# Atomic Red Team Installation & Demo in VM Kali ini kita akan berkenalan dengan yang namanya ART, jadi apa itu ART? > ATOMIC RED TEAM adalah sebuah library open source untuk melakukan uji keamanan yang dipetakan berdasarkan framework MITRE ATT&CK. > > MITRE ATT&CK adalah sebuah framework yang digunakan untuk menggambarkan tentang TTP (taktik, teknik, prosedur) yang biasa digunakan oleh seorang attacker. > > Jadi fungsi dari ART adalah untuk menguji sistem keamanan yang dikonfigurasi oleh blue team cukup efektif untuk dalam mendeteksi sebuah ancaman dan mengurangi resiko false negative. Cara menggunakan library atomic red team kita bisa menjalankan secara manual perintah (copy & paste) ke executor (powershell/cmd/terminal) atau menggunakan execution framework untuk mengotomatisasi perintah. Ada beberapa tool execution framework, contohnya sebagai berikut: 1. [Invoke Atomic Red Team](https://www.atomicredteam.io/invoke-atomicredteam) 2. [Prelude Operator](https://www.preludesecurity.com/) 3. [Caledra](https://caldera.mitre.org/) 4. [Atomic Operator](https://www.atomic-operator.com/) # Installation Tool execution yang akan saya gunakan adalah invoke atomic red team (di windows 10), jalankan perintah dibawah ini untuk mulai instalasi. ```powershell # Command To Install Invoke Atomic Red Team IEX (IWR 'https://raw.githubusercontent.com/redcanaryco/invoke-atomicredteam/master/install-atomicredteam.ps1' -UseBasicParsing); Install-AtomicRedTeam -getAtomics # Command To Import Module Invoke Atomic Red Team Import-Module "C:\AtomicRedTeam\invoke-atomicredteam\Invoke-AtomicRedTeam.psd1" -Force $PSDefaultParameterValues = @{"Invoke-AtomicTest:PathToAtomicsFolder"="C:\AtomicRedTeam\atomics"} echo 'Import-Module "C:\AtomicRedTeam\invoke-atomicredteam\Invoke-AtomicRedTeam.psd1" -Force' > $profile ``` # Demo Windwos 10 sudah saya konfigurasi wazuh agent dan sysmon. Di wazuh juga ada file ‘/var/ossec/etc/rules/local\_rules.xml\` yang berisi rule untuk mendeteksi secara spesifik aktivitas mencurigakan di sistem windows yang terkait dengan mitre att&ck framework. ```xml   windows   technique_id=T1053,technique_name=Scheduled Task   A Newly Scheduled Task has been Detected on $(win.system.computer)       T1053     windows   technique_id=T1518.001,technique_name=Security Software Discovery   Security Software Discovery Attempt has been Detected on $(win.system.computer)       T1518   ``` ## [Teknik Security Software Discovery (T1518.001)](https://attack.mitre.org/techniques/T1518/001/) Teknik T1518.001 adalah salah satu teknik yang sering digunakan oleh penyerang untuk mendapatkan informasi tentang perangkat lunak keamanan di sistem yang mereka targetkan. Jalankan command dibawah ini di powershell windows 10 untuk mulai eksekusi. ```powershell Invoke-AtomicTest T1518.001 ``` Ketika di cek di wazuh sudah terdapat alert di host windows dengan mitre id T1518.001. ![](https://cdn.hashnode.com/res/hashnode/image/upload/v1734116276102/d243bae1-a9da-421f-999a-585fb635f1ae.png align="center") ## [Teknik Scheduled Task/Job (T1053.005)](https://attack.mitre.org/techniques/T1053/005/) Teknik T1053.005 adalah teknik yang digunakan untuk membuat task/job untuk mengeksekusi kode berbahaya pada waktu tertentu. Jalankan command dibawah ini di powershell windows 10 untuk mulai eksekusi. ```powershell Invoke-AtomicTest T1053.005 ``` Ketika di cek di wazuh sudah terdapat alert di host windows dengan mitre id T1053.005. ![](https://cdn.hashnode.com/res/hashnode/image/upload/v1734116821712/8f01380b-766a-4e11-b710-df509eea0ffc.png align="center") Terimakasih sudah menyempatkan waktu untuk membaca catatan ini, mohon maaf jika ada penjelasan yang kurang tepat atau mis. ![](https://cdn.hashnode.com/res/hashnode/image/upload/v1734240853707/8535e959-d266-4ea2-b9e5-4c9c00c69981.png align="center")