APT Simulator: simula que un equipo ha sido víctima de una APT

APT Simulator de Nextron Systems GmbH es un simple script en Batch para Windows que utiliza un conjunto de herramientas y archivos de salida para que el sistema parezca comprometido. Sus casos de uso son:

- POC: agentes de detección de endpoint / herramientas de evaluación de compromiso
- Poner a prueba las capacidades de detección y monitorización de la seguridad
- Poner a prueba la respuesta de un SOC ante una amenaza que no sea un simple EICAR o un escaneo de puertos
- Preparar un entorno para dar clases de forense

Hay que tener en cuenta que el objetivo de esta herramienta es simular la actividad de un atacante, no de malware.



Tienes otras herramientas más avanzadas como Caldera, Infection Monkey o Flightsim, pero para realizar pruebas rápidamente puede resultar una buena alternativa.

Instalación

Para instalarlo simplemente hay que descargar la última release, descomprimirla (contraseña apt) y ejecutar desde la línea de comandos como administrador APTSimulator.bat. El script en batch extraerá a continuación las herramientas y las shells del archivo 7z en tiempo de ejecución. 

Técnicas

Las técnicas que realiza para la simulación son:

1. dumps: guarda la salida de un listado de directorios y de pwdump al directorio de trabajo
2. Recon: ejecuta el comando utilizado por los atacantes para obtener información sobre un sistema de destino
3. DNS: busca varias direcciones conocidas de C2 para provocar solicitudes DNS y obtener las direcciones en el caché de DNS local
4. Registro de eventos: crea entradas en el Eventlog que parecen haber ejecutado WCE
5. Hosts: agrega entradas al archivo de hosts local (bloqueador de actualizaciones, entradas causadas por malware)
6. Sticky Key Backdoor: intenta reemplazar sethc.exe con cmd.exe (se crea un archivo de backup). Intenta registrar cmd.exe como depurador para sethc.exe
7. Ofuscación: coloca un archivo RAR oculto con extensión JPG
8. Web Shells: crea un directorio web root y copia dentro webshells, incluido GIF
9. Ncat alternativo: deja un Ncat en powershell en el directorio de trabajo
10. Herramienta de ejecución remota: deja una herramienta de RCE en el directorio de trabajo
11. Mimikatz: ejecuta una versión especial de mimikatz y deja la salida en el directorio de trabajo. Ejecuta también Invoke-Mimikatz en la memoria (descarga github, reflection)
12. PsExec: vuelca una versión renombrada de PsExec al directorio de trabajo. Ejecuta PsExec para iniciar una consola en el contexto LOCAL_SYSTEM
13. At Job: Crea una tarea at que ejecuta mimikatz y vuelca las credenciales al archivo
14. Clave RUN: crea una nueva entrada de clave RUN sospechosa que vuelca la salida de "net user" en un archivo
15. Ubicación sospechosa del archivo del sistema: suelta un ejecutable sospechoso con el nombre de archivo del sistema (svchost.exe) en la carpeta %PUBLIC%. Ejecuta ese programa sospechoso en la carpeta %PUBLIC%
16. Usuario Invitado: Activa el usuario Invitado. Agrega usuarios invitados a los administradores locales
17. LSASS DUMP: Vuelca la memoria de proceso de LSASS a una carpeta sospechosa
18. Solicitudes de C2: Utiliza Curl para acceder a servidores C2 conocidos
19. Agentes de usuario maliciosos: Utiliza agentes de usuario maliciosos para acceder a sitios web
20. Creación de tareas programadas: crea una tarea programada que ejecuta mimikatz y vuelca el resultado a un archivo
21. Descubrimiento de Nbtscan: escane 3 subredes privadas clase C de la dirección IP correspondiente y vuelca la salida al directorio de trabajo

Detecciones

La siguiente tabla muestra los diferentes casos de prueba y los resultados de detección esperados.

     AV = Antivirus
     NIDS = Sistema de detección de intrusión de red
     EDR = Detección y respuesta del endpoint
     SM = Monitorización de seguridad
     CA = Evaluación de compromiso

Test Case AV NIDS EDR SM CA
Dumps (Pwdump, Dir Listing)



X
Recon Activity (Typical Commands)

X X X
DNS (Cache Injection) (X) X
X X
Eventlog (WCE entries)

X X X
Hosts File (AV/Win Update blocks) (X)
X
X
Backdoor (StickyKey file/debugger)

X
X
Obfuscation (RAR with JPG ext)



(X)
Web Shells (a good selection) X
(X)
X
Ncat Alternative (Drop & Exec) X
X X X
Remote Execution Tool (Drop) (X)


X
Mimikatz (Drop & Exec) X
X X X
PsExec (Drop & Exec)

X X X
At Job Creation

X X X
RUN Key Entry Creation

X X X
System File in Susp Loc (Drop & Exec)

X X X
Guest User (Activation & Admin)

X X X
LSASS Dump (with Procdump)

X X X
C2 Requests (X) X X X
Malicious User Agent (Malware, RATs)
X X X
Scheduled Task Creation

X X X
Nbtscan Discovery (Scan & Output)
X X (X) X

Herramientas integradas
Más info en: https://github.com/NextronSystems/APTSimulator

Comentarios

Publicar un comentario