Caldera — это авто­мати­зиро­ван­ная сис­тема эму­ляции дей­ствий зло­умыш­ленни­ков на конеч­ных рабочих стан­циях, соз­данная ком­пани­ей MITRE. Caldera поз­воля­ет про­водить прак­тичес­кие тес­ты информа­цион­ной безопас­ности с исполь­зовани­ем раз­личных сце­нари­ев атак. Сис­тема с помощью фрей­мвор­ка ATT пла­гины. Рас­ширя­ют основные воз­можнос­ти фрей­мвор­ка и пре­дос­тавля­ют допол­нитель­ные фун­кции. К при­меру, поль­зователь может вес­ти отчетность и прив­лекать раз­личных аген­тов для уста­нов­ки на конеч­ные точ­ки. Вот спи­сок всех акту­аль­ных на текущий момент пла­гинов, уста­нов­ленных по умол­чанию в кон­тей­нере: Access — инс­тру­мен­ты пер­воначаль­ного дос­тупа для Red Team (ата­кующей коман­ды); Atomic — про­ект Atomic Red Team, пла­гин поз­воля­ет сопос­тавлять вре­донос­ную активность с соот­ветс­тву­ющей так­тикой и запус­кать мини‑активнос­ти; Builder — динами­чес­кая ком­пиляция полез­ных наг­рузок для аген­та; CalTack — встра­ивает в Caldera веб‑сайт ATT Compass — добав­ляет визу­али­зацию ATT Debrief — выпол­няет ана­лиз про­води­мых ком­паний и ана­лити­ку; Emu — пла­ны эму­ляции дей­ствий раз­личных групп зло­умыш­ленни­ков от CTID (Center for Threat-Informed Defense); Fieldmanual — ведение докумен­тации; GameBoard — монито­ринг сов­мес­тных дей­ствий «крас­ных» и «синих» команд; Human — ими­тация дей­ствий поль­зовате­лей на конеч­ных точ­ках, что­бы запутать ата­кующих; Manx — под­дер­жка полез­ных наг­рузок Shell и Reverse Shell; Mock — ими­тация аген­тов в опе­раци­ях; Response — пла­гин для авто­ном­ного реаги­рова­ния на инци­ден­ты (да, мож­но нас­тро­ить авто­мати­чес­кий «блю­тиминг» от Caldera на ее же собс­твен­ный «ред­тиминг»); Sandcat — агент по умол­чанию, исполь­зуемый в опе­раци­ях; SSL — добав­ление под­дер­жки HTTPS для Caldera; Stockpile — склад раз­личных тех­ник и готовых про­филей зло­умыш­ленни­ка; Training — сер­тифика­ция и учеб­ный курс, поз­воля­ющий стать экспер­том в сфе­ре Caldera; сос­тоит из заданий, которые надо выпол­нить в Caldera для получе­ния ста­туса спе­циалис­та. Подготовка стенда Мож­но уста­новить Caldera в виде Docker-кон­тей­нера на машину с Windows. В таком слу­чае не нуж­но будет возить­ся с интер­пре­тато­рами Python и дру­гими свя­зан­ными ком­понен­тами, да и кон­тей­нер про­ще в нас­трой­ке для нович­ков. Кон­тей­нер уста­нав­лива­ем с помощью при­ложе­ния Docker Desktop, на хос­те дол­жно при­сутс­тво­вать хотя бы два ненаг­ружен­ных ядра про­цес­сора и два гигабай­та опе­рати­вы. Вот так выг­лядит уста­нов­ленный и запущен­ный кон­тей­нер. Обра­ти вни­мание на проб­рошен­ные пор­ты. За­пущен­ный кон­тей­нер Caldera в Docker Desktop на ОС WindowsНам нуж­но перей­ти в логи кон­тей­нера, что­бы пос­мотреть логин и пароль для вхо­да на веб‑интерфейс. Для это­го щел­кни на име­ни кон­тей­нера, затем перей­ди на вклад­ку Logs. Дан­ные для вхо­да выделе­ны крас­ным, они генери­руют­ся каж­дый раз заново при запус­ке кон­тей­нера. Учти, что при раз­ворачи­вании про­екта из сыр­цов имя поль­зовате­ля по умол­чанию — red, пароль — admin (или ищи их в кон­фигах — conf/local.yml, conf/default.yml). Интерфейс может нес­коль­ко отли­чать­ся от пред­став­ленно­го вари­анта. Ло­ги кон­тей­нера Caldera в Docker DesktopДля вхо­да в веб‑интерфейс на машине с Docker Desktop исполь­зует­ся адрес (такой порт слу­шает­ся на локал­хосте и проб­расыва­ется внутрь кон­тей­нера на порт 8888). Исполь­зуй най­ден­ные логин и пароль из логов кон­тей­нера. Пе­ред тем как начать нашу ата­кующую опе­рацию, давай под­робно рас­смот­рим мат­часть. Начало работы с Caldera Прак­тичес­ки любая ата­ка всег­да выпол­няет­ся с внеш­ним управле­нием — то есть с при­мене­нием коман­дно­го сер­вера (C