Network Flight Simulator 是一款轻量级实用程序,可生成恶意网络流量并帮助安全团队评估安全控制和网络可见性。
该工具执行测试来模拟 DNS 隧道、DGA 流量、对已知活动 C2 目的地的请求以及其他可疑流量模式。
安全行业内关于全面产品(例如 EDR、SIEM、防火墙、代理)的威胁检测覆盖范围存在太多问题,导致安全团队做出统一的采购决策。
当我们根据 C2 和渗透活动生成警报时,我们在 AlphaSOC 上看到了这一点,这些警报不会从客户环境中的其他工具触发。
我们创建 Network Flight Simulator 是为了让团队能够量化和测量其现有工具和检测的覆盖范围。
AlphaSOC 跨恶意软件家族和 C2 框架(例如 Cobalt Strike、Mythic、Metasploit)跟踪恶意基础设施,网络飞行模拟器使用此实时数据来合成当前在线恶意基础设施的流量。
该工具不使用静态目标列表进行测试,而是从 AlphaSOC API 检索实时 C2 目标。
该系统还为我们注册的实时“相似”域名生成流量,以冒充在线知名品牌,以便团队可以评估鱼叉式网络钓鱼和针对性攻击模式的覆盖范围(例如,Lazarus Group 最近几个月使用的那些)。
该实用程序打包的模块有:
| 模块 | 描述 |
|---|---|
c2 | 生成 DNS 和 IP 流量到已知 C2 目的地的随机列表 |
cleartext | 生成随机明文流量到由 AlphaSOC 运营的互联网服务 |
dga | 使用随机标签和顶级域模拟 DGA 流量 |
imposter | 生成到冒名顶替者域列表的 DNS 流量 |
irc | 连接到公共 IRC 服务器的随机列表 |
miner | 生成到已知加密矿池的 Stratum 挖掘协议流量 |
oast | 模拟带外应用程序安全测试 (OAST) 流量 |
scan | 使用通用 TCP 端口对随机 RFC 5737 地址执行端口扫描 |
sink | 连接到由安全研究人员运行的已知沉洞目的地 |
spambot | 解析并连接到随机 Internet SMTP 服务器以模拟垃圾邮件机器人 |
ssh-exfil | 模拟 SSH 文件传输到在非标准 SSH 端口上运行的服务 |
ssh-transfer | 模拟 SSH 文件传输到在 SSH 端口上运行的服务 |
telegram-bot | 使用随机或提供的令牌生成 Telegram Bot API 流量 |
tunnel-dns | 生成到 *.sandbox.alphasoc.xyz 的 DNS 隧道请求 |
tunnel-icmp | 生成 ICMP 隧道流量至由 AlphaSOC 运营的互联网服务 |
作为GitHub上托管的开源项目,我们提出了新模块,将覆盖范围扩展到 SCTP、FTP、加密 DNS、Tor和邮件通道(例如,许多恶意软件系列使用的 POP3 和 SMTP)的渗透模式。
这些恶意模式是传统安全产品和 SIEM 平台在识别方面面临的挑战,希望帮助安全团队更好地理解并填补其检测覆盖范围的空白。
安装:
从GitHub 发布页面下载适用于您的操作系统的最新 Flightsim 二进制文件。或者,可以在任何环境(例如 Linux、MacOS、Windows)中使用Golang构建该实用程序。
