APTSimulator:一款功能强大的APT模拟攻击工具集

今天给大家介绍的是一款名叫ATPSimulator的攻击模拟工具集(Windows Batch脚本),这套工具集可以让一台计算机系统看起来像受到了APT攻击一样。

使用场景

PoC:终端检测代理/入侵评估工具; 测试你的安全监控系统的检测能力; 测试SOC威胁响应能力; 搭建数字取证测试环境;

工具介绍

ATP Simulator其实就是一套Windows Batch脚本集合,它的主要功能就是模拟攻击者的活动,而并非模拟恶意软件的活动。

我们选择使用Batch的原因如下:

- 代码简单易读,而且方便修改和扩展; - 可以在每一台Windows系统中运行,不需要其他依赖组件; - 真实的攻击者一般使用命令行工具,Batch最接近真实场景;

工具下载

APT Simulator:【GitHub传送门】

工具使用

- 从本项目的GitHub库中下载最新版本的APT Simulator; - 在demo系统中提取数据包中的文件(密码:apt); - 以管理员权限运行cmd.exe; - 在命令行工具中进入程序文件夹,然后运行APTSimulator.bat;

检测

下面这个表格显示的是不同的测试用例以及期望的检测结果,其中:

AV=反病毒软件 NIDS=网络入侵检测系统 EDR=终端检测和响应 SM=安全监控 CA=入侵评估

测试集合

信息收集

收集本地文件

- 将pwdump输出存储到工作目录; - 将字典列表存储到工作目录;

命令控制

C2连接

- 使用Curl来访问热门的C2服务器;

DNS Cache1

- 查询多个热门的C2地址,并触发DNS请求,获取本地DNS缓存中的地址信息;

恶意用户代理

- 使用恶意用户代理来访问Web站点;

WMI后门C2

- 使用了Matt Graeber的WMIBackdoor来与C2服务器连接;

凭证访问

LSASS导出

- 导出LSASS进程内存到目标文件夹;

Mimikatz-1

- 将mimikatz输出导出到工作目录; - 运行特殊版本的mimikatz,并将输出导出到工作目录; - 在内存中运行Invoke-Mimikatz;

WCE-1

- 创建Windows Eventlog条目,模拟WCE执行;

防御绕过

激活访客账号

- 激活Guest用户账号; - 将Guest用户添加为本地管理员;

伪造系统文件

- 将命名为系统文件名(例如svchost.exe)的恶意可执行程序存放到%PUBLIC%目录; - 运行%PUBLIC%目录中的可疑程序;

Hosts

- 向本地hosts文件中添加新条目;

JS Dropper

- 使用wscript.exe运行经过混淆处理的JavaScript代码;

程序执行

PsExec

- 向工作目录中导出重命名后的PsExec; - 在LOCAL_SYSTEM中运行PsExec,并开启命令行工具;

远程运行工具

- 在工作目录中导出远程运行工具; 工具的具体功能请参考【官方文档】。

运行截图

整合的项目/软件Mimikatz

  • PowerSploit
  • PowerCat
  • PsExec
  • ProcDump
  • 7Zip
  • curl

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-03-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏deed博客

win2003服务器安全设置教程

30840
来自专栏猿人谷

使用asp调用.net xml web services

(是不是实际上可以用这个办法调用任何xml web services呢?高人答一下) 最近在做一个web services,由我来写文档。为了方便广大asp用户...

29970
来自专栏木头编程 - moTzxx

ThinkPHP 框架下支付宝支付

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/u011415782/article/de...

50030
来自专栏blackpiglet

使用 pip 发布 Python 程序

写过 Python 程序的小伙伴们都知道,需要 import 个非 Python 自带的软件包时,都要用到 pip 这个程序。平时我们都是用 pip,如果我们写...

43820
来自专栏好好学java的技术栈

java工程师必备linux常用命令,这篇文章就够了

bash 是一个为GNU计划编写的Unix shell。它的名字是一系列缩写:Bourne-Again SHell — 这是关于Bourne shell(sh)...

37210
来自专栏吴伟祥

Linux 文件与目录管理 转

pwd是Print Working Directory的缩写,也就是显示目前所在目录的命令。

14040
来自专栏腾讯云Elasticsearch Service

logstash input插件开发

logstash作为一个数据管道中间件,支持对各种类型数据的采集与转换,并将数据发送到各种类型的存储库,比如实现消费kafka数据并且写入到Elasticsea...

84740
来自专栏用户2442861的专栏

Redis 起步

http://www.cnblogs.com/shanyou/archive/2012/01/28/2330451.html

24520
来自专栏芋道源码1024

分布式事务 TCC-Transaction 源码分析 —— 事务恢复

1. 概述 本文分享 TCC 恢复。主要涉及如下二个 package 路径下的类: org.mengyun.tcctransaction.recover Rec...

42630
来自专栏开发与安全

进程控制块PCB结构 task_struct 描述

注:本分类下文章大多整理自《深入分析linux内核源代码》一书,另有参考其他一些资料如《linux内核完全剖析》、《linux c 编程一站式学习》等,只是为了...

32680

扫码关注云+社区

领取腾讯云代金券