Attack_range: Solicitud de función: agregue demoras de tiempo de espera configurables al salir de las pruebas fallidas del equipo rojo atómico

Creado en 5 feb. 2020  ·  5Comentarios  ·  Fuente: splunk/attack_range

Una de las pruebas del equipo rojo atómico parece tardar más de 30 minutos en finalizar mi prueba. No es necesariamente un problema, pero solo quiero hacer una solicitud de función para poder configurar en attack.conf el tiempo que esperamos hasta que finalice el estado de la prueba (si eso es posible). Las marcas de tiempo muestran el comienzo y el final de la ejecución de T1071 en mis pruebas locales:

Inicio: 2020-02-04 14:49:35
Finalizar: 2020-02-04 15:21:35

python attack_range.py -m terraform -a simulate -st T1071 -t attack-range-windows-domain-controller

`2020-02-04 14: 49: 35,618 - INFO - rango_ataque - INIT - rango_ataque v1

JUGAR [todos] * * * * * * * * * * * * * * * * * * * * * **

TAREA [atomic_red_team: Verifique que hayamos instalado Atomic Red Team] * * * **
ok: [44.228.118.166]

TAREA [atomic_red_team: Copiar módulo PS de Atomic Red Team] * * * * * * **
cambiado: [44.228.118.166]

TAREA [atomic_red_team: Instalar módulo PS Atomic Red Team] * * * * * **
cambiado: [44.228.118.166]

TAREA [atomic_red_team: Limpiar antes de la ejecución C: \ Windows \ Temp] * * *
cambiado: [44.228.118.166]

TAREA [atomic_red_team: Recrear C: \ Windows \ Temp antes de la ejecución] * * *
cambiado: [44.228.118.166]

TAREA [atomic_red_team: set_fact] * * * * * * * * * * * * * *
ok: [44.228.118.166]

TAREA [atomic_red_team: Ejecutar técnicas] * * * * * * * * * * * *
ok: [44.228.118.166] => {
"técnicas": [
"T1071"
]
}

TAREA [atomic_red_team: Crear directorio de ejecución de Atomic Red Team] * * * *
cambiado: [44.228.118.166]

TAREA [atomic_red_team: Ejecutar todas las pruebas del Atomic Red Team] * * * * * * *
omitiendo: [44.228.118.166]

TAREA [atomic_red_team: Ejecutar la técnica del Equipo Rojo Atómico especificada] * * * **
cambiado: [44.228.118.166] => (item = T1071)

TAREA [atomic_red_team: Verificar archivo de registro de ejecución] * * * * * * * * **
ok: [44.228.118.166]

TAREA [atomic_red_team: Guardar archivo de registro] * * * * * * * * * * * * *
cambiado: [44.228.118.166]

TAREA [atomic_red_team: Limpiar procesos] * * * * * * * * * * **
cambiado: [44.228.118.166]

TAREA [atomic_red_team: Limpiar después de la ejecución] * * * * * * * * **
cambiado: [44.228.118.166]

JUGAR CRÓNICA * * * * * * * * * * * * * * * * * * * * * **
44.228.118.166: ok = 13 cambiado = 9 inalcanzable = 0 fallido = 0 omitido = 1 rescatado = 0 ignorado = 0

2020-02-04 15: 21: 35,465 - INFO - attack_range - ID de técnica ejecutada con éxito T1071 contra el objetivo: attack-range-windows-domain-controller`

bug enhancement
Fuente
picture jzsplunk

Comentario más útil

La nueva versión tendrá una función incorporada para tiempos de espera y otras cosas interesantes.
https://redcanary.com/blog/invoke-atomicredteam-leaves-the-nest/

picture dlamspl en 16 abr. 2020
🎉1 😄1 👍1

Todos 5 comentarios

@jzsplunk conversó un poco con el grupo del equipo rojo atómico y parece que esto podría deberse al hecho de que no configuramos la técnica y establecemos un nombre de dominio válido en lugar de example.com : https: / /github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1071/T1071.yaml#L79 y, por lo tanto, tiene un tiempo de espera de 1000 solicitudes. Esto es probablemente lo que está retrasando esa prueba. Por ahora tendríamos que encontrar una forma de personalizar estas pruebas, ya que no es algo que hacemos.

d1vious picture d1vious en 6 feb. 2020

Este problema se ha marcado automáticamente como obsoleto porque no ha tenido actividad reciente. Se cerrará si no se produce más actividad. Gracias por sus aportaciones.

stale[bot] picture stale[bot] en 7 abr. 2020

La nueva versión tendrá una función incorporada para tiempos de espera y otras cosas interesantes.
https://redcanary.com/blog/invoke-atomicredteam-leaves-the-nest/

dlamspl picture dlamspl en 16 abr. 2020
🎉1 😄1 👍1

la siguiente técnica actualmente no funciona python attack_range.py -m terraform -a simulate -st T1086 -t attack-range-windows-domain-controller simplemente se cuelga durante la ejecución.

d1vious picture d1vious en 4 jun. 2020

Este problema no está presente en la última rama de desarrollo después de fusionar los cambios en los que trabajó @ P4T12ICK

jzsplunk picture jzsplunk en 28 jul. 2020
¿Fue útil esta página
0 / 5 - 0 calificaciones

Temas relacionados

julianwieg picture julianwieg  ·  3Comentarios
asabhaney picture asabhaney  ·  5Comentarios
svanschalkwyk picture svanschalkwyk  ·  6Comentarios
JohnNiang picture JohnNiang  ·  5Comentarios
chuck-confluent picture chuck-confluent  ·  5Comentarios