shikata ga nai

Private? There is no such things.

Atomic Test後のクリーンナップについてかいてみた

Hello there, ('ω')ノ

 

アトミック テストを実行した後は。

アトミック テストで定義されたクリーンアップ コマンドを実行して。

システムをリセットし、テストを再度実行する準備をして。

 

一部のテストは、機密情報を含む可能性のあるファイルを作成したり。

ファイル システムを混乱させたりして。

また、安全でない設定値に変更されたり、サービスが停止したりと。

そこで、アトミック テストの多くにはクリーンナップコマンドがあって。

 

今回は、T1003を。

 

f:id:ThisIsOne:20210531141216p:plain

 

f:id:ThisIsOne:20210531141310p:plain

 

テストを実行するには、アプリケーションがインストールされている必要があるので。

CheckPrereqで、アプリケーションが存在するかどうかを確認して。

テストで、LSASS.exe メモリをダンプするには前提条件を満たす必要があって。

 Invoke-AtomicTest T1003.001 -TestNumbers 2 -CheckPrereqs

 

f:id:ThisIsOne:20210531093818p:plain

 

アプリケーションが存在しない場合は、GetPrereqでインストールして。

 Invoke-AtomicTest T1003.001 -TestNumbers 2 -GetPrereqs

 

f:id:ThisIsOne:20210531093929p:plain

 

再度、確認することに。

前提条件が満たされているので、テストを実行できるようになって。

 Invoke-AtomicTest T1003.001 -TestNumbers 2 -CheckPrereqs

 

f:id:ThisIsOne:20210531094051p:plain

 

再度、テストを実行して。

 Invoke-AtomicTest T1003.001 -TestNumbers 2

 

f:id:ThisIsOne:20210531094423p:plain

 

Windows Defenderがこの攻撃をブロックするので。

Windows Defenderを一時的に無効にする必要があるので。

 Set-MpPreference -DisableRealtimeMonitoring $true

 

f:id:ThisIsOne:20210531094554p:plain

 

テストを実行すると下記にlsass_dumpファイルが表示されて。

 C:\Windows\Temp\lsass_dump.dmp

 

f:id:ThisIsOne:20210531100457p:plain

 

下記で、どのような内容かの確認ができて。

 cat C:\Windows\Temp\lsass_dump.dmp

 

f:id:ThisIsOne:20210531100821p:plain

 

テスト後にクリーンアップするには下記のフラグで。

 Invoke-AtomicTest T1003.001 -TestNumbers 2 -Cleanup

 

f:id:ThisIsOne:20210531101203p:plain

 

クリーンアップコマンドについての例は、いくつかあって。

下記は、レジストリのクリーンアップについて。

https://github.com/redcanaryco/atomic-red-team/blob/8a82e9b66a5b4f4bc5b91089e9f24e0544f20ad7/atomics/T1546.010/T1546.010.md#atomic-test-1---install-appinit-shim

 

f:id:ThisIsOne:20210531101753p:plain

 

下記は、サービスを再度有効にしての開始について。

https://github.com/redcanaryco/atomic-red-team/blob/8a82e9b66a5b4f4bc5b91089e9f24e0544f20ad7/atomics/T1562.001/T1562.001.md#atomic-test-4---stop-crowdstrike-falcon-on-linux

 

f:id:ThisIsOne:20210531101810p:plain

 

下記は、ユーザの削除について。

https://github.com/redcanaryco/atomic-red-team/blob/8a82e9b66a5b4f4bc5b91089e9f24e0544f20ad7/atomics/T1136.001/T1136.001.md#atomic-test-3---create-a-new-user-in-a-command-prompt

 

f:id:ThisIsOne:20210531101831p:plain

 

下記は、プロキシの削除について。

https://github.com/redcanaryco/atomic-red-team/blob/8a82e9b66a5b4f4bc5b91089e9f24e0544f20ad7/atomics/T1090.001/T1090.001.md#cleanup-commands-2

 

f:id:ThisIsOne:20210531101852p:plain

 

下記は、レジストリ キーの削除について。

https://github.com/redcanaryco/atomic-red-team/blob/8a82e9b66a5b4f4bc5b91089e9f24e0544f20ad7/atomics/T1548.002/T1548.002.md#atomic-test-1---bypass-uac-using-event-viewer-cmd

 

f:id:ThisIsOne:20210531101914p:plain

 

下記は、スケジュールされたタスクの削除について。

https://github.com/redcanaryco/atomic-red-team/blob/8a82e9b66a5b4f4bc5b91089e9f24e0544f20ad7/atomics/T1053.005/T1053.005.md#atomic-test-1---scheduled-task-startup-script

 

f:id:ThisIsOne:20210531101931p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain