lollateral/lollateral.github.io

# LOLLATERAL [](LICENSE) [](https://attack.mitre.org/tactics/TA0008/) [](https://d3fend.mitre.org) []() ## 概述 **LOLLATERAL** 是一个针对 MITRE ATT&CK **TA0008 Lateral Movement** 的单文件、可离线使用的交互式参考工具。它受 [LOLEXFIL](https://lolexfil.github.io/)、[LOLBAS](https://lolbas-project.github.io/) 和 [LOLC2](https://lolc2.github.io/) 启发，将“Living Off the Land”参考格式扩展到涵盖每种横向移动技术，包括： - 红队模拟命令 - 包含 DFIR 报告链接的 APT 威胁行为者情报 - 威胁情报源映射（GreyNoise、Shodan、VirusTotal、MISP 等） - 来自 SigmaHQ、Elastic、Splunk、Microsoft Sentinel、MITRE CAR 的检测规则 - 遥测源映射（Event IDs、Sysmon、CloudTrail、auditd、EDR） - 每项 ATT&CK 技术的交互式 D3FEND 防御技术图解 **无需服务器，无依赖，无需联网。** 在任何现代浏览器中打开 `index.html` 即可。 ## 快速开始 ``` git clone https://github.com/lolmitre/lollateral.git cd lollateral open index.html # macOS xdg-open index.html # Linux start index.html # Windows ``` ## 覆盖范围 | 类别 | 数量 | |---|---| | Lateral Movement 技术 | **38** 项独特技术 | | ATT&CK (子)技术 ID | **49** 个映射 ID | | APT / 威胁行为者条目 | **146** 条，涵盖所有技术 | | 检测模式 | **220+** 个遥测合并模式 | | SigmaHQ 检测规则 | **27** 个直接搜索链接 | | Elastic 检测规则 | **34** 个直接搜索链接 | | Splunk ESCU 分析 | **33** 个直接搜索链接 | | Microsoft Sentinel KQL | **10** 个检测链接 | | MITRE CAR 分析 | **9** 个分析链接 | | D3FEND 对策图 | **49** 项技术映射 | | 威胁情报来源 | **37** 个 MISP Galaxy + GreyNoise/Shodan/OTX | ## 涵盖的技术 ### 远程服务 `T1021.001` RDP · `T1021.002` SMB/Admin Shares · `T1021.003` DCOM · `T1021.004` SSH · `T1021.005` VNC · `T1021.006` WinRM · `T1021.007` Cloud Services · `T1021.008` Direct Cloud VM ### 凭据与 Token 滥用 `T1550.001` App Access Token · `T1550.002` Pass-the-Hash · `T1550.003` Pass-the-Ticket · `T1550.004` Web Session Cookie · `T1134.001/002` Token Impersonation ### Kerberos 攻击 `T1558.001` Golden Ticket · `T1558.002` Silver Ticket · `T1558.003` Kerberoasting · `T1558.004` AS-REP Roasting · `T1550.002+overpass` Overpass-the-Hash · Kerberos Delegation Abuse · Kerbrute ### 会话劫持 `T1563.001` SSH Hijacking · `T1563.002` RDP Session Hijacking ### 凭据获取 `T1003.006` DCSync · Mimikatz · LAPS Abuse · ACL/ACE Abuse ### LOLBin 执行 PsExec · WMI Remote Exec · Remote Scheduled Tasks · Process Injection · dcomexec/smbexec ### 协议滥用与工具 CrackMapExec · Impacket Suite · BloodHound/SharpHound · NTLM Relay/Responder · MSSQL Linked Servers · Cobalt Strike · Sliver/Havoc/Metasploit · Chisel/Ligolo Pivoting ### 漏洞利用 `T1210` Remote Service Exploitation · PrintNightmare (CVE-2021-1675) · Zerologon (CVE-2020-1472) ### 供应链与持久化相关 GPO Abuse · SCCM/Software Deployment Tools · Taint Shared Content ### 钓鱼与传输 Internal Spearphishing · Lateral Tool Transfer · Removable Media ## 功能特性 ### 交互式卡片界面 - **展开/折叠** 单个卡片或一次性全部操作 - **搜索** 技术名称、ID、APT 组织名称、工具、平台 - **按平台过滤** (Windows/Linux/macOS/Cloud/Cross-platform) - **按类别过滤** (Remote Services, Kerberos, LOLBin 等) - **按 APT 组织过滤** — 包含所有 140+ 个威胁行为者条目的下拉菜单 - **按来源国过滤** — 俄罗斯、中国、伊朗、朝鲜、犯罪组织等 - **按目标行业过滤** — 医疗、政府、金融等 - 显示活动过滤标签，支持一键移除 ### 每项技术数据 每张卡片包含： 1. **模拟命令** — 即用型红队命令（工具：Mimikatz, Impacket, CrackMapExec, Rubeus, evil-winrm 等） 2. **模拟参考** — Atomic Red Team 链接、MITRE ATT&CK 页面、D3FEND 链接 3. **IOC 伪影** — 文件路径、注册表键、Event IDs、进程名、网络指标 4. **APT / 威胁行为者情报** — 行为者名称、别名、来源国、活跃期、目标行业、受害者组织、DFIR 报告（CISA 咨询公告、DOJ 起诉书、厂商报告） 5. **威胁情报来源** — GreyNoise 标签、Shodan 查询、OTX pulses、MISP galaxy 链接、VirusTotal 搜索、Microsoft TI 6. **检测规则** — 来自 SigmaHQ、Elastic、Splunk、Sentinel、MITRE CAR 的链接规则 7. **遥测 + 检测模式** — 合并表：日志源 → Event IDs → 检测上下文 → 严重程度 8. **D3FEND 防御技术图** — 交互式 SVG 图，展示适用于该技术伪影类型的 D3FEND 对策（UserAccount / NetworkTraffic / ProcessImage / KerberosTicket） ### D3FEND 图表 四个基于伪影映射的交互式图表（按卡片展开）： - **UserAccount** — 凭据/token 滥用技术（9 项 D3FEND 技术，5 种战术） - **NetworkTraffic** — 网络横向移动（8 项 D3FEND 技术，4 种战术） - **ProcessImage** — LOLBin/进程注入（7 项 D3FEND 技术，4 种战术） - **KerberosTicket** — Kerberos 攻击（6 项 D3FEND 技术，3 种战术） 节点按战术进行颜色编码，悬停显示描述，点击打开 D3FEND。 ## 架构 ``` index.html ← Single self-contained file (266 KB) │ ├── CSS ← Dark theme, IBM Plex Sans + Fira Code fonts │ └── JavaScript ├── const tools[] ← 38 technique objects (simulation, detections, IOCs) ├── const telData{} ← Telemetry source mappings per technique ├── const extData{} ← APT intel, TI sources, detection rule links ├── const aptExtra{} ← APT enrichment (timeline, victims, DFIR reports, countries) ├── const D3G ← D3FEND grid layout constants ├── const d3Diagrams{} ← 4 interactive defensive technique diagrams ├── const d3TechMap{} ← Technique → diagram type mapping ├── buildSections() ← Renders APT table, TI, rules, teldetect, D3FEND ├── buildD3fendDiagram()← Generates responsive SVG diagram ├── render() ← Main render with multi-filter logic └── Filter engine ← APT/nation/sector multi-select dropdowns ``` ## 自定义 ### 添加技术 向 `tools` 数组添加一个对象： ``` { id: "T1234.001", name: "My Technique", category: "Remote Services", // see catBadgeMap for valid values platform: "Windows", desc: "Technique description.", attck: ["T1234.001"], signed: true, refs: 5, sim: `# simulation commands here`, detections: [ {type: "EventLog", text: "Event 4624 ...", sev: "high"} ], iocs: [ {type: "Port", val: "TCP 445"} ] } ``` ### 添加 APT 情报 添加到 `extData["T1234.001"]`： ``` "T1234.001": { apt: [ { name: "APT28 (Fancy Bear)", alias: "G0007", nation: "Russia 🇷🇺", sectors: "Government, Military", campaigns: "Campaign description", ref: "https://attack.mitre.org/groups/G0007/" } ], ti: [ {src: "GreyNoise", text: "Description", link: "https://..."} ], rules: [ {src: "SigmaHQ", name: "Rule Name", link: "https://...", note: "Note"} ] } ``` ### 添加遥测 添加到 `telData["T1234.001"]`： ``` "T1234.001": [ {src: "Windows Security Log", ids: "4624, 4625", note: "Detection context"} ] ``` ## 数据来源 | 来源 | 用途 | |---|---| | [MITRE ATT&CK](https://attack.mitre.org/tactics/TA0008/) | 技术定义、APT 组织程序 | | [MITRE D3FEND](https://d3fend.mitre.org/) | 防御对策映射 | | [MITRE CAR](https://car.mitre.org/) | Cyber Analytics Repository | | [SigmaHQ](https://github.com/SigmaHQ/sigma) | 检测规则库 | | [Elastic Detection Rules](https://github.com/elastic/detection-rules) | SIEM 检测内容 | | [Splunk Security Content](https://github.com/splunk/security_content) | ESCU 分析 | | [Azure Sentinel](https://github.com/Azure/Azure-Sentinel) | KQL 检测规则 | | [MISP Galaxy](https://www.misp-galaxy.org/) | 威胁情报共享 | | [GreyNoise](https://viz.greynoise.io/) | 互联网规模扫描情报 | | [Atomic Red Team](https://github.com/redcanaryco/atomic-red-team) | 模拟参考 | | CISA Advisories | APT DFIR 报告和 IOC | | Mandiant / CrowdStrike / Microsoft MSTIC | APT 活动报告 | ## 相关项目 - [LOLEXFIL](https://lolexfil.github.io/) — 数据渗出技术参考 - [LOLBAS](https://lolbas-project.github.io/) — Living Off The Land Binaries - [LOLC2](https://lolc2.github.io/) — C2 框架参考 - [GTFOBins](https://gtfobins.github.io/) — Unix 二进制利用 - [MITRE ATT&CK Navigator](https://mitre-attack.github.io/attack-navigator/) — ATT&CK 覆盖范围映射 ## 免责声明 本工具仅用于**授权的安全测试、红队行动、检测工程和防御研究**。此处记录的所有模拟命令和技术仅应在您拥有明确书面授权的环境中使用。作者不对滥用行为承担任何责任。 ## 📄 许可证 MIT License — 详情见 [LICENSE](LICENSE)。 *为检测工程师、威胁猎人、红队成员和 SOC 分析师用 ❤️ 构建。*

标签：APT, Cloudflare, D3FEND, EDR, Lateral Movement, Living Off the Land, LOLBAS, MITRE ATT&CK, Modbus, PE 加载器, Sysmon, T1021, T1059, T1566, telemetry, XXE攻击, 参考手册, 后端开发, 多模态安全, 威胁情报, 开发者工具, 数据可视化, 数据展示, 数据集, 检测规则, 横向移动, 离线工具, 红队, 编程规范, 网络安全, 网络资产发现, 脆弱性评估, 防御矩阵, 隐私保护