绥化做网站,wordpress源码整合,wordpress 删除主题,公司宣传网站制作CALDERA是一个由python语言编写的红蓝对抗工具#xff08;攻击模拟工具#xff09;。它是MITRE公司发起的一个研究项目#xff0c;该工具的攻击流程是建立在ATTCK攻击行为模型和知识库之上的#xff0c;能够较真实地APT攻击行为模式。 通过CALDERA工具#xff0c;安全… CALDERA是一个由python语言编写的红蓝对抗工具攻击模拟工具。它是MITRE公司发起的一个研究项目该工具的攻击流程是建立在ATTCK攻击行为模型和知识库之上的能够较真实地APT攻击行为模式。 通过CALDERA工具安全红队可以提前手动模拟并设定好攻击流程并以此进行自动化攻击和事件响应演练。同样安全蓝队也可以利用该工具根据相应的威胁开展模拟应对。 github地址 mitre/caldera: Automated Adversary Emulation Platform (github.com) 一、介绍 有数据吗 答案可能是响亮的“是”而且这些数据也应该受到保护。数据泄露更多时候只是时间问题而不是是否发生的问题。无论是为了竞争利益、快速勒索赎金还是勒索等更险恶的行为数据盗窃已经并将继续成为各种规模和公众地位的组织面临的问题。 Caldera 多年来一直免费帮助组织测试其防御能力。但好事变得更好该平台现在提供了使用多种技术和从威胁情报中提取的数据目的地来测试渗透的能力。事实上Caldera 现在有能力解决 MITRE ATTCK 渗透策略中的几乎所有技术防御者可以利用这些新功能通过对手可能用来对付他们的各种渗透途径来对他们的防御进行压力测试。 二、搭建舞台 Caldera 团队利用威胁情报来识别对手采用的各种渗透路径。虽然许多攻击者诉诸已经建立的命令和控制 (C2) 通道但其他攻击者也扩展到带外渗透路径。根据我们的研究团队选择将文件传输协议 (FTP)、GitHub、Dropbox 和 Amazon Web Services (AWS) 作为主要途径。 此外该团队还扩大了围绕渗透行动的支持能力。具体来说我们使用其中一些新功能来创建四个对手配置文件。除了集成了旧配置文件的功能并引入新的收集功能的高级小偷配置文件之外还创建了以下对手配置文件 通过 FTP 的高级窃贼 通过 Dropbox 的高级窃贼 通过 GitHub 存储库的高级窃贼 高级窃贼来自 GitHub Gist 这些配置文件中的每一个都利用基本文件搜索和暂存功能通过实用程序进行压缩并最终渗透到预期目标。当然这些能力可以根据需要添加到其他操作中。 支持渗透的能力和对手配置文件已添加到现有的 Stockpile 插件中添加了以下能力 高级文件搜索和暂存器 查找 Git 存储库并压缩 Git 存储库本地主机 压缩暂存目录受密码保护- 7z 和 targpg 压缩暂存目录受密码保护并分解为更小的文件 Exfil 压缩存档到 FTP注这可以在不需要 V4 中引入的新 FTP C2 通道的情况下使用 将压缩存档导出到 Dropbox Exfil 压缩存档到 GitHub 存储库 | 要点 另外Exfil 目录文件到 GitHub 通过 AWS CLI 将压缩存档导出到 S3 通过 AWS CLI 将压缩存档传输到单独的 S3 存储桶 计划渗漏使用标准 HTTP C2 通道 为了进一步增强这些新功能 GitHub上提供了新的事实源。该事实来源包含这些能力所利用的所有事实。它也可以在 Stockpile 中使用 - 只需取消 YAML 文件中与您要使用的功能相关的行的注释并根据需要填写详细信息即可。 图1一站式来源 渗透能力将以这种格式将文件传送到最终目的地YYYYMMDDHHmmss-exfil-agentpaw-filename。这有助于确保跨代理或同一代理的多个 exfil 消除文件冲突。 三、一些技巧 技能名称高级文件搜索和暂存器 Windows 有效负载 Windows 有效负载| Linux有效负载 Stockpile 的收集能力现在是全新且改进的。利用单个源文件用户可以执行文件搜索和暂存T1119自动收集T1074数据暂存。此外用户还可以对各种文件属性进行过滤。 作为一个新选项此功能还支持安全模式用户可以在操作的事实源中指定特定的文件后缀。如果启用该功能将仅暂存文件名末尾包含此标识符的文件以避免渗透测试期间潜在的泄漏。举个例子我们可以为事实pseudo.data.identifier指定值“_pseudo”并将safe.mode.enabled 设置为“true”以告诉Caldera忽略文件“interesting_file.docx”但提取文件“other_file_pseudo” .docx。” 此功能还包括一些性能优势、扩展搜索参数以及在 Caldera 中作为单个操作运行而不是作为多个链接运行。使用所提供的源文件中的事实用户可以控制以下选项作为该功能的参数 能力名称压缩暂存目录受密码保护
