[PYTHON] Introduction du cadre de cybersécurité "MITRE CALDERA", aperçu des fonctions, construction de l'environnement d'exploitation
Introduction du cadre de cybersécurité "MITRE CALDERA": Présentation fonctionnelle / Construction de l'environnement d'exploitation
| Écran d'équipe rouge | Écran d'équipe bleu |
|---|---|
 |
 |
- L'image ci-dessus est l'écran du client Web de MITRE CALDERA version 2.6.6.
introduction
Effet
Mon travail est la recherche en cybersécurité et je suis particulièrement intéressé par le développement des ressources humaines. Au cours de mes recherches, je suis tombé sur un OSS (logiciel open source) appelé "MITRE CALDERA" et c'était un outil prometteur qui pouvait être utilisé pour le développement des ressources humaines, donc j'aimerais que tout le monde connaisse, utilise et fasse cet article. l'écriture.
Constitution
Puisqu'il existe de nombreuses introductions, je les présenterai dans les quatre articles suivants.
- Vue d'ensemble des fonctions / Construction de l'environnement d'exploitation (cet article)
- Comment utiliser: Red Team Edition
- Comment utiliser: Blue Team Edition
- Comment utiliser: Formation
Glossaire:
- Red Team: une équipe qui simule une cyberattaque
- Blue Team: une équipe qui répond aux cyberattaques (incidents et réponses)
Personne cible
- Les personnes intéressées par la cybersécurité
- Les personnes intéressées par le développement des ressources humaines en cybersécurité
- Les personnes intéressées par la programmation de plug-ins
Attention / Clause de non-responsabilité
Cet article comprend un moyen de simuler une cyberattaque. Le but est de confirmer, d'examiner et d'améliorer le type d'événements qui se produiront en raison des cyberattaques et comment y faire face, et de les utiliser pour le développement des ressources humaines en cybersécurité. Créez un environnement réseau fermé afin qu'il n'affecte pas les autres systèmes ou réseaux. Si vous le faites à une personne qui n'en a pas l'autorisation, cela enfreindra les lois telles que la loi sur l'accès non autorisé à l'ordinateur, alors veuillez ne pas le faire.
Le contenu de cet article est mon opinion personnelle, pas l'opinion officielle de l'organisation à laquelle j'appartiens. L'auteur et l'organisation à laquelle il appartient ne sont pas responsables des problèmes, dommages ou dommages causés à l'utilisateur ou à un tiers en essayant ce qui est décrit dans cet article.
Présentation générale
Qu'est-ce que MITRE CALDERA
MITRE CALDERA est un «framework de cybersécurité» qui fournit diverses fonctions sous forme de plug-ins. C'est un outil qui se caractérise par la simulation (émulation) des cyberattaques à l'aide de la technologie de cyberattaque et des scénarios d'attaque réellement utilisés. US MITRE publie OSS sous licence Apache. Les principales fonctions fournies sont énumérées ci-dessous.
- Simuler une cyberattaque
- Observez les événements causés par les cyberattaques, réfléchissez à la manière de les gérer et gérez-les.
- Vérifiez si les cyberattaques peuvent être détectées automatiquement et améliorez-les afin qu'elles puissent être détectées et traitées automatiquement.
Les fonctions ci-dessus peuvent également être exécutées automatiquement en fonction d'un scénario préparé à l'avance. Nous soutenons l'amélioration de la sécurité et le développement des ressources humaines dans la boucle de travail suivante.
Projets liés à MITRE CALDERA
Le MITRE est une organisation à but non lucratif (OSBL) américaine, une variété de projets qui génèrent un intérêt public et des idées innovantes pour l'industrie et le monde universitaire grâce à l'exploitation d'un centre de R & D (FFRDC) parrainé par le gouvernement américain et à des partenariats privés. il y a. Veuillez consulter le site Web de MITRE pour plus de détails. https://www.mitre.org/about/corporate-overview
Voici quelques projets connexes que vous devriez connaître sur l'utilisation de MITRE CALDERA:
- MITRE ATT & CK: Base de connaissances sur la technologie des cyberattaques
- MITER ATT & CK NAVIGATOR: Outil de visualisation et d'extraction d'informations MITER ATTACK
Aperçu fonctionnel
Le corps principal de MITRE CALDERA est un script Python qui fournit un service Web en incorporant un plug-in. Les fonctions de base de MITRE CALDERA sont fournies sous forme de plug-ins. Le plug-in est également un script Python. MITRE CALDERA est un projet qui a débuté en 2017, mais il a été fréquemment mis à jour ces jours-ci, et de nouveaux plug-ins de fonctionnalités sont ajoutés activement. Vous pouvez également incorporer des plugins créés par d'autres projets. (Voir Commentaire) Certains plugins sont désactivés immédiatement après l'installation, mais vous pouvez les activer à partir du menu Configurer.
