Guia de uso de Invoke-AtomicRedTeam

Instalación

Nota: Requiere powershell 5.0 en adelante

Usando powershell galley

Nota: Casi nunca detienen este tipo de instalación en otros medio

Install-Module -Name invoke-atomicredteam,powershell-yaml -Scope CurrentUser

Por IEX (Requiere salida a internet)

Nota: Normalmente con sistemas proxeados con esta forma puedes darle bypass

IEX (IWR 'https://raw.githubusercontent.com/redcanaryco/invoke-atomicredteam/master/install-atomicredteam.ps1' -UseBasicParsing); Install-AtomicRedTeam -getAtomics -Force -noPayloads

En caso de requerir pasar pasar SSL

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12; IEX (IWR 'https://raw.githubusercontent.com/redcanaryco/invoke-atomicredteam/master/install-atomicredteam.ps1' -UseBasicParsing); Install-AtomicRedTeam -getAtomics -Force -noPayloads

Por si se quiere cambiar la Ubicación por defecto

Por defecto se instala en la carpeta: C:\AtomicRedTeam\atomics

Install-AtomicRedTeam -InstallPath "c:\tools"

Instalación Ofline

Tener descargado los scripts de https://github.com/redcanaryco/invoke-atomicredteam.git

Tener también la carpeta C:\AtomicRedTeam\atomics ya creada

Import-Module .\install-atomicredteam.ps1 ;

ExecutionPolicy Bypass

Por si se tienen la ejecución de scripts deshabilitada, primero ejecutar

powershell -ExecutionPolicy Bypass

powershell -exec bypass

powershell -Version 2 -nop -exec bypass

// Para Cambiar la ubicación de los atomics $PSDefaultParameterValues = @{"Invoke-AtomicTest:PathToAtomicsFolder"="C:\Users\myuser\Documents\code\atomic-red-team\atomics"}

Ejecución de Atomics

Solo mostrar información

Muestra información con formato verbolse

Invoke-AtomicTest T1089 -ShowDetails

Ejecución de comandos

Ejecuta la TTP sin comandos de limpieza

Invoke-AtomicTest T1089

Para ejecutar solo los Test específicos

Invoke-AtomicTest T1089 -TestNumbers 1,2

Otra firma de ejecutar solo los Test que se quieren

Invoke-AtomicTest T1089-1,2

Ejecuta los comandos de limpieza de la TTP ( No ejecuta la TTP)

Invoke-AtomicTest T1089 -Cleanup

Logger

Por defecto Invoke-AtomicTest guarda todos las ttps usadas en ($env:TEMP, %tmp%, or \tmp) // Para que no se guarden se puede utilizar

Invoke-AtomicTest T1089 -NoExecutionLog

Guarda en registro (sin salidas de comando) a un fichero csv

Invoke-AtomicTest T1089 -ExecutionLogPath 'C:\Temp\mylog.csv'

Logger con mas información

Invoke-AtomicTest T1016 -LoggingModule "Attire-ExecutionLogger" -ExecutionLogPath T1016-Windows.json

Genera un json e importas en la herramienta VECTR para verlo gráficamente

GitHub - SecurityRiskAdvisors/VECTR: VECTR is a tool that facilitates tracking of your red and blue team testing activities to measure detection and prevention capabilities across different attack scenariosGitHub

Auto Tool

Descargas la herramienta y luego ejecutas

Auto Install

.\AutoAtomic.ps1 -i -p

Auto atomic

.\AutoAtomic.ps1 -TestFile ttps.txt

Requiere de un archivo ttps.txt donde se especifique cuales atomics se van a ejecutar, por ejemplo:

ttps.txt

T1033
T1087.002
T1497.001-2

GitHub - Fatake/AutoAtomic: Script in PowerShell to make automatic a Atomic Red Team whit invoke-atomicredteam and Logger to json VECTR formGitHub

Anterior¿Qué es MITRE ATT&CK?SiguienteC2 Comando y control

Última actualización hace 2 años

hashtagInstalación

hashtagUsando powershell galley

hashtagPor IEX (Requiere salida a internet)

hashtagEn caso de requerir pasar pasar SSL

hashtagPor si se quiere cambiar la Ubicación por defecto

hashtagInstalación Ofline

hashtagExecutionPolicy Bypass

hashtagEjecución de Atomics

hashtagSolo mostrar información

hashtagEjecución de comandos

hashtagLogger

hashtagLogger con mas información

hashtagAuto Tool

hashtagAuto Install

hashtagAuto atomic