freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

如何使用MalwLess在不执行任何攻击的场景下测试蓝队安全检测能力
  • 关注
如何使用MalwLess在不执行任何攻击的场景下测试蓝队安全检测能力
2023-09-27 11:48:32

关于MalwLess

MalwLess是一款功能强大的开源模拟工具,该工具可以允许广大研究人员在无需运行任何进程或PoC的情况下,模拟系统入侵或攻击行为。该工具旨在测试蓝队检测能力和SIEM相关规则,该工具提供了一个基于规则的框架,任何人都可以根据自己的需求去修改这些规则,当新的技术或攻击出现时,我们就可以编写自己的规则并于社区共享规则了。

工具运行机制

工具下载

广大研究人员可以直接访问该项目作者的【GitHub门户】来下载最新版本的MalwLess,或者访问该项目的【Releases页面】下载最新的MalwLess发布版本。

该工具基于C#开发,如果你想要自行下载工具源码并进行手动构建的话,你还需要在本地设备上安装并配置好Visual Studio环境。

然后使用下列命令将该项目源码克隆至本地:

git clone https://github.com/n0dec/MalwLess.git

打开Visual Studio并导入项目之后,完成代码构建即可开始使用MalwLess。

工具使用

工具要求

该工具的正常运行需要本地设备上安装并配置好sysmon工具:【传送门】。

命令执行

现在,我们就可以直接以管理员权限打开命令行工具,然后执行MalwLess了。

下列命令可以测试默认的规则集(rule_test.json):

> malwless.exe

下列命令将使用-r参数测试不同的规则集:

> malwless.exe -r your_pack.json

工具输出样例

MalwLess Simulation Tool v1.1

Author: @n0dec

Site: https://github.com/n0dec/MalwLess

 

[Rule test file]: rule_test.json

[Rule test name]: MalwLess default

[Rule test version]: 0.3

[Rule test author]: n0dec

[Rule test description]: MalwLess default test pack.

 

[>] Detected rule: rules.vssadmin_delete_shadows

... Source: Sysmon

... Category: Process Create

... Description: Deleted shadows copies via vssadmin.

[>] Detected rule: rules.certutil_network_activity

... Source: Sysmon

... Category: Network connection detected

... Description: Network activity from certutil tool.

[>] Detected rule: rules.powershell_scriptblock

... Source: PowerShell

... Category: 4104

... Description: Powershell 4104 event for Invoke-Mimikatz.

MalwLess规则

这些规则可以用来模拟Sysmon或PowerShell事件,MalwLess可以解析这些规则,并将它们直接写入到Windows EventLog中,我们随后可以将其转发到自己的事件收集器中:

创建规则

任何人都可以根据需求创建自定义规则,规则需要以JSON格式写入,我们还可以使用这个事件规则转换工具【converter】来将原始事件解析为对应的规则。

enabled

设置为true后,相应事件将会被写入,设置为false则忽略该规则。

source

Sysmon
PowerShell

category

针对每一个源,都可以在分类列表中找到对应的分类

description

简单的规则描述

payload

要添加到事件中的值,如果没有指定Payload,则事件将包含conf上的默认配置文件的值

规则参考样例:

"process_create_rule": {

    "enabled": true,

    "source": "Sysmon",

    "category": "Process Create",

    "description": "Activity event based on Process Create category.",

    "payload": {

      "Image": "process.exe",

      "CommandLine": "process.exe --help"

    }

  }

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可证协议。

项目地址

MalwLess:【GitHub传送门

参考资料

https://n0dec.github.io/

https://attack.mitre.org/

https://github.com/NextronSystems/APTSimulator

https://github.com/endgameinc/RTA

https://arno0x0x.wordpress.com/2017/11/20/windows-oneliners-to-download-remote-payload-and-execute-arbitrary-code/

https://github.com/rootm0s/WinPwnage

https://n0dec.github.io/#rules

# 安全检测 # 检测规则 # 模拟测试· # 攻击模拟 # 蓝队工具
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
关于MalwLess
    工具运行机制
      工具下载
        工具使用
        • 工具要求
        • 命令执行
        • 工具输出样例
        MalwLess规则
        • 创建规则
        许可证协议
          项目地址
            参考资料