關(guān)于RTA

RTA是一款專為藍(lán)隊(duì)研究人員設(shè)計(jì)的威脅行為能力檢測框架。RTA提供了一套腳本框架，旨在讓藍(lán)隊(duì)針對惡意行為測試其檢測能力，該框架是基于MITRE ATT＆CK模型設(shè)計(jì)的。

RTA由多個(gè)Python腳本組成，可以生成50多種不同的ATT＆CK戰(zhàn)術(shù)策略，以及一個(gè)預(yù)先編譯的二進(jìn)制應(yīng)用程序，并根據(jù)需要執(zhí)行文件時(shí)間停止、進(jìn)程注入和信標(biāo)模擬等活動(dòng)。

在可能的情況下，RTA 將嘗試執(zhí)行策略所描述的實(shí)際惡意活動(dòng)。在其他情況下，RTA  將模擬所有或部分活動(dòng)。例如，某些橫向移動(dòng)操作默認(rèn)會(huì)針對本地主機(jī)（盡管參數(shù)通常允許進(jìn)行多主機(jī)測試）。在其他情況下，可執(zhí)行文件（如 cmd.exe 或 python.exe）將被重命名，使其看起來像是 Windows 二進(jìn)制文件正在執(zhí)行非標(biāo)準(zhǔn)活動(dòng)。

工具要求

由于該工具基于Python 2.7開發(fā)，因此我們首先需要在本地設(shè)備上安裝并配置好Python 2.7環(huán)境。

除此之外，RTA還使用了某些第三方工具來實(shí)現(xiàn)更強(qiáng)大的功能，具體依賴組件信息如下所示：

工具安裝

首先，廣大研究人員需要使用下列命令將該項(xiàng)目源碼克隆至本地：

git clone https://github.com/endgameinc/RTA.git

接下來，將下載下來的ZIP文檔提取內(nèi)容至RTA目錄，例如c:\RTA。此時(shí)，我們就可以開始使用RTA了。

需要注意的是，Windows Defender或其他防病毒產(chǎn)品可能會(huì)在RTA運(yùn)行時(shí)阻止或以其他方式干擾RTA。在根據(jù)測試目標(biāo)運(yùn)行RTA之前，請考慮如何在測試主機(jī)上配置安全產(chǎn)品。

自定義配置

廣大研究人員可以通過修改common.py來自定義RTA腳本在我們環(huán)境中的工作方式。我們甚至可以編寫一個(gè)全新的函數(shù)，用于一個(gè)或多個(gè)新的RTA。

工具運(yùn)行

如果直接運(yùn)行RTA的話，可以直接執(zhí)行下列命令：

python powershell_args.py

如需運(yùn)行這個(gè)那個(gè)RTA目錄，最簡python run_rta.py單的方法就是使用run_rta.py：

python run_rta.py

除此之外，我們也可以使用循環(huán)來執(zhí)行RTA：

for %f in (*.py) do python %f

或

for i in (*.py); do python $i; done

許可證協(xié)議

本項(xiàng)目的開發(fā)與發(fā)布遵循GNUAffero通用開源許可證協(xié)議。

項(xiàng)目地址

RTA：【GitHub傳送門】

參考資料

https://attack.mitre.org/wiki/ATT&CK_Matrix

https://docs.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite

https://www.microsoft.com/en-us/download/details.aspx?id=21714