CyberMimi-debug/caldera-adversary-emulation-lab

高级道德黑客 平台：MITRE CALDERA 环境：隔离的 VirtualBox 实验环境 (Red Hat Linux, Windows 10, Kali Linux) 概述 本实验使用 MITRE CALDERA（一个基于 ATT&CK 框架构建的开源对手模拟平台）模拟真实攻击者的行为。与其等待真正的攻击发生，CALDERA 允许您在受控环境中对活动端点安全地执行攻击者的 TTP（战术、技术和程序）。 本实验解答的核心问题是：防御机制是否有效，以及盲区在哪里？ 实验环境 C2 服务器在 Red Hat Linux 上运行 MITRE CALDERA。Sandcat 代理被部署到隔离的仅主机 (host-only) VirtualBox 实验环境中的两个目标上 —— 一台 Windows 10 虚拟机和一台 Kali Linux 虚拟机。 设置与部署 CALDERA 服务器 使用 git clone --recursive 从 MITRE GitHub 克隆了 CALDERA 通过 pip install -r requirements.txt 安装了 Python 依赖项 使用 python3 server.py --build 构建并启动了服务器 访问了 Web 界面并以红队操作员身份完成身份验证 代理部署 — Windows 目标 部署依次暴露了多层的端点防御： Windows Defender AV 在首次执行时立即检测并隔离了 Sandcat 载荷 —— 确认实时保护处于活动状态 Windows Defender 防火墙在第二次尝试时阻断了出站 C2 回连 —— 确认网络控制处于活动状态 在禁用这两项控制后（为了模拟受损或配置错误主机的实验室配置），代理以提升的 Administrator 权限成功连接 代理部署 — Kali Linux 目标 Bash 代理顺利部署，未受任何干扰。在 CALDERA 代理仪表板中确认两个代理均处于活动状态并保持通信。 执行的操作 操作 1 — 侦察测试 配置文件：Discovery（预置的 CALDERA ATT&CK 配置文件） 目标：Windows VM 识别活动用户 — 成功。返回了当前登录的用户账户。 识别本地用户 — 成功。枚举了机器上的所有本地账户。 查找用户进程 — 成功。将运行中的进程映射到用户账户。 查看管理员共享 — 成功。枚举了隐藏的 ADMIN$ 共享 — 数据已返回并确认被窃取。 发现域控制器 — 失败。符合预期的结果 — 该 VM 未加入域。 发现：查看管理员共享 TTP 返回了详细说明 ADMIN$ 共享属性的结构化数据，确认了执行成功并从端点收集了实时数据。 操作 2 — 枚举器测试 配置文件：Enumerator 目标：Windows VM WMIC 进程枚举 — 成功。收集了完整的进程列表并在多个代理上执行。 tasklist 枚举 — 成功。返回了可执行文件路径和进程名称。 UAC 状态检查 — 成功。确认了目标机器上的 UAC 配置。 发现：基于 WMIC 的枚举返回了详细的进程情报，包括可执行文件路径，确认了对受损端点运行状态的完全可见性。这种访问级别将允许攻击者识别安全工具、规划横向移动并选择下一阶段的技术。 蓝队观察 该模拟识别出了以下 SOC 或 SIEM 应配置为捕获的检测机会： 命令行中经过混淆或编码的 PowerShell 执行 从端点到非标准端口的出站连接 大规模 WMIC 进程枚举 — 在大多数环境中属于异常行为 通过 CimInstance 调用枚举管理员共享 — 如果不符合预期应触发警报 最重要的发现是，在默认配置下，AV 和防火墙控制均能正常运作。只有在手动禁用这两者之后，绕过才得以成功 —— 这再次印证了端点加固和适当的防火墙策略是有效的第一线控制措施。 使用的工具 MITRE CALDERA Sandcat 代理 MITRE ATT\&CK 框架 Windows PowerShell VirtualBox 展示的技能 C2 基础设施部署和代理管理 与 ATT\&CK 对齐的 TTP 执行和监控 实验室环境下的端点安全绕过分析 基于对手模拟结果的蓝队盲区识别 技术文档编写和安全报告撰写 相关项目 Splunk 检测工程实验室 使用 Volatility 进行内存取证 Burp Suite Web 应用程序测试实验室 免责声明：所有活动均在隔离的虚拟环境中进行，出于教育目的，作为 George Brown College 课程的一部分。未针对任何真实的系统或网络。

标签：adversary emulation, adversary simulation, AI合规, blue team, Command and Control, cyber range, detection engineering, endpoint protection, ethical hacking, evasion, gap analysis, host-only network, MITRE ATT&CK framework, MITRE CALDERA, penetration testing, Purple Team, Red Hat Linux, Red Team, Sandcat, security operations, threat hunting, TTP, VirtualBox, virtualization, Windows 10, Windows Defender, 后渗透, 数据包嗅探, 无线安全, 流量嗅探, 网络安全, 逆向工具, 隐私保护