APT29、BRONZE BUTLER 和 Mustang Panda 等 APT 组织在泄露之前使用密码对档案进行加密。为了增强现有的存档能力Caldera 现在提供加密选项T1560.001通过实用程序存档。Linux 命令使用 tar 和 gpg 来创建和加密存档。Windows 命令利用 7-Zip 文件存档器来创建存档该存档也被 Fox Kitten、HAFNIUM 和 PowerShower 等 APT 组织使用。 由于普遍存在的压缩工具的限制此功能有一些注意事项Linux 需要 gpg 版本 2.1 或更高版本Windows 需要 7-Zip。如果不满足这些要求这个能力就会失败。 能力名称预定渗透
攻击者已安排了可能逃避注意的时间进行渗漏或定期更新他们之前更新的数据。为此Caldera 现在支持通过现有 HTTP C2 通道进行计划渗漏功能 T1029 计划传输。此功能增强了 Stockpile 中现有的 Exfil Staged Directory 功能通过 Linux 的 cron 和 Windows 的 cmdlet 添加计划任务。 能力名称压缩暂存目录受密码保护并分割成更小的块 当被盗数据达到令人印象深刻的大小时即使是在压缩状态下Carbanak 等攻击者也会利用某种形式的文件分块或分割来促进从受害者中窃取大文件。这种速率限制可以帮助更好地隐藏流量或满足所选协议或介质的限制。因此Caldera 使用户能够将存档文件分解为更小的、用户定义的块T1030数据传输大小限制。 注意由于操作过程中所需事实的冲突消除此功能首先在创建块之前归档暂存目录并在完成后删除较大的归档。因此它应该用来代替任何其他归档功能。 能力名称将临时存档导出至 FTP 服务器
对手名称Advanced Thief via FTP Caldera 现在包含通过 FTP 泄露数据的功能T1048.003通过未加密/模糊的非 C2 协议泄露。此功能独立于 Caldera 新的 FTP C2 选项。一旦提供了 FTP 服务器地址、用户名和密码此功能即可将压缩存档泄露到指定的 FTP 服务器。这种渗漏方法已被各种 APT 组织使用包括 APT33、Cherry Picker、FIN8 和 PoetRAT。 预测云可能会丢失数据 随着当今组织中云存储的普遍合法使用攻击者有充分的机会利用这些数据存储为自己谋取利益。例如APT31 利用自定义远程访问木马 DropboxAES在清除任何泄露证据之前将暂存文件传送到其实例。 技能名称将临时存档导出至 Dropbox
对手名称Advanced Thief via Dropbox 您的组织允许使用 Dropbox 吗好吧那么对手也是允许的。为了解决越来越多地使用云存储作为渗漏目的地的问题Caldera 添加了一项将压缩存档渗漏到 Dropbox 的新功能T1567.002通过云存储渗漏。此功能需要一些用户设置包括具有连接的 API 密钥的 Dropbox 帐户和 Dropbox 内具有适当访问控制的目标文件夹以允许通过 API 写入。 能力名称通过 AWS CLI 将压缩存档导出到 S3以及通过 AWS CLI 将压缩存档传输到单独的 S3 存储桶
作为另一个流行的云服务提供商亚马逊网络服务 (AWS) 也成为了泄露信息的目的地。Caldera 中的两项新功能解决了这种泄露路径一种是利用受害者计算机上的 AWS 命令行界面 (CLI) 传输到对手拥有的存储桶另一种是使用受害者作为经过身份验证的存储桶进行存储桶到存储桶的传输用户。与此更新中添加的其他渗透功能一样需要进行一些组装才能确保适当的软件 (CLI) 或身份和访问管理 (IAM) 权限可用。 能力名称Exfil 目录文件到 GitHub 存储库 Exfil 压缩存档到 GitHub 存储库 Exfil 压缩存档到 GitHub Gist
对手简介通过 GitHub Repo 的 Advanced Thief和通过 GitHub Gist 的 Advanced Thief Caldera 现在支持通过 REST API将数据渗透到 GitHub Gists 和存储库 T1567.001 渗透到代码存储库。存储库能力需要四个事实用户名、存储库名称、个人访问令牌和存储库分支。对于 Gists您只需要一个简单的用户名和具有创建 Gists 权限的令牌即可。存储库渗漏将按原样上传整个文件或多个文件渗透到 Gist 会首先使用 Base64 对二进制数据进行编码然后将其作为字符串渗透。对于 Linux这需要磁盘上有一个临时文件才能与 curl 一起使用。 除了渗透能力之外还添加了专门针对 Git 存储库的单独收集能力以及使用正确事实的归档能力。这些功能将识别本地系统上的所有存储库并系统地将它们存档以便以后通过任何可用渠道进行渗透使用事实host.dir.compress。
