Atomic Red Team Installation & Demo in VM
ACHMAD ALIF NASRULLOHKali ini kita akan berkenalan dengan yang namanya ART, jadi apa itu ART?
ATOMIC RED TEAM adalah sebuah library open source untuk melakukan uji keamanan yang dipetakan berdasarkan framework MITRE ATT&CK.
MITRE ATT&CK adalah sebuah framework yang digunakan untuk menggambarkan tentang TTP (taktik, teknik, prosedur) yang biasa digunakan oleh seorang attacker.
Jadi fungsi dari ART adalah untuk menguji sistem keamanan yang dikonfigurasi oleh blue team cukup efektif untuk dalam mendeteksi sebuah ancaman dan mengurangi resiko false negative.
Cara menggunakan library atomic red team kita bisa menjalankan secara manual perintah (copy & paste) ke executor (powershell/cmd/terminal) atau menggunakan execution framework untuk mengotomatisasi perintah.
Ada beberapa tool execution framework, contohnya sebagai berikut:
Installation
Tool execution yang akan saya gunakan adalah invoke atomic red team (di windows 10), jalankan perintah dibawah ini untuk mulai instalasi.
# Command To Install Invoke Atomic Red Team
IEX (IWR 'https://raw.githubusercontent.com/redcanaryco/invoke-atomicredteam/master/install-atomicredteam.ps1' -UseBasicParsing);
Install-AtomicRedTeam -getAtomics
# Command To Import Module Invoke Atomic Red Team
Import-Module "C:\AtomicRedTeam\invoke-atomicredteam\Invoke-AtomicRedTeam.psd1" -Force
$PSDefaultParameterValues = @{"Invoke-AtomicTest:PathToAtomicsFolder"="C:\AtomicRedTeam\atomics"}
echo 'Import-Module "C:\AtomicRedTeam\invoke-atomicredteam\Invoke-AtomicRedTeam.psd1" -Force' > $profile
Demo
Windwos 10 sudah saya konfigurasi wazuh agent dan sysmon. Di wazuh juga ada file ‘/var/ossec/etc/rules/local_rules.xml` yang berisi rule untuk mendeteksi secara spesifik aktivitas mencurigakan di sistem windows yang terkait dengan mitre att&ck framework.
<group name="windows,sysmon,">
<rule id="115001" level="10">
<if_group>windows</if_group>
<field name="win.eventdata.ruleName" type="pcre2" >technique_id=T1053,technique_name=Scheduled Task</field>
<description>A Newly Scheduled Task has been Detected on $(win.system.computer)</description>
<mitre>
<id>T1053</id>
</mitre>
</rule>
<rule id="115004" level="10">
<if_group>windows</if_group>
<field name="win.eventdata.ruleName" type="pcre2" >technique_id=T1518.001,technique_name=Security Software Discovery</field>
<description>Security Software Discovery Attempt has been Detected on $(win.system.computer)</description>
<mitre>
<id>T1518</id>
</mitre>
</rule>
</group>
Teknik Security Software Discovery (T1518.001)
Teknik T1518.001 adalah salah satu teknik yang sering digunakan oleh penyerang untuk mendapatkan informasi tentang perangkat lunak keamanan di sistem yang mereka targetkan. Jalankan command dibawah ini di powershell windows 10 untuk mulai eksekusi.
Invoke-AtomicTest T1518.001
Ketika di cek di wazuh sudah terdapat alert di host windows dengan mitre id T1518.001.
Teknik Scheduled Task/Job (T1053.005)
Teknik T1053.005 adalah teknik yang digunakan untuk membuat task/job untuk mengeksekusi kode berbahaya pada waktu tertentu. Jalankan command dibawah ini di powershell windows 10 untuk mulai eksekusi.
Invoke-AtomicTest T1053.005
Ketika di cek di wazuh sudah terdapat alert di host windows dengan mitre id T1053.005.
Terimakasih sudah menyempatkan waktu untuk membaca catatan ini, mohon maaf jika ada penjelasan yang kurang tepat atau mis.
Subscribe to my newsletter
Read articles from ACHMAD ALIF NASRULLOH directly inside your inbox. Subscribe to the newsletter, and don't miss out.
Written by
ACHMAD ALIF NASRULLOH
ACHMAD ALIF NASRULLOH
I’m a passionate network system and security enthusiast with a knack for solving complex technical challenges. With extensive experience in troubleshooting and optimizing network infrastructures, I’m dedicated to ensuring systems run smoothly and securely. Through this blog, I share insights, tips, and innovative solutions to help you tackle and overcome network and security issues. Feel free to connect with me on LinkedIn or reach out via email at asrul@solusiber.com.