Network Flight Simulator ist ein leichtes Dienstprogramm, das bösartigen Netzwerkverkehr generiert und Sicherheitsteams bei der Bewertung von Sicherheitskontrollen und Netzwerksichtbarkeit unterstützt.
Das Tool führt Tests durch, um DNS-Tunnel, DGA-Verkehr, Anfragen an bekannte aktive C2-Ziele und andere verdächtige Verkehrsmuster zu simulieren.
In der Sicherheitsbranche gibt es zu viele Fragen zur Bedrohungserkennungsabdeckung für umfassende Produkte (z. B. EDR, SIEM, Firewalls, Agents), was dazu führt, dass Sicherheitsteams einheitliche Kaufentscheidungen treffen.
Wir sehen dies auf AlphaSOC, wenn wir Warnungen basierend auf C2- und Penetrationsaktivitäten generieren, die nicht von anderen Tools in der Umgebung des Kunden ausgelöst werden.
Wir haben Network Flight Simulator entwickelt, um Teams die Quantifizierung und Messung der Abdeckung ihrer vorhandenen Tools und Erkennungen zu ermöglichen.
AlphaSOC verfolgt schädliche Infrastrukturen über Malware-Familien und C2-Frameworks hinweg (z. B. Cobalt Strike, Mythic, Metasploit) und Network Flight Simulator nutzt diese Echtzeitdaten, um den Datenverkehr der derzeit online verfügbaren schädlichen Infrastrukturen zu synthetisieren.
Anstatt eine statische Zielliste zum Testen zu verwenden, ruft das Tool Live-C2-Ziele von der AlphaSOC-API ab.
Das System generiert außerdem in Echtzeit Datenverkehr zu „Lookalike“-Domains, die wir registrieren, um online bekannte Marken nachzuahmen, damit das Team die Reichweite von Spear-Phishing und gezielten Angriffsmustern (wie sie in den letzten Monaten von der Lazarus-Gruppe verwendet wurden) einschätzen kann. .
Die von diesem Dienstprogramm gepackten Module sind:
Modul | beschreiben |
---|---|
c2 |
Generieren Sie eine zufällige Liste des DNS- und IP-Verkehrs zu bekannten C2-Zielen |
cleartext |
Generieren Sie zufälligen Klartextverkehr zu einem von AlphaSOC betriebenen Internetdienst |
dga |
Simulieren Sie DGA-Verkehr mithilfe zufälliger Tags und Top-Level-Domains |
imposter |
Generieren von DNS-Verkehr zur Liste der betrügerischen Domänen |
irc |
Eine zufällige Liste öffentlicher IRC-Server, zu denen eine Verbindung hergestellt werden soll |
miner |
Generieren von Stratum-Mining-Protokollverkehr zu bekannten Krypto-Mining-Pools |
oast |
Simulieren Sie den Out-of-Band Application Security Testing (OAST)-Verkehr |
scan |
Führen Sie einen Port-Scan an einer zufälligen RFC 5737-Adresse über einen gemeinsamen TCP-Port durch |
sink |
Stellen Sie eine Verbindung zu bekannten Sinkhole-Zielen her, die von Sicherheitsforschern betrieben werden |
spambot |
Analysieren und verbinden Sie sich mit zufälligen Internet-SMTP-Servern, um Spam-Bots zu simulieren |
ssh-exfil |
Simulieren Sie die SSH-Dateiübertragung zu einem Dienst, der auf einem nicht standardmäßigen SSH-Port ausgeführt wird |
ssh-transfer |
Simulieren Sie die SSH-Dateiübertragung zu einem Dienst, der auf dem SSH-Port ausgeführt wird |
telegram-bot |
Generieren Sie Telegram-Bot-API-Verkehr mithilfe zufälliger oder bereitgestellter Token |
tunnel-dns |
Generieren Sie eine DNS-Tunnelanfrage an *.sandbox.alphasoc.xyz |
tunnel-icmp |
Generieren Sie ICMP-Tunnelverkehr zu Internetdiensten, die von AlphaSOC betrieben werden |
Als auf GitHub gehostetes Open-Source-Projekt schlagen wir neue Module vor, die die Abdeckung auf Penetrationsmodi für SCTP, FTP, verschlüsseltes DNS, Tor und E-Mail-Kanäle (z. B. POP3 und SMTP, die von vielen Malware-Familien verwendet werden) erweitern.
Diese bösartigen Muster stellen bei der Erkennung herkömmlicher Sicherheitsprodukte und SIEM-Plattformen eine Herausforderung dar, und wir hoffen, Sicherheitsteams dabei zu helfen, die Lücken in ihrer Erkennungsabdeckung besser zu verstehen und zu schließen.
Installieren:
Laden Sie die neuesten Flightsim-Binärdateien für Ihr Betriebssystem von der GitHub-Release- Seite herunter. Alternativ kann das Dienstprogramm mit Golang in jeder Umgebung (z. B. Linux, MacOS, Windows) erstellt werden .