記のサイトを。

https://github.com/redcanaryco/atomic-red-team/wiki/Executing-Atomic-Tests#execute-an-atomic-test-with-an-execution-framework

 

f:id:ThisIsOne:20210525154532p:plain

 

ちなみにinvoke-atomicredteamの実行フレームワークは、別のリポジトリにあって。

 https://github.com/redcanaryco/invoke-atomicredteam

 

f:id:ThisIsOne:20210525154344p:plain

 

下記のwikiにアクセスして、Installationをクリックして。

 https://github.com/redcanaryco/invoke-atomicredteam/wiki

 

f:id:ThisIsOne:20210525161211p:plain

 

下記には、インストールするための手順がいくつかあって。

PowerShellで、この2行をコピーして貼り付けることに。

 

https://github.com/redcanaryco/invoke-atomicredteam/wiki/Installing-Atomic-Red-Team

f:id:ThisIsOne:20210525161327p:plain

 

このWebリクエストは、アトミックレッドチームをインストールするための。

情報を取得して。

すると、このシステムでは実行中のスクリプトが無効になっているため。

このファイルをロードできないと表示されて。

 

 Install-AtomicRedTeam

 

f:id:ThisIsOne:20210525162238p:plain

 

下記のサイトを参考に。

 

f:id:ThisIsOne:20210525162204p:plain

 

デフォルトでスクリプトを実行したいpowershellはスクリプトを実行したくなくて。

実行ポリシーを設定して、バイパスすることに。

 

 Set-ExecutionPolicy Bypass -Scope CurrentUser

 

f:id:ThisIsOne:20210525162657p:plain

 

アトミックレッドチームを再度実行、またはインストールしたいものの。

すでにインストールしているので、強制的に実行することに。

今回はエラーが発生せず。

 

 Install-AtomicRedTeam -Force

 

f:id:ThisIsOne:20210525162913p:plain

 

 Install-AtomicRedTeam -getatomics -force

 

f:id:ThisIsOne:20210525164439p:plain

 

インストールしているとWindows Defenderの警告がでるので。

下記の設定をオフにして。

 

f:id:ThisIsOne:20210525164417p:plain

 

最後に正常にインストールされているかフォルダを確認して。

 C:\AtomicRedTeam\atomics

 

f:id:ThisIsOne:20210525164649p:plain

 

 Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain