导语:模拟攻击提供了一种用来测试网络在应对高级攻击时的恢复能力,不过在模拟攻击环境下,所有测试均由系统自动运行。如果这是一个真正的“攻击”,系统将不会运行这些具有模拟特点的攻击。尽管如此,“攻击模拟”还是可以帮助你验证你的安全工具
每隔一段时间,安全行业就会出现一个新的热门词汇,并引入听起来很酷以及吸引人们兴趣的术语。比如最近出现的“adversary emulation”词汇,我在本文将其翻译为“攻击模拟”。首先让我们先来了解它的真正含义,模拟攻击提供了一种用来测试网络在应对高级攻击时的恢复能力,不过在模拟攻击环境下,所有测试均由系统自动运行。如果这是一个真正的“攻击”,系统将不会运行这些具有模拟特点的攻击。尽管如此,“攻击模拟”还是可以帮助你验证你的安全工具是否按要求运行,无论是闭源还是开源,它都有助于运行这些模拟测试。事实上,MITRE还开发了一种ATT&CK ,ATT&CK是网络攻击行为的策划知识库和模型,反映了攻击者生命周期的各个阶段变化。ATT&CK对于理解针对已知攻击行为的安全风险,规划安全改进以及验证防御措施是否按预期工作很有用。大多数安全工具似乎都使用了这个框架。下面,就让我们来看看攻击模拟工具的列表。
开源攻击模拟工具
1.CALDERA:CALDERA提供了一个智能的自动化攻击模拟系统,可以减少安全团队进行常规测试所需的资源,使他们能够解决其他关键问题。
它可用于测试端点安全解决方案,并根据ATT&CK模型中常见的攻击技术评估网络的安全状况。CALDERA利用ATT&CK模型来识别和模拟攻击行为,点击这里下载CALDERA。
2.Metta:Uber最近开源了这个敌对模拟工具,它是由多个内部项目产生的。Metta使用Redis/Celery,python和VirtualBox进行敌对模拟,这样用户就可以测试基于主机的安全系统。另外用户还能测试其他基于网络的安全检测和控制,不过这具体取决于设置的方式。Metta与Microsoft Windows,MacOS和Linux端点兼容,点击这里下载Uber Metta。
3.ATP Simulator:ATP Simulator其实就是一套Windows Batch脚本集合,它的主要功能就是模拟攻击者的活动,而并非模拟恶意软件的活动。ATP Simulator会使用一组工具和输出文件使系统看起来好像是被攻击了。它可以帮助你以更真实的方式模拟真实的攻击环境。显然,这是一个仅限Windows的解决方案,点击这里下载ATP Simulator。
4.Red Team Automation:最近网络安全公司Endgame公开了Red Team Automation的源代码,它是一组有着38个脚本和支持的可执行文件,可生成与ATT&CK框架中的技术相对应的可靠组件。截至目前,Red Team Automation提供50种由ATT&CK技术支持的组件,将来数量还会增加。我相信,这个工具提供了非常好的端点检测和响应(EDR)覆盖。
Red Team Automation支持Microsoft Windows,并且使用python进行编码,另外它还可以执行反取证操作,进行恶意传播,绕过UAC(用户帐户控制)等等,点击这里下载Red Team Automation。
5.Invoke-Adversary:Invoke-Adversary是一个基于APT攻击程度,来评估安全产品和监控解决方案的PowerShell脚本。这么说吧,该工具是攻击模拟领域的新人,微软的调用攻击就是一种PowerShell脚本。可能是受到了APT模拟器的启发,截至目前,Invoke-Adversary具有测试持久性攻击、凭证访问、逃避检测、信息收集、命令和控制等功能,点击这里下载Invoke-Adversary。
6.Atomic Red Team:它是针对安防设计的新型自动化测试框架,Atomic Red Team是在2017年推出的,是一个开源测试框架,可以测试用户的攻击检测能力。之所以称之为“atomic(原子)”,是因为它可以作为小型组件,方便小型或大型安全团队使用,用来模拟特定攻击者的活动。
Atomic Red Team会将小巧便携的检测测试映射到Mitre ATT&CK框架,该框架不是自动的,但支持Microsoft Windows,MacOS和Linux风格,点击这里下载Atomic Red Team。
7. Infection Monkey:Infection Monkey是一款由以色列安全公司GuardiCore在2016黑帽大会上发布的数据中心安全检测工具,其主要用于数据中心边界及内部服务器安全性的自动化检测。该工具在架构上,则分为Monkey(扫描及漏洞利用端)以及C&C服务器(相当于reporter,但仅仅只是用于收集monkey探测的信息)。简单说,它是另一个开源漏洞和攻击模拟工具。
