[PYTHON] Einführung des Cyber-Sicherheits-Frameworks "MITRE CALDERA", Funktionsübersicht, Aufbau der Betriebsumgebung
Einführung des Cyber Security Frameworks "MITRE CALDERA": Funktionsübersicht / Aufbau der Betriebsumgebung
| Roter Teambildschirm | Blauer Teambildschirm |
|---|---|
 |
 |
- Das obige Bild ist der Webclient-Bildschirm von MITRE CALDERA Version 2.6.6.
Einführung
Bewirken
Mein Job ist Cybersicherheitsforschung und ich interessiere mich besonders für die Entwicklung der Humanressourcen. Während meiner Recherche stieß ich auf ein OSS (Open Source Software) namens "MITRE CALDERA", das ein vielversprechendes Tool für die Personalentwicklung war. Daher möchte ich, dass jeder diesen Artikel kennt, verwendet und erstellt. Schreiben.
Verfassung
Da es viele Einführungen gibt, werde ich sie in den folgenden vier Artikeln vorstellen.
- Funktionsübersicht / Aufbau der Betriebsumgebung (dieser Artikel)
- Verwendung: Red Team Edition
- Verwendung: Blue Team Edition
- Verwendung: Training
Glossar:
- Rotes Team: Ein Team, das einen Cyberangriff simuliert
- Blaues Team: Ein Team, das auf Cyber-Angriffe (Vorfälle und Reaktionen) reagiert.
Zielperson
- Personen, die sich für Cybersicherheit interessieren
- Personen, die an der Entwicklung der Humanressourcen im Bereich Cybersicherheit interessiert sind
- Personen, die an Plug-In-Programmierung interessiert sind
Achtung / Haftungsausschluss
Dieser Artikel enthält eine Möglichkeit, einen Cyberangriff zu simulieren. Ziel ist es, zu bestätigen, zu untersuchen und zu verbessern, welche Art von Ereignissen aufgrund von Cyber-Angriffen auftreten und wie mit ihnen umgegangen werden soll, und sie für die Entwicklung der Humanressourcen im Bereich Cybersicherheit zu nutzen. Erstellen Sie eine geschlossene Netzwerkumgebung, damit andere Systeme oder Netzwerke nicht beeinträchtigt werden. Wenn Sie es einer Person antun, die keine Erlaubnis hat, verstößt es gegen Gesetze wie das Gesetz über den nicht autorisierten Computerzugriff. Tun Sie es also bitte nicht.
Der Inhalt dieses Artikels ist meine persönliche Meinung, nicht die offizielle Meinung der Organisation, der ich angehöre. Der Autor und die Organisation, der er angehört, sind nicht verantwortlich für Probleme, Schäden oder Schäden, die dem Benutzer oder Dritten durch das Ausprobieren der in diesem Artikel beschriebenen Probleme verursacht wurden.
Übersicht Einführung
Was ist MITRE CALDERA?
MITRE CALDERA ist ein "Cyber Security Framework", das verschiedene Funktionen als Plug-Ins bietet. Es ist ein Tool, das sich durch die Simulation (Emulation) von Cyber-Angriffen mithilfe der Cyber-Angriffstechnologie und der tatsächlich verwendeten Angriffsszenarien auszeichnet. US MITRE veröffentlicht OSS unter der Apache-Lizenz. Die Hauptfunktionen sind unten aufgeführt.
- Simulieren Sie einen Cyberangriff
- Beobachten Sie die durch Cyber-Angriffe verursachten Ereignisse, überlegen Sie, wie Sie mit ihnen umgehen sollen, und gehen Sie mit ihnen um.
- Überprüfen Sie, ob Cyber-Angriffe automatisch erkannt werden können, und verbessern Sie sie, damit sie automatisch erkannt und behandelt werden können.
Die oben genannten Funktionen können auch automatisch basierend auf einem im Voraus erstellten Szenario ausgeführt werden. Wir unterstützen die Verbesserung der Sicherheit und die Entwicklung der Humanressourcen in der folgenden Arbeitsschleife.
