L'un des tests de l'équipe rouge atomique semble prendre plus de 30 minutes pour se terminer dans mes tests. Pas nécessairement un problème, mais je veux juste faire une demande de fonctionnalité pour peut-être pouvoir configurer dans attack.conf le temps d'attente jusqu'à ce que l'état du test expire (si c'est même possible). Les horodatages indiquent le début et la fin de l'exécution de T1071 dans mes tests locaux :
Début : 2020-02-04 14:49:35
Fin: 04-02-2020 15:21:35
python attack_range.py -m terraform -a simulate -st T1071 -t attack-range-windows-domain-controller
`2020-02-04 14:49:35,618 - INFO - attack_range - INIT - attack_range v1
JOUER [tous] * * * * * * * * * * * * * * * * * * * * * **
TÂCHE [atomic_red_team : Vérifiez que nous avons installé Atomic Red Team] * * * **
d'accord : [44.228.118.166]
TÂCHE [atomic_red_team : Copier le module PS Atomic Red Team] * * * * * * **
modifié : [44.228.118.166]
TÂCHE [atomic_red_team : Installer le module PS Atomic Red Team] * * * * * **
modifié : [44.228.118.166]
TÂCHE [atomic_red_team : Nettoyer avant exécution C:\Windows\Temp] * * *
modifié : [44.228.118.166]
TÂCHE [atomic_red_team : Recréer C:\Windows\Temp avant exécution] * * *
modifié : [44.228.118.166]
TÂCHE [atomic_red_team : set_fact] * * * * * * * * * * * * * * *
d'accord : [44.228.118.166]
TÂCHE [atomic_red_team : Run Techniques] * * * * * * * * * * * *
d'accord : [44.228.118.166] => {
"technique": [
"T1071"
]
}
TÂCHE [atomic_red_team : Make Atomic Red Team Execution Directory] * * * *
modifié : [44.228.118.166]
TÂCHE [atomic_red_team : Exécuter tous les tests Atomic Red Team] * * * * * * *
sauter : [44.228.118.166]
TÂCHE [atomic_red_team : Exécuter la technique de l'équipe rouge atomique spécifiée] * * * **
modifié : [44.228.118.166] => (item=T1071)
TÂCHE [atomic_red_team : Vérifier le fichier journal d'exécution] * * * * * * * * **
d'accord : [44.228.118.166]
TÂCHE [atomic_red_team : Enregistrer le fichier journal] * * * * * * * * * * * * *
modifié : [44.228.118.166]
TÂCHE [atomic_red_team : Nettoyer les processus] * * * * * * * * * * **
modifié : [44.228.118.166]
TÂCHE [atomic_red_team : Nettoyer après exécution] * * * * * * * * **
modifié : [44.228.118.166]
JOUER RÉCAPITULATIF * * * * * * * * * * * * * * * * * * * * * **
44.228.118.166 : ok=13 modifié=9 inaccessible=0 échec=0 ignoré=1 sauvé=0 ignoré=0
2020-02-04 15:21:35,465 - INFO - attack_range - ID technique T1071 exécuté avec succès contre la cible: attack-range-windows-domain-controller`
@jzsplunk a discuté un peu avec le groupe de l'équipe rouge atomique et il semble que cela soit dû au fait que nous ne configurons pas la technique et définissons un nom de domaine valide au lieu de example.com
: https:/ /github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1071/T1071.yaml#L79 et vous avez donc 1000 requêtes
Ce problème a été automatiquement marqué comme obsolète car il n'a pas eu d'activité récente. Il sera fermé si aucune autre activité ne se produit. Merci pour vos contributions.
La nouvelle version aura une fonction intégrée pour les délais d'attente et d'autres trucs sympas.
https://redcanary.com/blog/invoke-atomicredteam-leaves-the-nest/
la technique suivante ne fonctionne actuellement pas python attack_range.py -m terraform -a simulate -st T1086 -t attack-range-windows-domain-controller
se bloque juste pendant l'exécution.
Ce problème n'est pas présent dans la dernière branche de développement après la fusion des modifications sur lesquelles @P4T12ICK a travaillé
Commentaire le plus utile
La nouvelle version aura une fonction intégrée pour les délais d'attente et d'autres trucs sympas.
https://redcanary.com/blog/invoke-atomicredteam-leaves-the-nest/