__ __ __
_/ |_| |_________ ____ _____ _/ |_
__| | _ __ _/ __ \__ \ __
| | | Y | | \ ___/ / __ | |
|__| |___| |__| ___ (____ |__|
______ __ _________ ________ __|___/ |
____ | | _ __ / ___| | | __
| |_> | | /| | \___ | | | || |
| __/|____/ |__| /____ |____/|__||__|
|__| /
MANDIANT THREAT INTELLIGENCE VM
Version 2020.1
[email protected]
Created by:
Dan Kennedy
Jake Barteaux @day1player
Blaine Stancill @MalwareMechanic
Nhan Huynh
Front Line Advanced Research and Expertise
Voraussetzungen
Google Chrome-Browser
Oracle Java SE 11 oder höher
Installation (Installationsskript)
Anforderungen
Empfohlen
- Windows 10 1903
- 120+ GB Festplatte
- 8+ GB RAM
- 1 Netzwerkadapter
- 1024 MB Grafikkartenspeicher
- Aktivieren Sie die Virtualisierungsunterstützung für VM (erforderlich für Docker).
Bekannte Probleme
Die Verwendung von Oracle Virtualbox als Virtualisierungssoftware, die auf einem physischen Windows 10-Host ausgeführt wird, führt zu Problemen bei der Docker-Installation. Derzeit gibt es keine andere Problemumgehung als die Verwendung von VMware Player oder VMware Workstation.
Anweisungen
Standardinstallation
- Erstellen und konfigurieren Sie eine neue virtuelle Windows-Maschine
- Stellen Sie sicher, dass die VM vollständig aktualisiert ist. Möglicherweise müssen Sie nach Updates suchen, einen Neustart durchführen und erneut prüfen, bis keine Updates mehr verfügbar sind
- Machen Sie einen Schnappschuss Ihrer Maschine!
- Laden Sie install.ps1 herunter und kopieren Sie es auf Ihren neu konfigurierten Computer.
- Öffnen Sie PowerShell als Administrator
- Entsperren Sie die Installationsdatei, indem Sie Unblock-File .install.ps1 ausführen
- Aktivieren Sie die Skriptausführung, indem Sie Set-ExecutionPolicy Unrestricted -f ausführen
- Führen Sie abschließend das Installationsskript wie folgt aus: .install.ps1 Sie können Ihr Passwort auch als Argument übergeben: .install.ps1 -password Das Skript richtet die Boxstarter-Umgebung ein und fährt mit dem Herunterladen und Installieren der ThreatPursuit VM-Umgebung fort. Sie werden zur Eingabe des Administratorkennworts aufgefordert, um Host-Neustarts während der Installation zu automatisieren. Wenn Sie kein Passwort festgelegt haben, können Sie auch die Eingabetaste drücken, wenn Sie dazu aufgefordert werden.
Installierte Tools
Entwicklung, Analytik und maschinelles Lernen
- Shogun
- Tensorflow
- Pytorch
- Rstudio
- RTools
- Darwin
- Keras
- Apache Spark
- Elasticsearch
- Kibana
- Apache Zeppelin
- Jupyter-Notizbuch
- MITRE Caret
- Python (x64)
Visualisierung
Triage, Modeln und Jagen
- MISP
- OpenCTI
- Maltego
- Splunk
- Microsoft MSTIC Jupyter- und Python-Sicherheitstools
- MITRE ATT&CK Navigator
- Cortex-Analysator
- Greynoise API und GNQL
- Threatcrowd-API
- Bedrohungcmd
- ViperMonkey
- Threat Hunters Playbook
- MITRE-Straßenbahn
- SIGMA
- YETI
- Azure Zentinel
- AMITT-Framework
Gegnerische Emulation
- MITRE Calderra
- Red Canary ATOMIC Red Team
- Mordor: Wiederholen Sie die gegnerischen Techniken
- MITRE Caltack-Plugin
- APTSimulator
- FlightSim
Informationsbeschaffung
- Maltego
- nmap
- Intelmq
- dnsrecon
- Orbit
- BAZL
Dienstprogramme und Links
- CyberChef
- KeepPass
- ZAHNSEIDE
- Vorschau
- VLC
- AutoIt3
- Chrom
- OpenVPN
- Sublimieren
- Notepad++
- Docker-Desktop
- HxD
- Sysinternals
- Kitt