MITRE CALDERA-bezogene Projekte
MITRE ist eine US-amerikanische gemeinnützige Organisation (NPO), eine Vielzahl von Projekten, die durch den Betrieb eines von der US-Regierung geförderten F & E-Zentrums (FFRDC) und privater Partnerschaften öffentliches Interesse und innovative Ideen für Industrie und Wissenschaft generieren. es gibt. Weitere Informationen finden Sie auf der MITRE-Website. https://www.mitre.org/about/corporate-overview
Hier sind einige verwandte Projekte, die Sie über die Verwendung von MITRE CALDERA wissen sollten:
- MITRE ATT & CK: Wissensdatenbank der Cyber-Angriffstechnologie
- MITRE ATT & CK NAVIGATOR: Tool zum Visualisieren und Extrahieren von MITRE ATTACK-Informationen
Funktionsübersicht
Der Hauptteil von MITRE CALDERA ist ein Python-Skript, das einen Webdienst durch Einbindung eines Plug-Ins bereitstellt. Die Grundfunktionen von MITRE CALDERA werden als Plug-Ins bereitgestellt. Das Plug-In ist auch ein Python-Skript. MITRE CALDERA ist ein Projekt, das 2017 gestartet wurde, aber heutzutage häufig aktualisiert wurde, und neue Feature-Plug-Ins werden aktiv hinzugefügt. Sie können auch Plug-Ins einbinden, die von anderen Projekten erstellt wurden. (Siehe Kommentar) Einige Plugins werden sofort nach der Installation deaktiviert, Sie können sie jedoch über das Menü Konfigurieren aktivieren.
Grundlegende Plug-In-Funktion
Unten finden Sie eine Liste der am 20. März 2020 veröffentlichten MITRE CALDERA-Plug-Ins der Version 2.6.6.
| Name des Plugins | Gültige Version | Standard gültig | Erläuterung |
|---|---|---|---|
| sandcat | alles | ◯ | Agent, RAT/BOT |
| stockpile | alles | ◯ | Grundszenario |
| compass | 2.5 | ◯ | Szenarioerstellung |
| response | 2.5 | ◯ | Incident-Response-Szenario |
| terminal | 2.6 | Reverse Shell Terminal | |
| gameboard | 2.6 | ◯ | Red Team vs Blue Team Score Anzeige |
| mock | alles | × | Pseudo-Agent |
| ssl | alles | × | HTTPS-Proxy |
| access | 2.6 | × | Fernzugriffseinstellungen |
| atomic | 2.6 | ◯ | Vom Atomic Red Canary-Team vorbereitetes Szenario |
MITRE CALDERA Agent
Wenn Sie einen Cyber-Angriff mit MITRE CALDERA simulieren, beginnt er in dem Zustand, in dem er in das Terminal eingedrungen ist. Wir werden nicht nach Schwachstellen suchen und in diese eindringen. Es ist der MITRE CALDERA-Agent, der den Zustand des Eindringens in das Terminal erzeugt. Es ist ein Programm, das allgemein als RAT (Remote Access Trojan) bezeichnet wird. Sie können mehrere Agentenprogramme herunterladen, indem Sie auf den MITRE CALDERA-Server zugreifen. Wählen Sie den entsprechenden Agenten entsprechend dem Betriebssystem und dem Zweck aus und laden Sie ihn herunter, oder kopieren Sie das Skript und fügen Sie es ein, um den Agenten auszuführen. Der Agent stellt eine Verbindung zum MITRE CALDERA-Server her und führt den vom Server angewiesenen Fernsteuerungsbefehl aus.
Bau der Betriebsumgebung
Sie können genau das tun, was in der Datei README.md im GitHub Repository geschrieben steht, aber ich werde es erklären, da einige Teile schwer zu verstehen sind.
Erforderliche Umgebung / Tools
OS
- Linux oder MacOS
Als ich es auf dem von mir verwendeten MacOSX Catalina installiert habe, endete das Installations-Shell-Skript mit einem Fehler und ich konnte es nicht installieren. Wir empfehlen, Linux in einer virtuellen Umgebung wie VirtualBox zu installieren und in dieser virtuellen Umgebung auszuführen. Informationen zum Erstellen einer virtuellen Umgebung finden Sie in den Artikeln anderer Personen.
Notwendige Werkzeuge
- git Befehl
- Python Version 3.6.1 oder höher
- Google Chrome-Webbrowser (Derzeit funktioniert garantiert nur Google Chrome.)
