最新消息:

 Invoke-Adversary–模拟黑客

Windows demon 567浏览 0评论

背景

Invoke-Adversary是一款PowerShell脚本,可帮助您根据检测高级持续性威胁的能力来评估安全产品和监控解决方案。

Invoke-Adversary是一个PowerShell脚本,它使用一组函数来模拟Windows Enterprise网络中的妥协后敌对行为。

通过使用Invoke-Adversary脚本,您可以:

  • 评估您的安全监控工具和实践
  • 评估端点检测代理

建立

部署要求:

用法

  • 运行脚本最简单的方法是打开一个提升的(以管理员身份运行)PowerShell ISE窗口并按F5

 

翻译链接:

link: https://github.com/MotiBa/Invoke-Adversary/tree/master#invoke-adversary

https://blogs.technet.microsoft.com/motiba/2018/04/09/invoke-adversary-simulating-adversary-operations/

 

脚本将开始,您需要做的第一件事是阅读免责声明并通过键入yes来接受条款

现在,您可以通过在菜单上选择其编号来选择任何测试用例

通过在菜单上选择其编号,选择要运行的测试

防御逃税

  • 禁用网络接口 – 禁用网络适配器并导致网络连接丢失
  • 禁用Windows Defender AV – 关闭实时保护,扫描所有下载的文件和附件,行为监控,网络保护和隐私模式
  • 添加本地防火墙规则例外 – 将虚构规则“Invoke-APT测试规则”添加到Windows高级防火墙
  • 关闭Windows防火墙 – 关闭Windows高级防火墙
  • 清除安全日志 – 使用wevtutil命令清除安全日志

持久战术

  • 辅助功能 – “使用”图像文件执行选项“将cmd.exe劫持”sethc.exe“
  • AppInit DLL – 在AppInit_DLLs下为pserver32.dll添加条目
  • 应用程序匀场 – 在HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ {842562ef-8d28-411d-a67d-ab75ef611fe8} .sdb下创建注册表值
  • 创建本地用户 – 新用户(用户名为:support_388945a0)
  • 创建本地管理员 – 创建一个新用户(用户名为:Lost_337fde69_81a9)并添加到本地管理员组
  • 创建新服务 – 创建新服务(WindowsHealth)
  • 创建新的服务(不加引号的路径) – 与以前相同,只用未加引号的路径
  • 注册表运行密钥[HKLM] – HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run下的新运行密钥
  • 注册表运行密钥[HKCU] – HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run下的新运行密钥
  • 计划任务 – 创建新的计划任务(OfficeUpdaterA)

发现战术

  1. 帐户搜索 – 运行net命令来发现本地和域用户和组
  2. 网络服务扫描 – 端口在用户选择的主机上扫描(1-1024)
  3. 系统所有者发现 – whoami命令
  4. 系统时间发现 – 运行“净时间”和“w32tm.exe / tz”命令
  5. 服务发现 – 所有服务的列表
  6. 网络连接发现 – netstat

命令与控制

  1. 常用的端口 – 试图连接到用户选择的主机
  2. 罕见使用的端口 – 尝试使用不常见的端口连接到用户选择的主机(信用:弗洛里安罗斯
  3. Web服务 – 在pastebin上创建一个新帖子并上传BITS服务信息
  4. DNS – 众所周知的黑名单IP地址 – 解决前10个恶意IP地址(信用:Florian Roth
  5. 连接 – 众所周知的黑名单IP地址 – 连接到前10个恶意IP地址(信用:弗洛里安罗斯

执行

  1. PSExec(随机文件名) – 将PSEec重命名为随机文件名并执行它(信用:https://twitter.com/markrussinovich  )
  2. PSExec(远程) – 在用户选择的主机上运行psexec
  3. PowerShell API调用 – 来自PowerShell的本机API调用
  4. 自我删除(批处理文件) – 自我删除批处理文件
  5. WMI流程执行 – 使用WMI命令行(WMIC)实用程序

采集

  1. 屏幕截图 – 屏幕截图(信用:https//www.pdq.com/blog/capturing-screenshots-with-powershell-and-net/

AppLocker ByPasses

  1. Regsvr32 – Regsvr32技术(信用:https//twitter.com/subTee

转载请注明:即刻安全 »  Invoke-Adversary–模拟黑客

您必须 登录 才能发表评论!



合作伙伴