写在前面
有时候也会接触到红队以外的蓝队和紫队工作,所有额外的经历都是我安全生涯一次奇妙的旅行。红队注重攻击,蓝队注重防御。紫队作为组织者促成红蓝之间的双向奔赴,让红队攻击的矛更加诡异与隐蔽,让蓝队防御的盾更加全面和坚固。
最近工作上遇到了VECTR紫队的搭建,作为少数免费的紫队平台,又正好国内相关中文资料较少简单记录一下搭建和使用。之前一版不小心泄露了信息,重新发一版。
目录
0x01 VECTR简介0x02 VECTR平台搭建0x03 VECTR的简单使用
VECTR简介
暂时没有找到介绍VECTR的中文文章,这里就复制一段VECTRE官网的介绍。简言之,紫队作为组织者指定一个评估模板,里面会包含很多测试用例也就是攻击方法。比如一个评估模板里有一项活动(攻击目的)是凭据窃取,里面会有如SSH爆破,dump LSASS.exe,窃取浏览器密码,使用mimikatz获取哈希等等测试用例,红队会根据这些测试用例展开攻击并记录攻击时间,攻击目标,攻击手段等等,蓝队也会记录监测的结果,发现攻击的时间/设备,安全设备是告警、拦截、仅由日志留存或者什么也没有监测到。双方根据这些信息,红队就知道攻击的隐蔽程度并研究更隐蔽的攻击方式。蓝队知道设备的监测程度,如果没有告警,可以根据攻击特征编写拦截规则。我更多在介绍红蓝之间的双向奔赴,看看官网的介绍:
“VECTR 是一种工具,可帮助您跟踪红队和蓝队的测试活动,以衡量跨不同攻击场景的检测和预防能力。VECTR 提供创建评估组的能力,评估组由一系列活动和支持测试用例组成,以模拟对手威胁。活动可以是广泛的,跨越整个杀伤链的活动,从最初的妥协到特权升级和横向移动等,或者可以缩小范围以专注于特定的检测层、工具和基础设施。VECTR 旨在促进进攻和防守之间的完全透明度,鼓励团队成员之间的培训,并提高整个环境的检测和预防成功率。”
--VECTR官网
VECTR平台搭建
首先需要一台linux机器
mkdir -p /opt/vectrcd /opt/vectrwget https://github.com/SecurityRiskAdvisors/VECTR/releases/download/ce-8.5.1/sra-vectr-runtime-8.5.1-ce.zip -P /opt/vectrunzip sra-vectr-runtime-8.5.1-ce.zip
//根据需要修改.env文件配置,如VECTR_HOSTNAME端口、mongodb地址/账号/密码vim .env
安装docker-compose环境curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose修改目录权限chmod +x /usr/local/bin/docker-compose
//在vectr目录下开启docker容器docker-compose up -d
完成后访问 https://ip:8081
默认账号:admin默认密码:11_ThisIsTheFirstPassword_11
VECTR的简单使用
切换数据库,VECTR自带一个DEMO_PURPLE_CE库,里面有一些项目示例。
点击任意一个评估组查看详情,可以看到各项活动模板的完成情况
查看全部测试用例
VECTR自带ATT&CK的测试用例,如果需要自定义新增的测试用例,可以经行如下操作(这里没有填充具体测试用例内容):
新建活动模板,把刚才自己新建的测试模板加上
新建一个紫队项目
选择ATT&CK 模板
额外添加新增的活动模板
单击活动目录进入
单击测试用例,填写具体红蓝队的进程和成果
可以填写实时的红蓝队进度,背靠背便于红队了解自己的攻击是否隐蔽,蓝队了解自己的安全设备能否监测到攻击行为,如果不能可以根据具体攻击行为的攻击特征编写匹配库。
查看热力图实时掌握进度
因为我们之前填的暴力破解SSH被蓝队拦截,所以热力图在这一块给我们的安全评估是Strong。
这是成品热力图
写在最后
仅做记录,祝大家现实也是双向奔赴。
原文始发于微信公众号(云下信安):紫队VECTR平台搭建与简单使用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论