Skip to content

Unit tests for mitre attack rules#355

Open
shadow2033 wants to merge 80 commits intoSecurity-Experts-Community:masterfrom
shadow2033:master
Open

Unit tests for mitre attack rules#355
shadow2033 wants to merge 80 commits intoSecurity-Experts-Community:masterfrom
shadow2033:master

Conversation

@shadow2033
Copy link
Copy Markdown

@shadow2033 shadow2033 commented Aug 21, 2023

Russian:

В этом (Pull Request) я внес изменения, связанные с добавлением модульных тестов для правил (mitre attack) расположенных в директории packages/windows_open_package/correlation_rules. Эти изменения позволят нам обеспечить более высокую степень уверенности в работоспособности

English:

In this (Pull Request) I have made changes to add unit tests for rules (mitre attacks) located in the packages/windows_open_package/correlation_rules directory. These changes will allow us to provide a higher degree of assurance that the rules are working properly

shadow2033 added 30 commits July 27, 2023 10:57
@shadow2033
Добавлены модульные тесты для правила (RDP_Tunneling)
f98b3d9
@shadow2033
Добавлены модульные тесты для правила (RDP_Tunneling_via_SSH_5156)
a52fe44
@shadow2033
Добавлены модульные тесты для правила (Chrome_firefox_opera_cred_read)
1533d64
@shadow2033
Расширил поля данных которые мы ожидаем для правила (Credentials_Mini…
b14976a 
…DumpWriteDump_Lsass)
@shadow2033
Добавлены модульные тесты для правила (DCSync)
41cfcfd
@shadow2033
Добавлены модульные тесты для правила (Dump_lsass_via_process_access)
14f6eab
@shadow2033
Добавлены модульные тесты для правила (KeePass_CredDump)
40948d7
@shadow2033
расширил поля данных которые мы ожидаем для правила (Keepass_Key_Dump…
19ad9a8 
…_Via_KeeThief). Удалил повторяющиеся модульные тесты.
@shadow2033
Добавлены модульные тест для правила (Kerberos_pwd_spraying)
112eb86
@shadow2033
Добавлен модульный тест для правила (LSASS_Dump_Create)
f6774e0
@shadow2033
Добавлены модульные тесты для правила (Mimikatz)
1eba465
@shadow2033
Удалил повторяющиеся тесты, расширил поля данных которые мы ожидаем д…
d184328 
…ля правила (Mimikatz_Memssp_Default_Log_Detected)

