APTSimulator：一款功能强大的APT模拟攻击工具集

"今日给大伙儿详细介绍的是这款全名是ATPSimulator的进攻仿真模拟工具集（Windows Batch脚本制作），这套工具集能够让每台计算机软件看上去像遭受了APT进攻相同。

应用情景

1.   PoC：终端设备检验代理商/侵入评定专用工具；

2.   检测你的安全防范系统软件的检验工作能力；

3.   检测SOC威协没有响应工作能力；

11.   构建大数字调查取证测试环境；

专用工具详细介绍

ATP Simulator我觉得就是说一整套Windows Batch脚本制作非空子集，它的关键作用就是说仿真模拟网络攻击的主题活动，而并不是仿真模拟恶意程序的主题活动。

人们挑选应用Batch的缘故给出：

1.   编码简易易读，并且便捷改动和拓展；

2.   能够在每每台Windows系统软件中运作，不用别的依靠部件；

3.   真實的网络攻击通常应用命令行专用工具，Batch最贴近真實情景；

专用工具免费下载

APT Simulator：【GitHub传送门】

专用工具应用

1.   从本新项目的GitHub库中下载最新版本的APT Simulator；

2.   在demo系统软件中获取数据文件中的文档（登陆密码：apt）；

3.   以管理员权限运作cmd.exe；

11.   在命令行专用工具中进到程序流程文件夹名称，随后运作APTSimulator.bat；

检验

下边这一报表显示信息的是不一样的测试用例及其期待的检验結果，至少：

av=反病毒软件

NIDS=互联网入侵检测技术

EDR=终端设备检验和没有响应

SM=安全防范

CA=侵入评定

检测非空子集

信息内容搜集

搜集当地文档

-将pwdump輸出储存到工作中文件目录；

-将词典目录储存到工作中文件目录；

指令操纵

C5联接

-应用Curl来浏览受欢迎的C5网络服务器；

DNS Cache1

-查寻好几个受欢迎的C5详细地址，并开启DNSpost请求，获得当地DNS缓存文件中的详细地址信息内容；

故意客户代理商

-应用故意客户代理商来浏览web站名；

WMI侧门C5

-应用了Matt Graeber的WMIBackdoor来与C5网络服务器联接；

凭据浏览

LSASS导出来

-导出来LSASS系统进程运行内存到总体目标文件夹名称；

Mimikatz-1

-将mimikatz輸出导出来到工作中文件目录；

-运作独特版本号的mimikatz，并将輸出导出来到工作中文件目录；

-在运行内存中运作Invoke-Mimikatz；

WCE-1

-建立Windows Eventlog内容，仿真模拟WCE实行；

防御力绕开

激话浏览量账户

-激话Guest客户账户；

-将Guest客户加上为当地管理人员；

仿冒系统文件

-将取名为系统软件文件夹名称（比如svchost.exe）的故意可执行程序储放到%PUBLIC%文件目录；

-运作%PUBLIC%文件目录中的异常程序流程；

Hosts

-向当地hosts文档中加上新内容；

Js Dropper

-应用wscript.exe运作历经搞混解决的JavaScript编码；

程序运行

PsExec

-向工作中文件目录中导出来重命名后的PsExec；

-在LOCAL_SYSTEM中运作PsExec，并打开命令行专用工具；

远程控制运作专用工具

-在工作中文件目录中导出来远程控制运作专用工具；

专用工具的主要作用请参照【官方网文本文档】。

运作截屏

融合的新项目/手机软件

Mimikatz

PowerSploit

PowerCat

PsExec

ProcDump

7Zip

curl