Джеймс Таббервиль | 12 ноября 2019 г. | Твитнуть этот пост

Первоначально опубликовано на http://threatexpress.com.

Сборщик данных событий (EDC) — это очень простое приложение django, используемое для сбора данных на лету.

Он в первую очередь предназначен для облегчения потока сплоченной красной команды, позволяя как вручную, так и автоматически собирать оперативные действия и информацию. Это не причудливо, он был разработан поэтапно, чтобы удовлетворить потребности часа, и из него были удалены некоторые элементы для защиты нескольких организаций.

Ожидается, что только члены RT, назначенные для операции, и те, кто назначен доверенными агентами (TA), белой ячейкой или членами контрольной ячейки, которым необходимо знать, будут использовать EDC.

Вы можете найти всю информацию, код и инструкции по настройке на Github.

Главная Информация

Взгляды

Представления основаны на шаблонах, а не на сборках. Это позволяет команде выбирать, что отображается в представлении, а что требует просмотра сведений о записи.

  • Инфо (info): Информация о событии
  • OPLOG (oplogs) Журналы оператора — записи журнала обо всех действиях.
  • Цели (цели): Цели с действиями — любой целевой актив, в котором выполняются действия (успешно или неудачно).
  • Учетные данные (creds): полученные целевые учетные данные — файлы, мимикац, кейлоггинг и т. д.
  • Полезные нагрузки (полезные нагрузки): место для хранения готовых полезных нагрузок (эскалация, c2, постоянство и т. д.)
  • Деконфликт (decon): Данные деконфликта — Базовые данные! Сторона оборонительных элементов (синие команды, SOC и т. д.) должна предоставить больше данных для проверки устранения конфликтов. Обратите внимание, что decon — это просто подмножество данных оплога.

Примеры:

Полный обзор оплога

команда и вывод oplog

Просмотр целей

Просмотр учетных данных

Полезные нагрузки

Устранение конфликтов

URL-адреса

  • Информация/
  • извинения/
  • цели/
  • кредиты /
  • полезная нагрузка/
  • декон/
  • tag/ — быстрая идентификация тегированных логов (tag/c2, tag/observation, tag/persistence)
  • user/ — список логов на оператора (user/testerld)
  • rta/ — Панель администратора (измените по желанию)

Рамка отдыха

(Для доступа требуется IsStaff)

  • информация о событии/
  • оплог/
  • кредит /
  • цель/
  • API-токен/ ‹ Сгенерировать ключ

Аутентификация и авторизация

EDC требует, чтобы учетной записи была назначена роль для любого доступа. Хотя могут применяться индивидуальные разрешения, настоятельно рекомендуется использовать разрешения на основе ролей.

Роли (группы)

  • Ведущий: ведущий или менеджер мероприятия — имеет права на все действия edc.
  • Оператор: оператор или клавишник — имеет привилегии для большинства действий edc за исключением некоторого постоянного удаления.
  • WhiteCell: имеет права только на просмотр информации и устранение конфликтов — доверенный агент, наблюдатель, специалист по данным и т. д.

Счета

Рекомендуется создавать новые учетные записи и удалять примеры после подтверждения функциональности новых.

Разрешения для учетной записи

2FA

Все учетные записи имеют опцию 2FA (приложение для аутентификации). Для каждой учетной записи необходимо включить 2FA через профиль.

Сводная информация о безопасности

Быстрые советы

  • Теги могут быть любыми ключевыми словами, полезными для вашей команды. Их можно использовать для создания быстрого просмотра нужного случая (т. е. определения всех отмеченных результатов).

  • Пользовательские токены должны быть переданы для доступа к остальным фреймворкам.
  • Все представления имеют связанный шаблон (по сравнению со сборкой таблиц). Добавление или удаление полей из представления выполняется так же просто, как добавление/удаление из шаблона.
  • Некоторые секреты скрыты от просмотра (например, открытый текстовый пароль скрыт в таблице кредитов, но виден в деталях)
  • Инструкции по настройке на github предоставляют варианты сброса пароля AWS S3 и электронной почты.
  • Любой может зарегистрироваться (при условии, что он действительно открыт и доступен на www)
  • * * *По умолчанию разрешения не назначены. Вход в систему не дает просмотров и доступа
  • * * *Развертывание должно иметь ограниченный доступ (ACL) или быть доступным только из VPN и т. д.
  • * * * При желании вы можете ограничить регистрацию определенным доменом электронной почты.
  • Рекомендуется использовать bashrc, так как он сохраняет журналы терминала локально. Он также имеет несколько простых примеров функций для отправки данных в EDC. Это должны быть двоичные файлы или исполняемые файлы Python на вашем пути. Включенные функции принимают (или, если они опущены, запрашивают) вводимые данные, соответствующим образом именуют и делают снимок экрана (если oplog) и отправляют ввод.

Использовать

  • Ручной ввод
  • * * * Используйте предоставленные формы
  • bash_functions (см. репозиторий github)
log -h
cred -h
target -h

  • API (примеры завитков)
# Obtain token
curl -d 'username=testerld&password=user passld' https://domain.com/api-token/

# Pull all oplogs (or /cred/ or /target/)
curl https://domain.com/oplog/ -H 'Authorization: Token 333...de8'

# Post a new log entry
curl -d 'src_host=attackimage2&src_ip=44.33.22.11&dst_host=corpwks01&dst_ip=143.144.145.146&dst_port=445&tool=terminal&description=smb_relay&result=success&operator_id=9' https://domain.com/oplog/ -H 'Authorization: Token 333...de8'

Первоначально опубликовано на http://threatexpress.com.