Informationen zur Installation der einzelnen Tools finden Sie in den Artikeln anderer Personen.
Installationsverfahren
Die neueste Version von MITRE CALDERA ist 2.6.65. Da das Trainings-Plug-In jedoch nur mit 2.6.6 funktioniert, müssen Sie die folgenden Schritte ausführen, um 2.6.6 zu installieren. Führen Sie den folgenden Befehl auf dem Shell-Terminal aus.
$ git clone https://github.com/mitre/caldera.git --recursive --branch 2.6.6
$ cd caldera
$ sudo ./install.sh
Während der Ausführung von install.sh werden die virtuelle Python-Umgebung und die erforderlichen Python-Module in der virtuellen Umgebung installiert. Am Ende der Nachricht sehen Sie, dass Sie den Webdienst folgendermaßen starten können:
Startvorgang des Webdienstes
$ source calderaenv/bin/activate
$ python server.py
Der Webserver wird gestartet und wartet auf den Zugriff über den Webbrowser.
Web-Anmeldeverfahren
Starten Sie den Google Chrome-Webbrowser auf dem Host, der den Webdienst gestartet hat, und geben Sie "http: // localhost: 8888 /" in das URL-Feld ein, um auf den MITRE CALDERA-Server zuzugreifen. Ändern Sie beim Zugriff von einem anderen Host aus den Teil "localhost" in die IP-Adresse des Hosts, der den Webdienst gestartet hat.
Es gibt zwei Arten von Anmeldekonten. Wählen Sie den Benutzernamen entsprechend dem Zweck.
| Nutzername | Passwort | Verwenden |
|---|---|---|
| red | admin | Für rotes Team Ausführung des Angriffsszenarios. Überprüfen Sie die Angriffserkennung und Gegenmaßnahmen |
| blue | admin | Für blaues Team Defensive Szenarioausführung. Incident & Response durchführen |
Abhängig vom Benutzernamen ändern sich das Hintergrundbild und der Werkzeugname wie im ersten Bild dieses Artikels gezeigt. (In MITRE CALDERA Version 2.6.64 unterscheidet sich nur die Farbe des Fensterrahmens.) Sie können verschiedene Funktionen aus dem Menü verwenden.
So beenden Sie
Geben Sie auf dem Terminal, auf dem das Python-Skript auf dem MITRE CALDERA-Server ausgeführt wird, STRG + C ein und beenden Sie das Python-Skript mit.
Deinstallationsverfahren
Löschen Sie alles im Git-Klonverzeichnis. Die virtuelle Python-Umgebung wird ebenfalls gelöscht.
schließlich
Damit ist die Funktionsübersicht und der Aufbau der Betriebsumgebung abgeschlossen. Wenn Sie interessiert sind, installieren und berühren Sie es bitte. In Bezug auf die Verwendung planen wir die Veröffentlichung der Red Team Edition, der Blue Team Edition und der Training Edition. Ich hoffe du freust dich darauf.
Referenzmaterial
Offizielle Seite
- GitHub Repository
- Dokumentation
- Tutorial Video (MITRE CALDERA 2.6.2)
- Einführung in MITRE CALDERA
- MITRE CALDERA Projekteinführung (Oktober 2019)
Präsentationsmaterialien / Videos für Sicherheitskonferenzen
- Black Hat Europe 2017: CALDERA: Automating Adversary Emulation (PDF)
- Black Hat Europe 2017: CALDERA: Automatisierung der Emulation von Gegnern (Video)
- 2018.01.03 CALDERA automated cyber adversary emulation system - mitrecorp
- 2019.03.06 Live Adversary Simulation: Red and Blue Team Tactics - RSA Conference
- 2019.06.19 BSides London: The Imitation Game: Emulating Attackers - Wietze Beukema
- 2019.10.10 BruCON 0x0B: Automated adversary emulation using Caldera - Erik Van Buggenhout
- 2019.11.04 MITRE Tech Talks: CALDERA
Externes Plug-In
- ATT & CK-Evaluierungsrunde 1: APT3-Angriffsszenario
- ATT & CK-Evaluierungsrunde 2: APT29-Angriffsszenario