Guia de uso de Invoke-AtomicRedTeam

Instalación

Nota: Requiere powershell 5.0 en adelante

Usando powershell galley

Nota: Casi nunca detienen este tipo de instalación en otros medio

Install-Module -Name invoke-atomicredteam,powershell-yaml -Scope CurrentUser

Por IEX (Requiere salida a internet)

Nota: Normalmente con sistemas proxeados con esta forma puedes darle bypass

IEX (IWR 'https://raw.githubusercontent.com/redcanaryco/invoke-atomicredteam/master/install-atomicredteam.ps1' -UseBasicParsing); Install-AtomicRedTeam -getAtomics -Force -noPayloads

En caso de requerir pasar pasar SSL

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12; IEX (IWR 'https://raw.githubusercontent.com/redcanaryco/invoke-atomicredteam/master/install-atomicredteam.ps1' -UseBasicParsing); Install-AtomicRedTeam -getAtomics -Force -noPayloads

Por si se quiere cambiar la Ubicación por defecto

Por defecto se instala en la carpeta: C:\AtomicRedTeam\atomics

Install-AtomicRedTeam -InstallPath "c:\tools"

Instalación Ofline

Tener descargado los scripts de https://github.com/redcanaryco/invoke-atomicredteam.git

Tener también la carpeta C:\AtomicRedTeam\atomics ya creada

Import-Module .\install-atomicredteam.ps1 ;

ExecutionPolicy Bypass

Por si se tienen la ejecución de scripts deshabilitada, primero ejecutar

powershell -ExecutionPolicy Bypass 

powershell -exec bypass 

powershell -Version 2 -nop -exec bypass

// Para Cambiar la ubicación de los atomics $PSDefaultParameterValues = @{"Invoke-AtomicTest:PathToAtomicsFolder"="C:\Users\myuser\Documents\code\atomic-red-team\atomics"}

Ejecución de Atomics

Solo mostrar información

Muestra información con formato verbolse

Invoke-AtomicTest T1089 -ShowDetails

Ejecución de comandos

Ejecuta la TTP sin comandos de limpieza

Invoke-AtomicTest T1089

Para ejecutar solo los Test específicos

Invoke-AtomicTest T1089 -TestNumbers 1,2

Otra firma de ejecutar solo los Test que se quieren

Invoke-AtomicTest T1089-1,2

Ejecuta los comandos de limpieza de la TTP ( No ejecuta la TTP)

Invoke-AtomicTest T1089 -Cleanup

Logger

Por defecto Invoke-AtomicTest guarda todos las ttps usadas en ($env:TEMP, %tmp%, or \tmp) // Para que no se guarden se puede utilizar

Invoke-AtomicTest T1089 -NoExecutionLog

Guarda en registro (sin salidas de comando) a un fichero csv

Invoke-AtomicTest T1089 -ExecutionLogPath 'C:\Temp\mylog.csv'

Logger con mas información

Invoke-AtomicTest T1016 -LoggingModule "Attire-ExecutionLogger" -ExecutionLogPath T1016-Windows.json

Genera un json e importas en la herramienta VECTR para verlo gráficamente

GitHub - SecurityRiskAdvisors/VECTR: VECTR is a tool that facilitates tracking of your red and blue team testing activities to measure detection and prevention capabilities across different attack scenariosGitHub

Auto Tool

Descargas la herramienta y luego ejecutas

Auto Install

.\AutoAtomic.ps1 -i -p

Auto atomic

.\AutoAtomic.ps1 -TestFile ttps.txt

Requiere de un archivo ttps.txt donde se especifique cuales atomics se van a ejecutar, por ejemplo:

ttps.txt

T1033
T1087.002
T1497.001-2

GitHub - Fatake/AutoAtomic: Script in PowerShell to make automatic a Atomic Red Team whit invoke-atomicredteam and Logger to json VECTR formGitHub