序章
CALDERA は、敵対者のエミュレーションを簡単に自動化し、手動のレッドチームを支援し、インシデント対応を自動化するように設計されたサイバーセキュリティ プラットフォームです。
これは MITRE ATT&CK フレームワークに基づいて構築されており、MITRE での活発な研究プロジェクトです。
このフレームワークは、次の 2 つのコンポーネントで構成されています。
-
コアシステム。これは、このリポジトリで利用できるものを含むスケルトン コードです。REST API と Web インターフェイスを備えた非同期コマンド アンド コントロール (C2) サーバーが含まれています。
-
プラグイン。これらのリポジトリは、コア フレームワーク機能を拡張し、追加機能を提供します。例には、プロキシ、レポート、TTP コレクションなどが含まれます。
公式 Github アドレス: Caldera
環境
- カリ Linux
- ミニコンダ
ダウンロードとインストール
- git clone https://github.com/mitre/caldera.git --recursive (このステップでプロジェクトをダウンロードした後、プロジェクトのサイズは約 300M です。ネットワーク上の理由ですべてのファイルをダウンロードしない場合は、ここで解決策を試してみてくださいgit clone submodule 全部ダウンロードしない問題は解決しました)
- ダウンロード完了後、cd caldera
- pip3 install -r requirements.txt (最初に conda 環境をアクティブ化する必要があります。インストール conda チュートリアルはここではスキップされます)
- python3 server.py -- 安全でない
正常に実行された場合、おおよそ次のようになります:
ブラウザを開き、ローカル IP: 8888 を入力して Web インターフェイスにアクセスします。
ユーザー名: 赤パスワード
: 管理者
ホームページは以下の通りです。
オンラインホスト
Windows ホストを起動するだけです (VMware で win10 仮想マシンを作成します)。図に示すように、順番にクリックします。
次に選択します。
次のプラットフォームでは、windows を選択し、app.contact.http を独自のものに変更して、赤いボックス内のシェル コマンドをコピーします。
まず、Win10 仮想マシンにアクセスし、まず Windows セキュリティ センターの設定でファイアウォールとウイルス保護をオフにします。
次に、管理者権限でパワー シェルを開き、コピーして貼り付けたコマンドを実行します。
Caldera Web に戻ると、Win10 ホストが正常に起動されていることがわかります。
攻撃操作を実行する
敵対者では、いくつかの事前設定された攻撃戦略を見ることができます。
Collention などの 1 つをクリックしてみましょう。攻撃の具体的な手順を確認したり、実行順序を変更したり、特定の手順を編集したりできます。各ステップについて、クリックして特定のコマンドを表示します。
次に、オンラインになっている Windows 10 ホストで収集操作を実行し、赤いボックス ボタンを 1 つずつクリックします。
起動したばかりの Win10 ホストで Collection シリーズのコマンドが実行されていることがわかります。コマンドの実行結果を表示できます。