shane-rubrik/GenerateThreatFile

Rubrik 威胁猎杀模拟器 这款 PowerShell 工具专为网络安全专业人员设计，用于安全地模拟恶意软件爆发。它会生成无害的、随机化的可执行文件，这些文件在安全扫描器看来是“可疑的”，从而允许您测试检测管道和 Rubrik Security Cloud (RSC) 威胁猎杀功能。 🚀 功能 无害 PE 生成：创建具有随机内容的有效 .exe 文件头，因此每个文件都有唯一的 SHA256 签名。 RSC 集成：自动连接到您的 Rubrik Security Cloud 实例，根据生成的文件创建自定义威胁源。 横向移动模拟：自动将文件分发到多个网络共享或本地目录。 全生命周期清理：一条命令即可清除模拟环境，删除本地文件、日志，并自动从 Rubrik 中移除 Intel 威胁源。 🛠 前置条件 PowerShell 5.1 或 7+ Rubrik Security Cloud 账户：要使用 API 集成，您需要一个 Service Account JSON 凭证文件。 权限：执行策略必须允许本地脚本： `Set-ExecutionPolicy RemoteSigned -Scope CurrentUser` 📥 安装 克隆仓库： git clone https://github.com/shane-rubrik/GenerateThreatFile/blob/main/GenerateThreatFile.ps1 进入目录： cd rubrik-threat-simulator 📖 使用示例 1. 简单本地生成 在特定文件夹中创建 10 个伪造的恶意软件文件： ```.\GenerateThreatFile.ps1 -Count 10 -OutputDirectory "C:\SafetyLab"``` 2. 结合 Rubrik RSC 的完整模拟 生成文件并自动通知 Rubrik 在您的备份中查找它们： ```.\GenerateThreatFile.ps1 -RubrikConfigPath "C:\creds\rsc-sa.json" -CreateThreatFeed -Count 5``` 3. 自定义路径示例： ```.\GenerateThreatFile.ps1 -Count 1 -OutputDirectory c:\temp -RubrikConfigPath "C:\scripts\json\rsc-sa.json" -CreateThreatFeed``` 4. 网络分发 通过 UNC 路径模拟文件传播到服务器： ```.\GenerateThreatFile.ps1 -Count 1 -NetworkPaths "\\FS01\Public", "\\FS02\Backups"``` 5. 完全清理（本地 & Rubrik） 清除本地文件并自动从 Rubrik 移除威胁源： ```.\GenerateThreatFile.ps1 -OutputDirectory "c:\temp" -RubrikConfigPath "C:\scripts\json\rsc-sa.json" -Cleanup``` 🔒 安全说明 此脚本生成的文件不包含任何恶意代码。它们由标准的 Windows 可执行文件头后跟随机垃圾数据组成。它们不会运行或执行任何指令，但它们的存在会触发监视未知可执行文件或特定失陷指标 的安全工具。 📄 许可证 本项目采用 MIT 许可证授权 - 详情请参阅 LICENSE 文件

标签：AI合规, API集成, IPv6, Libemu, OpenCanary, PB级数据处理, PE 加载器, PE文件生成, PowerShell, ProjectDiscovery, RSC, Rubrik, 可观测性, 备份安全, 威胁情报源, 安全测试, 安全运维, 恶意软件仿真, 攻击性安全, 攻击模拟, 数据保护, 横向移动模拟, 渗透测试辅助, 网络信息收集, 网络安全模拟, 驱动签名利用