应用魔多 AWS 检验内部网的威协主题活动

黑客信息网

总体目标

· 回望一下有关魔多(Mordor)的情况专业知识

· 解释 AWS 对魔多方案的奉献及其它是何其的关键

· 解释如何启动 AWS 自然环境

· 解释在这个自然环境是能用的状况下很有可能保证的事儿

情况

魔多(Mordor) 是一个由约翰逊·马里奥戈麦斯和他的兄弟 Jose Rodriguez 建立的新项目。

“ 魔多新项目出示预先录制的安全事故,这种恶性事件是由仿真模拟抵抗技术性以 JSON 文档的方式形成的,便于于科学研究工作人员应用。”事先纪录的数据信息依照 ATT&CK 架构界定的服务平台、敌人组、对策和技术性开展归类。”

魔多新项目容许所有人导出来仿真模拟抵抗技术性后形成的数据信息,并将数据信息导进一切剖析服务平台。 这能够根据运用 Kafkacat 来完成,而且在本文中的约翰逊·马里奥戈麦斯有详尽的解释(Enter Mordor ?: Pre-recorded Security Events from Simulated Adversarial Techniques ?)。 它是小区在数据采集和剖析层面的一个极大飞越。 魔多新项目 使本人和精英团队可以根据事先纪录的数据以灵便和简易的方法检测她们的检验对策。

大家都知道,魔多新项目的关键总体目标是储存和共享资源预先录制的数据,你能点击下载和播放这种数据信息。 殊不知,假如你要建立并与小区共享你自己的数据,现阶段都还没一个简易的方式来拷贝 魔多的设定。 因此,文中的一个总体目标便是建立一个可反复且便于客户应用的自然环境。 除此之外,希望可以应用 魔多 设定来剖析我正在搜集的数据信息。

因而,我建立了一个 Terraform 自动化技术脚本制作,它运用 AWS 內部事先搭建的 AMI 搭建了一个自然环境。 这容许客户在大概10到12分鐘内创建和拆卸 魔多自然环境。这一自然环境是动态性搭建的,因而未来的一切升级都非常容易加上到在其中。

什么叫 Terraform?

“ Terraform 是一个用以安全性和合理地搭建、变更和管理方法基础设施建设版本号的专用工具。 Terraform 能够管理方法目前的和时兴的服务供应商及其自定的內部解决方法。”—— Terraform

因为搭建自然环境这般迅速,因而客户能够迅速检测抵抗技术性,搜集造成或形成的数据信息,或应用自然环境也剖析事先纪录的数据,由于 魔多 设定早已有一个 HELK 可作为其关键剖析服务平台。 这容许客户建立自身的数据,而不用搭建和维护保养接口测试。

是啥促使魔多 AWS 自然环境不同寻常? 又是啥要我挑选应用这类自然环境?

魔多会再次持续演变。 因而,AWS 中的 魔多新项目 的总体目标是为防御者们出示一个不但能够建立或播放数据,并且还能够协助她们分析数据和创建检验对策的自然环境。 数据信息是发觉威协全过程的基础重要。 这类先数据信息后专用工具的对策将魔多 AWS 新项目与别的新项目区别起来。

专用工具驱动器的威协捕猎 Vs 数据驱动的威协捕猎

专用工具有非常大的使用价值,能够在威协捕猎全过程中出示十分大的协助,但大家一直过度依靠专用工具。 一个好的防御力不应该根据我们在自然环境中有着的专用工具的总数,由于从数据信息的视角看来,十有八九大家不清楚这一专用工具能出示让我们哪些。专用工具应当仅仅一种协助,但他们不应该为大家做工作中。 借助他们来检验故意个人行为为大家生产制造了一个极大的盲区。如果我们取决于一个专用工具,大家便会忘记潜在性的攻击面。 大家应当可以依据进攻出示的数据信息,而不是取决于签字,找寻竞技性攻击性行为。 大家应当避开专用工具驱动器的威协捕猎,转为大量的数据驱动的威协 捕猎方式。

魔多和别的新项目一样,把聚焦点迁移到数据驱动威协捕猎这一更高的景象上:

· 根据OSSEM掌握大家的数据信息感应器和数据来源。

· 在大家的数据库和已经知道的进攻技术性中间创建关联。

· 应用威协捕猎台本建立一个威协捕猎台本,出示捕猎前后文,及其纪录进攻情况和建立威协捕猎手记。

· 魔多 AWS 自然环境容许客户纪录竞技性进攻技术性,便于建立一个数据来共享资源给小区,那样别人就可以了解在一次进攻中牵涉到的数据信息

基础设施建设:

AWS 內部的魔多基础设施建设

在图中中,你能见到 AWS 里边的魔多基础设施建设。 图上的线表明数据信息和日意在自然环境中的流动性方法。 每台设备(除开 WECServer 以外)都是有一个 Windows 恶性事件发送器对策,在其中的设备被告之将日志分享到 WECServer。 WECServer 应用 Windows Event Collector (WEC)服务项目,该服务项目根据定阅接受来源于别的设备的日志。 以后,在 WEC 网络服务器里的日志,将被根据 winlogbeat 分享到 HELK。

有关 AWS 自然环境的详尽简述,我建议你阅读文章 AWS 文件夹名称下的 GitHub 新项目的自述文件。 內容比较多,简略的简述以下:

这一环境包括:

AD 自然环境:

· 一个 AD/DC (活动目录或域控制器)

· 1 个WEC (Windows Event Collector)

· 3 个 Windows 10服务中心

每一个 Windows 服务中心都是有一个称为VulnerableService(敏感服务项目)的服务项目,能够用以管理权限提高。 查验文件目录和服务项目管理权限。

3 台 Ubuntu 设备 (非域内设备) :

· 1 台 HELK (Ubuntu 18.04)

· 1 台 Apache Guacamole (为了更好地适用这一新项目,我对 user-mapping.xml 开展了改动)

· 1 台蓝队操作工设备(用以建立 C2)。 现阶段在这个试验室里有二种 C2,一种是 Empire (帝國) 作者是 维诺 ,另一种是 Covenant (誓约) 作者是 世纪狮 · 科布)

如同你所见到的,全部的设备都添加到 shire.com 域中。 特殊的财务审计和组策略是根据一个名叫 import_gpo.ps1 的 powershell 脚本制作根据域控制器网络服务器(HFDC1.shire.com)消息推送出来的。 假如你期待见到运用于自然环境的财务审计对策目录(我还在下边引入了这种对策) ,能够在这个 GitHub 代码仓库中寻找这一目录,及其文中中提及的一切脚本制作。

WEC 网络服务器是根据名叫 configure-wec.ps1 的 powershell 脚本制作开展配备的。WECServer 将全部纪录的恶性事件(Windows Security、 Sysmon、 PowerShell 等)从 HFDC1、 ACCT001、 IT001和 HR001发送至 HELK,在 HELK 中你能查看特殊恶性事件的数据信息。

必须留意的是,在 魔多 自然环境中,服务中心WECShire.shire.com 不容易将自身的日志发给 HELK,仅有别的全部的服务中心会发给 HELK。 它只当做恶性事件收集器和事件发送器。 在真正的自然环境中,你能期待开启这一作用。 我们决定不那样做,目地是使数据的尺寸更小一些。

标签:

发表评论 (已有条评论)

  • 评论列表