Day 4: I’m all atomic inside!

Glitch aveva intuito che quest'anno i festeggiamenti sarebbero stati diversi. Di fronte alle minacce incombenti, decise di rinnovare le difese di sicurezza della città.

Obiettivi di apprendimento

• Imparare a identificare le tecniche malevoli utilizzando il framework MITRE ATT&CK.

• Imparare a utilizzare i test Atomic Red Team per condurre simulazioni di attacchi.

• Capire come creare regole di allerta e rilevamento dai test di attacco.

Informazoni preliminari

Ignorando le buone intenzioni di Glitch, il team SOC ha individuato delle anomalie: Registri che mostravano l' accesso da parte dell'amministratore, l'escalation di privilegi, sistemi patchati che si comportavano in modo diverso e strumenti di sicurezza che attivavano avvisi. Il team ha interpretato erroneamente le modifiche del sistema come segno di una minaccia interna o di un o di un attaccante malintenzionato e ha deciso di avviare un'indagine utilizzando il framework Atomic Red Team.

Atomic Red Team è un progetto open-source che fornisce un framework per l'esecuzione di test di sicurezza e l'emulazione delle minacce informatiche. È costituito da strumenti e tecniche che possono essere utilizzati per simulare vari tipi di attacchi e minacce alla sicurezza, come malware, attacchi di phishing e compromissioni di rete.

McSkidy sospetta che il presunto attaccante abbia utilizzato la tecnica MITRE ATT&CK T1566.001 Spearphishing con un allegato. Ricreiamo l'emulazione dell'attacco eseguito dal presunto aggressore e cerchiamo gli artefatti creati.

Svolgimento della challenge

Connessi alla macchina Windows tramite RDP apriamo un prompt PowerShell e

Conclusioni