Fonction plug-in de base
Vous trouverez ci-dessous une liste des plug-ins MITRE CALDERA version 2.6.6 sortis le 20 mars 2020.
| Nom du plugin | Version valide | Standard valide | La description |
|---|---|---|---|
| sandcat | tout | ◯ | Agent, RAT/BOT |
| stockpile | tout | ◯ | Scénario de base |
| compass | 2.5 | ◯ | Création de scénario |
| response | 2.5 | ◯ | Scénario de réponse aux incidents |
| terminal | 2.6 | Terminal shell inversé | |
| gameboard | 2.6 | ◯ | Affichage du score de l'équipe rouge contre l'équipe bleue |
| mock | tout | × | Pseudo agent |
| ssl | tout | × | Proxy HTTPS |
| access | 2.6 | × | Paramètres d'accès à distance |
| atomic | 2.6 | ◯ | Scénario préparé par l'équipe Atomic Red Canary |
Agent MITRE CALDERA
Lors de la simulation d'une cyberattaque avec MITRE CALDERA, elle part de l'état où elle est intrusée dans le terminal. Nous ne chercherons pas et n'enverrons pas les vulnérabilités. C'est l'agent MITRE CALDERA qui crée l'état d'intrusion dans le terminal. C'est un programme communément appelé RAT (Remote Access Trojan). Vous pouvez télécharger plusieurs programmes d'agent en accédant au serveur MITRE CALDERA. Sélectionnez et téléchargez l'agent approprié en fonction du système d'exploitation et de l'objectif, ou copiez et collez le script pour exécuter l'agent. L'agent se connecte au serveur MITRE CALDERA et exécute la commande de contrôle à distance ordonnée par le serveur.
Construction de l'environnement d'exploitation
Vous pouvez faire exactement ce qui est écrit dans le fichier README.md dans le GitHub Repository, mais je vais l'expliquer car certaines parties sont difficiles à comprendre.
Environnement / outils requis
OS
- Linux ou MacOS
Lorsque je l'ai installé sur le MacOSX Catalina que j'utilise, le script shell d'installation s'est terminé par une erreur et je n'ai pas pu l'installer. Nous vous recommandons d'installer Linux dans un environnement virtuel tel que VirtualBox et de l'exécuter sur cet environnement virtuel. Veuillez vous référer aux articles d'autres personnes pour savoir comment créer un environnement virtuel.
Outils nécessaires
- commande git
- Python version 3.6.1 ou ultérieure
- Navigateur Web Google Chrome (actuellement, seul Google Chrome est garanti de fonctionner)
Veuillez vous référer aux articles d'autres personnes pour savoir comment installer chaque outil.
Procédure d'installation
La dernière version de MITRE CALDERA est la 2.6.65, mais comme le plug-in de formation ne fonctionne qu'avec 2.6.6, voici les étapes pour installer 2.6.6. Exécutez la commande suivante sur le terminal shell.
$ git clone https://github.com/mitre/caldera.git --recursive --branch 2.6.6
$ cd caldera
$ sudo ./install.sh
Pendant l'exécution de install.sh, l'environnement virtuel Python et les modules Python requis seront installés dans l'environnement virtuel. À la fin du message, vous verrez que vous pouvez démarrer le service Web en procédant comme suit:
Procédure de démarrage du service Web
$ source calderaenv/bin/activate
$ python server.py
Le serveur Web démarre et attend l'accès depuis le navigateur Web.
Procédure de connexion Web
Lancez le navigateur Web Google Chrome sur l'hôte qui a lancé le service Web et saisissez http: // localhost: 8888 / dans le champ URL pour accéder au serveur MITRE CALDERA.
Lors de l'accès depuis un autre hôte, remplacez la partie localhost par l'adresse IP de l'hôte qui a lancé le service Web.
Il existe deux types de comptes de connexion. Sélectionnez le nom d'utilisateur en fonction de l'objectif.
| Nom d'utilisateur | mot de passe | Utilisation |
|---|---|---|
| red | admin | Pour l'équipe rouge Exécution du scénario d'attaque. Vérifier la détection des attaques et les contre-mesures |
| blue | admin | Pour l'équipe bleue Exécution de scénarios défensifs. Effectuer un incident et une réponse |
En fonction du nom d'utilisateur, l'image d'arrière-plan et le nom de l'outil changeront comme indiqué dans la première image de cet article. (Dans la version 2.6.64 de MITRE CALDERA, seule la couleur du cadre de la fenêtre est différente.) Vous pouvez utiliser diverses fonctions du menu.
Comment sortir
Tapez CTRL + C sur le terminal exécutant le script python sur le serveur MITRE CALDERA et quittez le script Python avec.
Procédure de désinstallation
Supprimez tout sous le répertoire git clone. L'environnement virtuel Python sera également supprimé.
à la fin
Ceci conclut l'aperçu des fonctions et la construction de l'environnement d'exploitation. Si vous êtes intéressé, veuillez l'installer et le toucher. En ce qui concerne son utilisation, nous prévoyons de publier l'édition Red Team, l'édition Blue Team et l'édition Training. J'espère que vous l'attendez.
Matériel de référence
Site officiel
- Dépôt GitHub
- Documentation
- Tutoriel vidéo (MITRE CALDERA 2.6.2)
- Introduction à MITRE CALDERA
- Introduction au projet MITRE CALDERA (octobre 2019)
Documents / vidéos de présentation de la conférence sur la sécurité
- Black Hat Europe 2017: CALDERA: Automating Adversary Emulation (PDF)
- Black Hat Europe 2017: CALDERA: Automatisation de l'émulation de l'adversaire (vidéo)
- 2018.01.03 CALDERA automated cyber adversary emulation system - mitrecorp
- 2019.03.06 Live Adversary Simulation: Red and Blue Team Tactics - RSA Conference
- 2019.06.19 BSides London: The Imitation Game: Emulating Attackers - Wietze Beukema
- 2019.10.10 BruCON 0x0B: Automated adversary emulation using Caldera - Erik Van Buggenhout
- 2019.11.04 MITRE Tech Talks: CALDERA
Plug-in externe
- Évaluations ATT & CK Round 1: Scénario d'attaque APT3
- Évaluations ATT & CK Round 2: Scénario d'attaque APT29
Recommended Posts