APT Simulator — это фреймворк для проверки защитных средств и действия по расследованию инцидентов в Windows среде, имитирующий активность нарушителя информационной системы. Это хорошая платформа для тренировки Blue Team команды для противодействия современным угрозам.
Основное предназначение:
- Проверка средств обнаружения угроз / оценки компрометации.
- Проверка возможности обнаружения нарушений безопасности.
- Проверка средств мониторинга SOC/SIEM.
- Среда для эксфильтрации данных для криминалистического анализа.
APT (англ. advanced persistent threat — «развитая устойчивая угроза»; также целевая кибератака — противник, обладающий современным уровнем специальных знаний и значительными ресурсами, которые позволяют ему создавать возможности для достижения целей посредством различных векторов нападения (например, информационных, физических и фишиноговых). Эти цели обычно включают установление и расширение своего присутствия внутри информационно-технологической инфраструктуры целевой организации для осуществления намерений извлечения информации, срыва или создания помех критическим аспектам выполняемой задачи, программы или службы; либо для того, чтобы занять позицию, позволяющую осуществить эти намерения в будущем. APT, как «развитая устойчивая угроза»: добивается своих целей неоднократно в течение длительного времени; адаптируется к усилиям защищающихся оказать угрозе сопротивление; имеет установку сохранить уровень проникновения в целевой инфраструктуре, требуемый для осуществления намерений.
Именно такие атаки являются наиболее "продвинутыми" и, как правило, технологически сложными. В отличие от обычных атак — закрепление и скрытое присутствие в системе, позволяющее злоумышленниками взаимодествовать со взломанной инфрастурктурой и расширять область своего пристуствия в корпоративной среде.
В следующей таблицы представлены маркеры компрометации и ожиджаемые результаты обнаружения:
- AV = Антивирусы
- NIDS = Сетевая система обнаружения атак (Network Intrusion Detection System)
- EDR = Агенты на "конечных точках" — АРМ, серверы (Endpoint Detection and Response)
- SM = Системы мониторинга (Security Monitoring)
- CA = Признаки компрометации (Compromise Assessment)
Тест-кейс | AV | NIDS | EDR | SM | CA |
---|---|---|---|---|---|
Сбор локальных файлов | X | ||||
Соединение с C&C серверами | X | X | X | X | |
Отравление DNS кеша | X | X | X | X | |
Вредоносные User-Agent (дропперы, трояны) | X | X | X | ||
Netcat бэкконнект | X | X | X | X | |
WMI-бэкдор | X | X | X | ||
Дамп LSASS | X | X | X | ||
Исмпользование Mimikatz | X | X | X | X | |
Использование WCE | X | X | X | ||
Активация гостевого достпа и эскалация привелегий | X | X | X | ||
Подложные системные файлы | X | X | X | ||
Модификация Hosts | X | X | X | ||
Обфусцированный JS дроппер | X | X | X | X | X |
Обфусцированные файлы (RAR > JPG) | X | ||||
Сканировование подсетей С-класса | X | X | X | X | |
Команды сбора информации о системе | X | X | X | ||
Запуск PsExec | X | X | X | ||
Доставка вредоносного ПО | X | X | |||
At задания для сбора данных | X | X | X | ||
Добавление параметров RUN в реестр | X | X | X | ||
Создание задач в планировщике (могут быть использованы как бэкдоры) | X | X | X | ||
StickyKey бэкдор | X | X | |||
Использование ключа реестра UserInitMprLogonScript | X | X | X | ||
Web-шеллы | X | X | X | ||
WMI-бэкдоры | X | X |
Внимание: фреймоворк содержит инструменты и исполняемые файлы, которые могут нанести ущерб целостности и стабильности вашей системы. Используйте их только на тестовых или демонстрационных системах или стендах.
Интерфейс системы представляет из себя "классическую" псевдографическую оболочку, знакомую пользователям Metasploit Framework, Empire, SET и многих других.
Из контекстного меню программы доступны основные инструменты. Существует возможность как запуска инструментария из контекстного меню, так и отдельных утилит.
>Страница проекта на github.
Для тех, кто не располагает собственной средой мониторинга вредоносной активности я предлагаю воспользоваться HELK- Hunting ELK (Elasticsearch, Logstash, Kibana) — средой мониторинга для проверки и визуализации данных со скопрометированных хостов.
Эта система представляет из себя платформу для выявления угроз представляющую из себя набор средств и утилит для анализа и визуализации в виде docker-контейнера.
> Страница проекта на github.
Использование двух этих инструментов позволить повысить навыки выявления современных угроз, расследования инцидентов и выработки средств и мер оперативного противодействия.