Shikata Ga Nai

Private? There is no such things.

Atomic Testの前提条件をCheckPrereqs/GetPrereqsしてみた

MITRE

Hello there, ('ω')ノ

 

フレームワークで、アトミックテストを実行するための。

前提条件を満たしているかどうかを確認することに。

 

今回は、下記のテクニックについて。

 https://attack.mitre.org/techniques/T1485/

 

f:id:ThisIsOne:20210528112401p:plain

 

まずは、下記を実行すると。

sdelete.exeが操作可能なプログラムとして認識されないというエラーが。

どうやら、SDeleteがWindowsにインストールされていないようで。

 

 Invoke-AtomicTest T1485 -ShowDetailsBrief

 Invoke-AtomicTest T1485 

 

f:id:ThisIsOne:20210528100208p:plain

 

 Invoke-AtomicTest T1485 -TestNumbers 1

 

f:id:ThisIsOne:20210528100516p:plain

 

下記で、マークダウンを確認すると前提条件が確認できて。

https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1485/T1485.md

 

f:id:ThisIsOne:20210528115756p:plain

 

CheckPrereqsフラグで、テストを実行する前に前提条件を満たしているかを確認して。

 

前提条件を満たしていないことがわかったので。

 Invoke-AtomicTest T1485 -TestNumbers 1 -CheckPrereqs

 

f:id:ThisIsOne:20210528101003p:plain

 

GetPrereqsで、依存関係を満たすことに。

 Invoke-AtomicTest T1485 -TestNumbers 1 -GetPrereqs

 

f:id:ThisIsOne:20210528101110p:plain

 

再度、下記を実行すると正常終了できて。

 Invoke-AtomicTest T1485 -TestNumbers 1

 

f:id:ThisIsOne:20210528101220p:plain


また、アトミックテストは、管理者権限が必要だったりもして。

下記を実行すると、昇格が必要とのメッセージが。

 Invoke-AtomicTest T1003.001 -TestNumbers 10 -CheckPrereqs

 

f:id:ThisIsOne:20210528101824p:plain

 

なので、PowerShellアイコンを右クリックして、管理者として実行を。

再度、実行するとアトミックテストの依存関係をチェックして。

条件を満たしていることが確認できて。

 

f:id:ThisIsOne:20210528101930p:plain

 

Best regards, (^^ゞ