首页 > 其他分享 >RAT蓝队自动化测试框架

RAT蓝队自动化测试框架

时间:2023-07-06 18:13:21浏览次数:36  
标签:py RTA Windows 蓝队 ttp RAT exe 自动化 red

RAT 是根据 MITRE ATT&CK 战术矩阵测试蓝队检测能力的脚本框架,由 python2.7 编写,共有 50 多种不同 ATT&CK 技术点和编译好的 exe 程序,根据蓝队人员需要选择进程注入、持久化等操作。

仓库地址

https://github.com/endgameinc/RTA/tree/master

环境要求

Python2.7

部分脚本依赖如下:

依赖组件 RTA 脚本 来源
Sysinternals Suite user_dir_escalation.py, sip_provider.py, system_restore_proc.py,trust_provider.py Microsoft
MsXsl msxsl_network.py

要注意的是 Windows Defender 或其他反病毒产品可能会在 RTA 运行时阻止或以其他方式干扰 RTA。

工具使用

单例运行

C:\RTA\red_ttp>python certutil_file_obfuscation.py
[+] Encoding target
win10-x64 > c:\Windows\System32\certutil.exe -encode c:\windows\system32\cmd.exe "C:\RTA\red_ttp\encoded.txt"
输入长度 = 289792
输出长度 = 398524
CertUtil: -encode 命令成功完成。

[+] Decoding target
win10-x64 > c:\Windows\System32\certutil.exe -decode "C:\RTA\red_ttp\encoded.txt" "C:\Users\win2021ltsc\Desktop\RTA\red_ttp\decoded.exe"
输入长度 = 398524
输出长度 = 289792
CertUtil: -decode 命令成功完成。

[+] Cleaning up
[-] Removing C:\RTA\red_ttp\encoded.txt
[-] Removing C:\RTA\red_ttp\decoded.exe

全部运行

python run_rta.py

Windows 运行

for %f in (*.py) do python %f

日志查看

如果 Windows 装了 sysmon 等日志查看工具,可以在事件查看器中看到捕获的日志记录,以上述 certutil_file_obfuscation 为例,该脚本使用 certutil 将 cmd 编码为 txt 文件,并后续进行了解码,在时间查看器的 应用程序和服务日志-Microsoft-Windows-Sysmon-Operation 中可以看到以下日志
image

标签:py,RTA,Windows,蓝队,ttp,RAT,exe,自动化,red
From: https://www.cnblogs.com/ConfusedChenSir/p/17532939.html

相关文章

  • 软件测试常用工具总结(测试管理、单元测试、接口测试、自动化测试、性能测试、负载测试
    在软件测试的过程中,多多少少都是会接触到一些测试工具,作为辅助测试用的,以提高测试工作的效率,使用好了测试工具,能对测试起到一个很好的作用,同时,有些公司,也会要求掌握一些测试工具,或者,是在面试时,也会被问到测试工具的,比如,在面试时,最常见的问题便是,你在测试时,用的是什么测试工具?或者......
  • Kafka使用(自动化)
    self.request_topic='requestRemoteModelServer'self.response_topic='responseRemoteModelServer'self.producer=Biz_模型控制服务.kafka_producer_init()self.consumer=Biz_模型控制服务.kafka_consumer_init(self.response_topic,10000) Biz_模型控制服务.produce......
  • 智能控制:BL102 PLC网关在泵站中的自动化应用
    随着工业智能化的快速发展,BL102PLC网关作为一种先进的工业自动化设备,在泵站远程监测领域发挥了重要的作用。通过BL102PLC网关,我们可以实现对泵站PLC的远程监测和控制,从而提高泵站的工作效率和管理水平。 一、BL102PLC网关的功能和应用场景BL102PLC网关是一种......
  • spring各版本冲突:Failed to process import candidates for configuration class [com
    今天又发现一个通病##springcloud-springcloudalibaba-springboot的版本对应关系#########报错如下:Failedtoprocessimportcandidatesforconfigurationclass[com.example.SunApplication];nestedexceptionisorg.springframework.core.NestedIOException:ASMC......
  • Mybatis-generator插件快速生成代码
    生成步骤:在pom.xml中添加插件<!--mybatisGenerator插件--><plugin><groupId>org.mybatis.generator</groupId><artifactId>mybatis-generator-maven-plugin</artifactId><version>1.4.0</version><depende......
  • python批量自动化工作
    将下述内容批量转换成指定的格式复仇之魂,众神之王,魅惑魔女,变体精灵,水晶室女,流浪剑客,娜伽海妖,撼地神牛,隐形刺客,秀豆魔导师,熊德,剑圣月之骑士,矮人火枪手,巨魔战将,暗影萨满,钢背兽,熊猫酒仙,半人马酋长,赏金猎人,龙骑士,敌法师,黑暗游侠,全能骑士,沉默术士,树精卫士,谜团,光之守卫,熊战士,食......
  • CodeTON Round 5 (Div. 1 + Div. 2, Rated, Prizes!)
    Preface补题,不得不说一边晒太阳一边想题目真的纯在折磨,眼睛要被反光晃瞎了这场ABCD和F都比较简单,E的话一个关键性质想到了但统计的时候棋差一招,G的话就是纯纯的巧妙,后面两题没看总体来说这场质量极高,可惜和考试周冲突了没法现场打的说(不过题目都是丁真题狠狠地好评)A.Tenzin......
  • 2023-06-04-Generating-Function-Editor
    You'regrowingdesperatefromthefight.基本策略已知系数的幂级数首先是一些可以通过整体法得到封闭形式的幂级数,所谓整体法,即是通过将幂级数位移,用自己表示自己然后做差。\[\begin{aligned}\left\langle1,1,1,1,1,\dots\right\rangle&\rightarrow\frac{1}{1......
  • 2023-05-20-Probability-Generating-Function
    It'stimetorollthedice.\(\mathtt{Definition}\)令\(X\)为取值非负的随机变量,那么\(X\)的概率生成函数\(\mathtt{Probability\Generating\Function}\)为\[\begin{aligned}G_x(z)=\sum_{k\ge0}\mathrm{Pr}(X=k)z^k\end{aligned}\]根据上式可以得知......
  • es6 iterator
    //需求使用forof便利对象并返回对象数组的值letbanji={name:"火箭一班",stus:["limuzi","nini","zhaoliying","xiena"],[Symbol.iterator](){let_this=this......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99