它也用Python编码,适用于Microsoft Windows和Linux系统,点击这里下载Infection Monkey。
8. Blue Team Training Toolkit (BT3):该工具是用于防御性安全培训的软件,它将你的网络分析培训课程,事件响应演练和团队合作提升到一个新的水平。该工具包允许你创建逼真的计算机攻击场景,同时降低基础架构成本,实施时间和风险。
它是用Python编写的,包括Encripto的Maligno,Pcapteller和Mocksum的最新版本。它还包含多个恶意软件指示符配置文件,点击这里下载Blue Team Training Toolkit v2.6。
9.DumpsterFire:DumpsterFire是一个模块化的,菜单驱动的跨平台Python工具,用于构建自定义的,延迟的分布式安全事件。安全人员可以利用它轻松创建比如传感器或警报映射(alert mapping)的自定义事件链,点击这里下载DumpsterFire v1.0.0。
10.AutoTTP:Automated Tactics Techniques&Procedures的缩写,AutoTTP基于攻击生命周期模型( attack life cycle model)。它使用了一个纯碎的PowerShell和Python后期漏洞利用代理工具——Empire,点击这里下载AutoTTP。
以下开源工具值得一提,不过它们在技术上不属于模拟攻击工具
1.RedHunt操作系统:RedHunt操作系统的目标是通过集成攻击者的武库以及防御者的工具包来积极识别环境中的攻击,从而成为一站式安全检测商店,满足你的所有攻击仿真和攻击要求。基本设备是Lubuntu-17.10.1 x64。它包含以下用于不同目的的工具:
攻击仿真: Caldera, Atomic Red Team, DumpsterFire, Metta, RTA, Nmap, CrackMapExec, Responder, Zap。
记录和监测:Kolide Fleet,ELK(Elasticsearch,Logstash和Kibana)堆栈
开源智能(OSINT):Maltego,Recon-ng,Datasploit,Thearvestor
攻击信息分析:Yeti, Harpoon
2.Invoke-ATTACKAPI:这是一个开源的PowerShell脚本,通过自己的API与MITRE ATT&CK框架进行交互,以收集有关攻击技术,策略等信息,点击这里获取这个脚本。
企业级模拟攻击工具
1.Cobalt Strike:Cobalt Strike是Armitage商业版,Armitage是一款Java写的Metasploit图形界面的攻击软件,可以用它结合Metasploit已知的攻击来针对存在的漏洞自动化攻击。
2.以色列的网络安全公司Cymulate:Cymulate主要是针对以下场景进行攻击模拟,例如模拟攻击WAF、模拟攻击邮箱、DLP攻击测试、SOC模拟测试、邮箱测试、勒索软件测试、木马、Payload渗透攻击测试等。这类测试的主要目的是完善产品、丰富员工的安全意识,以及相应的攻击技术能力检测和提升。举个例子,利用邮箱以及可以统计钓鱼攻击有多少用户中招。
3.Immunity Adversary Simulation:该平台允许你从基础架构内建立高级永久性攻击模型,并评估安全团队如何应对网络上活跃的真实攻击。
4.SafeBreach:该软件平台模拟整个杀戮链中的攻击违规方法,而不会影响用户或基础设施。看看这里。
5.网络安全初创公司 SafeBreach:SafeBreach 创立于 2014 年,总部位于美国特拉华州,致力于革新网络安全行业风险验证的方式。公司为用户提供一个持续性安全验证平台,采用集中管理系统,结合完整的黑客入侵网络方法“剧本”,从中心位置管理分布式网络的入侵模拟器,模拟器能够在现实世界中扮演虚拟黑客的角色,从“黑客的角度”主动展示企业存在的网络安全风险。用户可以通过这一平台验证自己的安全控制性能,分析这种攻击对于公司系统的影响力及攻击防御的有效性问题,从而获得充足的时间优势来修复网络风险漏洞,并提高企业安全运维中心(SOC)分析师响应能力。实质上,这一平台就是可以让任何企业直观的看到在现实生活中遇到网络攻击时,自己将如何应对。
6.SimSpace;SimSpace似乎在使用Wormhole。
7.AttackIQ FireDrill:AttackIQ的模拟攻击平台FireDrill可以针对客户的网络展开模拟攻击,测试防御系统的缺陷和漏洞。
8.Verodin仪表化的安全平台:该平台会主动识别安全堆栈中的配置问题,并揭示攻击者,攻击流程和攻击技术之间的真实区别。
以上列表不包括诸如MDSec的ActiveBreach,Nk33,FusionX,Red Siege,Spectre Ops和TrustedSec等服务,因为它们是由真人实施的。