Для второго модульного теста изменил "условие  прохождение теста" на (expect not {
    "correlation_name": "Mimikatz_Memssp_Default_Log_Detected"
} )
@shadow2033
Добавлен модульный тест для правила (Phishing_windows_credentials_pow…
6ab4993 
…ershell_scriptblock)
@shadow2033
Добавлены модульные тесты для правила (PPL_Bypass_via_PPLDump_Tool)
8f87f1b
@shadow2033
Добавлены модульные тесты для правила (Remote_registry_access)
1b21958
@shadow2033
Добавлен модульный тест для правила (Change_powershell_policy_registry)
467a7ec
@shadow2033
Добавлен модульный тест, расширил поля данных которые мы ожидаем для …
f9e306a 
…правила(Clearing_eventlog)
@shadow2033
Расширил поля данных которые мы ожидаем для правила (DCShadow_Attack)
6937ce3
@shadow2033
Добавлен модульный тест для правила (Detect_Fake_ComputerAccount)
7f683b1
@shadow2033
Добавлен модульный тест для правила (Detect_hiding_files_via_attrib_c…
1827988 
…mdlet)
@shadow2033
Расширил поля данных которые мы ожидаем для правила (Detect_lolbin_pc…
bd44631 
…alua_exec)
@shadow2033
Добавлен модульный тест для правила (ImageLoad_from_Network_Share_to_…
c25f538 
…LSASS)
@shadow2033
Добавлены модульные тесты для правила (Portproxy_netsh)
ee693bc
@shadow2033
Добавлены модульные тесты для правила (RDP_settings_tampering)
2544e5f
@shadow2033
Добавлен модульный тест для правила (ReverseShell_created_via_PEInjec…
3f12eab 
…tion)
@shadow2033
Добавлен модульный тест для правила (Subrule_ParentPid_Spoofing)
4cb1f6e
@shadow2033
Расширил поля данных которые мы ожидаем для правила (Suspend_Process)
7e794fb
@shadow2033
Добавлен модульный тест для правила (Suspicious_Explorer_Injection)
bd71b62
@shadow2033
Добавлен модульный тест для правила (Bloodhound)
2e5488c
@shadow2033
Добавлены модульные тесты для правила (Enumeration_Users_In_Groups)
ea42aec
shadow2033 and others added 30 commits August 2, 2023 10:38
@shadow2033
Добавлен модульный тесты для правила (sAMAccountName_Spoofing)
e3deb0f
@shadow2033
Удалил повторяющиеся модульные тесты, расширил поля данных которые мы…
ea3438a 
… ожидаем для правила (UACME_23_DismCore_Hijacking)
@shadow2033
Добавлен модульный тесты, расширил поля данных которые мы ожидаем для…
6063aa6 
… правила (UAC_Bypass_Via_Consent)
@shadow2033
Расширил поля данных которые мы ожидаем для правила (Unquoted_Servic…
ce7ec20 
…e_Path_Abuse)
@shadow2033
Merge branch 'feature/add_Change_powershell_policy_registry_unit_test'
33972d6
@shadow2033
Merge branch 'feature/add_Change_wmi_subscription_unit_test'
fdeea8a
@shadow2033
Merge branch 'feature/add_Chrome_firefox_opera_cred_read_unit_test'
5a251fe
@shadow2033
Merge branch 'feature/add_Clearing_eventlog_unit_test'
ef69097
@shadow2033
Merge branch 'feature/add_CreateProcessAsUser_Impersonation_unit_test'
c7168e3
@shadow2033
Merge branch 'feature/add_Create_hidden_local_account_unit_test'
032263f
@shadow2033
Merge branch 'feature/add_Create_persist_via_Hidden_Run_key_value_uni…
c2838ad 
…t_test'
@shadow2033
Merge branch 'feature/add_Create_persist_via_WinlogonShell_unit_test'
1610204
@shadow2033
Merge branch 'feature/add_Credentials_MiniDumpWriteDump_Lsass_unit_test'
27d3c08
@shadow2033
Merge branch 'feature/add_DCShadow_Attack_unit_test'
33ac8c6
@shadow2033
Merge branch 'feature/add_DCSync_prepare_Add_replicatation_rights_to_…
3f4edf6 
…Account_unit_test'
@shadow2033
Merge branch 'feature/add_DCSync_unit_test'
fb22634
@shadow2033
Merge branches 'feature/add_DSRM_Password_Changed_unit_test', 'featur…
1b32d33 
…e/add_Detect_Fake_ComputerAccount_unit_test' and 'feature/add_Detect_Pass_the_Hash_via_Mimikatz_local_unit_test'
@shadow2033
Merge branch 'feature/add_Detect_execution_imageload_wuauclt_lolbas_u…
3b7c04b 
…nit_test'
@shadow2033
Merge branch 'feature/add_Detect_hiding_files_via_attrib_cmdlet_unit_…
999caa0 
…test'
@shadow2033
Merge branches 'feature/add_Detect_lolbin_pcalua_exec_unit_test', 'fe…
77e1b0b 
…ature/add_Dump_lsass_via_process_access_unit_test' and 'feature/add_Enumeration_Users_In_Groups_unit_test'
@shadow2033
Merge branches 'feature/add_ImageLoad_from_Network_Share_to_LSASS_uni…
3ea798e 
…t_test', 'feature/add_Impacket_WMIExec_Command_Executed_unit_test', 'feature/add_KeePass_CredDump_unit_test', 'feature/add_Keepass_Key_Dump_Via_KeeThief_unit_test' and 'feature/add_Kerberos_pwd_spraying_unit_test'
@shadow2033
Merge branches 'feature/add_LSASS_Dump_Create_unit_test', 'feature/ad…
6734bc1 
…d_Local_Groups_Enumeration_Discovery_unit_test', 'feature/add_Mimikatz_Memssp_Default_Log_Detected_unit_test', 'feature/add_Mimikatz_unit_test' and 'feature/add_Named_Pipe_Impersonation_PrivEsc_unit_test'
@shadow2033
Merge branches 'feature/add_PPL_Bypass_via_PPLDump_Tool_unit_test', '…
db33fa6 
…feature/add_Phishing_windows_credentials_powershell_scriptblock_unit_test', 'feature/add_Portproxy_netsh_unit_test', 'feature/add_Potential_Privileged_Escalation_via_KrbRelayUp_unit_test' and 'feature/add_ProxyNotShell_unit_test'
@shadow2033
Merge branches 'feature/add_RDP_Tunneling_unit_test', 'feature/add_RD…
04f4add 
…P_Tunneling_via_SSH_5156_unit_test', 'feature/add_RDP_settings_tampering_unit_test', 'feature/add_Remote_registry_access_unit_test' and 'feature/add_ReverseShell_created_via_PEInjection_unit_test'
@shadow2033
Merge branches 'feature/add_Schtasks_Commandline_unit_test', 'feature…
f2d7f77 
…/add_Start_process_as_vshadow_child_unit_test', 'feature/add_Subrule_ParentPid_Spoofing_unit_test', 'feature/add_Suspend_Process_unit_test' and 'feature/add_Suspicious_Explorer_Injection_unit_test'
@shadow2033
Merge branches 'feature/add_UACME_23_DismCore_Hijacking_unit_test', '…
c240f9d 
…feature/add_UAC_Bypass_Via_Consent_unit_test', 'feature/add_Unquoted_Service_Path_Abuse_unit_test', 'feature/add_Use_persist_Start_process_via_WinlogonShell_unit_test', 'feature/add_VSSVC_service_state_changed_unit_test', 'feature/add_XP_Cmdshell_Enable_unit_test', 'feature/add_XP_Cmdshell_Usage_unit_test' and 'feature/add_sAMAccountName_Spoofing_unit_test'
@shadow2033
Create test_1.sc модульные тесты для правила(ParentPid_Spoofing)
ed90660
@shadow2033
Merge branch 'Security-Experts-Community:master' into master
b8cba5a
fix Chrome_firefox_opera_cred_read test 4
dbd3fd5
fix UAC_Bypass_Via_Consent test 3
468db61
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

No reviews

Assignees

No one assigned

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

1 participant

@shadow2033