freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

APTSimulator:一款功能强大的APT模拟攻击工具集
2018-03-17 15:00:33

今天给大家介绍的是一款名叫ATPSimulator的攻击模拟工具集(Windows Batch脚本),这套工具集可以让一台计算机系统看起来像受到了APT攻击一样。

使用场景

1.   PoC:终端检测代理/入侵评估工具;

2.   测试你的安全监控系统的检测能力;

3.   测试SOC威胁响应能力;

4.   搭建数字取证测试环境;

工具介绍

ATP Simulator其实就是一套Windows Batch脚本集合,它的主要功能就是模拟攻击者的活动,而并非模拟恶意软件的活动。


APTSimulator:一款功能强大的APT模拟攻击工具集

我们选择使用Batch的原因如下:

1.   代码简单易读,而且方便修改和扩展;

2.   可以在每一台Windows系统中运行,不需要其他依赖组件;

3.   真实的攻击者一般使用命令行工具,Batch最接近真实场景;

工具下载

APT Simulator:【GitHub传送门

工具使用

1.   从本项目的GitHub库中下载最新版本的APT Simulator;

2.   在demo系统中提取数据包中的文件(密码:apt);

3.   以管理员权限运行cmd.exe;

4.   在命令行工具中进入程序文件夹,然后运行APTSimulator.bat;

检测

下面这个表格显示的是不同的测试用例以及期望的检测结果,其中:

AV=反病毒软件

NIDS=网络入侵检测系统

EDR=终端检测和响应

SM=安全监控

CA=入侵评估

APTSimulator:一款功能强大的APT模拟攻击工具集

测试集合

信息收集

收集本地文件

-将pwdump输出存储到工作目录;

-将字典列表存储到工作目录;

命令控制

C2连接

-使用Curl来访问热门的C2服务器;

DNS Cache1

-查询多个热门的C2地址,并触发DNS请求,获取本地DNS缓存中的地址信息;

恶意用户代理

-使用恶意用户代理来访问Web站点;

WMI后门C2

-使用了Matt Graeber的WMIBackdoor来与C2服务器连接;

凭证访问

LSASS导出

-导出LSASS进程内存到目标文件夹;

Mimikatz-1

-将mimikatz输出导出到工作目录;

-运行特殊版本的mimikatz,并将输出导出到工作目录;

-在内存中运行Invoke-Mimikatz;

WCE-1

-创建Windows Eventlog条目,模拟WCE执行;

防御绕过

激活访客账号

-激活Guest用户账号;

-将Guest用户添加为本地管理员;

伪造系统文件

-将命名为系统文件名(例如svchost.exe)的恶意可执行程序存放到%PUBLIC%目录;

-运行%PUBLIC%目录中的可疑程序;

Hosts

-向本地hosts文件中添加新条目;

JS Dropper

-使用wscript.exe运行经过混淆处理的JavaScript代码;

程序执行

PsExec

-向工作目录中导出重命名后的PsExec;

-在LOCAL_SYSTEM中运行PsExec,并开启命令行工具;

远程运行工具

-在工作目录中导出远程运行工具;

工具的具体功能请参考【官方文档】。

运行截图


APTSimulator:一款功能强大的APT模拟攻击工具集

APTSimulator:一款功能强大的APT模拟攻击工具集

APTSimulator:一款功能强大的APT模拟攻击工具集

APTSimulator:一款功能强大的APT模拟攻击工具集

整合的项目/软件

* 参考来源:APTSimulator,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

# APTSimulator # APT模拟攻击工具
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者