kakashi-kx/apt-emulation-platform

GitHub: kakashi-kx/apt-emulation-platform

一款企业级APT对手仿真平台,通过模拟真实威胁组织技术来验证检测能力并自动生成修复所需的检测规则和高管报告。

Stars: 4 | Forks: 1

# 🛡️ APT 仿真平台 ### 企业级的对手仿真平台,您可以在自己的环境中安全地(默认)运行。 模拟真实的 APT29 (Cozy Bear)、Lazarus Group 和勒索软件操作者的实战技术(映射至 MITRE ATT&CK),并在真正的攻击者行动之前,找出您的检测技术栈实际能捕获的内容。 [![CI](https://github.com/kakashi-kx/apt-emulation-platform/actions/workflows/ci.yml/badge.svg)](https://github.com/kakashi-kx/apt-emulation-platform/actions/workflows/ci.yml) [![License: MIT](https://img.shields.io/github/license/kakashi-kx/apt-emulation-platform)](LICENSE) [![Python 3.9+](https://img.shields.io/badge/python-3.9%2B-blue)](https://www.python.org/) [![Docker Ready](https://img.shields.io/badge/docker-ready-2496ED?logo=docker&logoColor=white)](#-quickstart) ![Stars](https://img.shields.io/github/stars/kakashi-kx/apt-emulation-platform?style=social) ![Last Commit](https://img.shields.io/github/last-commit/kakashi-kx/apt-emulation-platform) [![PRs Welcome](https://img.shields.io/badge/PRs-welcome-brightgreen.svg)](CONTRIBUTING.md) [**快速开始**](#-quickstart) · [**功能**](#-features) · [**仪表板**](#-dashboard) · [**工作原理**](#-how-it-works) · [**对比**](#-how-this-compares) · [**路线图**](#-roadmap)

APT Emulation Platform dashboard

## 🎯 为什么需要这个平台 大多数安全团队其实并不清楚在面对真正的攻击者技术时,他们有多少检测规则会真正触发——他们只知道*拥有*多少规则。本平台旨在弥补这一差距:它运行以真实威胁行为者为原型的、逼真且默认安全的技术序列,准确告诉您您的系统漏掉了哪些技术,并为您提供修复所需的构件——Sigma 规则、MITRE Navigator 层以及可直接向高管汇报的报告——而不仅仅是给出一个简单的合格/不合格分数。 它的构建初衷与 Caldera 或 Atomic Red Team 相同:用于紫队演练、检测工程验证,以及向管理层展示安全投入的回报率。**请在您拥有或获得明确授权测试的系统上运行此工具。** ## ✨ 功能 **对手仿真** - 🇷🇺 **APT29 (Cozy Bear)** — 包含从鱼叉式网络钓鱼到数据外传在内的 11 种技术,以 SolarWinds 时代的战术手册为原型 - 🇰🇵 **Lazarus Group** — 以经济利益为目的且极具破坏性的实战技术 - 🔒 **勒索软件操作者** — 完整的加密与勒索链条 - 🧭 **涵盖 12 种 MITRE ATT&CK 战术的 25 种技术**,每一项都标记了对应的技术 ID **设计安全** - 默认开启 SAFE 模式 —— 在您明确选择加入之前,系统只会描述而绝不会执行这些技术 - 隔离的执行模式(`SAFE` / `DRY_RUN` / `SIMULATED` / `REAL`),而不是用一条代码路径处理所有操作 - 速率限制、经过强化的 Web API(安全 cookies、CORS 白名单、随机密钥、生产环境中无 debug 模式) **报告与检测工程** - 📊 **面向高管和 CISO 的报告** — 包含成功率、检测率和业务影响评分 - 🧩 **MITRE ATT&CK Navigator 导出** — 可直接导入 [Navigator](https://mitre-attack.github.io/attack-navigator/) 以可视化覆盖盲区 - 📐 **Sigma 规则生成** — 每一项未检测到的技术都会变成一份草拟的 Sigma 规则,可移植到 Splunk、Elastic、Sentinel 或任何支持 Sigma 的 SIEM 中 - 📈 **趋势分析** — 随时间追踪重复活动的检测覆盖率 - 🎬 **活动回放** — 逐步查看运行了什么以及捕获了什么 - 🔔 **Slack / Discord 通知** — 将实时活动结果发布到您的团队频道 **运维就绪** - 🐳 一条命令的 Docker 部署,带有非 root 容器用户和健康检查 - ✅ 真正以测试结果为门槛的 CI pipeline - 🖥️ 提供用于自动化的 CLI,或提供用于点击式评估的完整 Web 仪表板 ## 🖥️ 仪表板 选择一个威胁行为者,调整检测成熟度,并运行评估——仪表板会流式传回结果,并提供完整的技术逐项分解。
Live campaign results in the dashboard
## 🚀 快速开始 ### Docker(最快) ``` git clone https://github.com/kakashi-kx/apt-emulation-platform.git cd apt-emulation-platform docker compose up ``` 然后打开 **http://localhost:5000**。 ### CLI ``` git clone https://github.com/kakashi-kx/apt-emulation-platform.git cd apt-emulation-platform pip install -r requirements.txt # 始终从这里开始 — SAFE mode 仅描述技术,从不执行它们 python3 main.py --apt-group apt29 --safe-mode ```
输出示例 ``` ============================================================ 📊 RESULTS SUMMARY ============================================================ 🎯 APT29 (Cozy Bear) Success Rate: 100.0% Detection Rate: 0.0% Impact Score: 8.8/10 Total Techniques: 11 ✅ Successful: 11 ❌ Failed: 0 🛡️ Detected: 0 ============================================================ ✅ COMPLETE! Report saved to campaign_results.json ============================================================ ```
### Web(手动,不使用 Docker) ``` pip install -r requirements.txt -r requirements-web.txt python3 web/app.py ``` ## 🧠 工作原理 ``` flowchart LR CLI["CLI (main.py)"] --> CM[Campaign Manager] WEB["Web Dashboard"] --> CM CM --> A[APT29 Profile] CM --> L[Lazarus Profile] CM --> R[Ransomware Profile] A & L & R --> EX[Technique Executor] EX -->|SAFE / DRY_RUN / SIMULATED, default| RES[Campaign Result] EX -.->|REAL, explicit opt-in only| RES RES --> REPORT[Executive Report] RES --> SIGMA[Sigma Rules] RES --> NAV["MITRE Navigator Layer"] RES --> TREND[Trend Analysis] RES --> REPLAY[Campaign Replay] RES --> NOTIFY["Slack / Discord"] ``` ## ⚖️ 横向对比 | | 本平台 | MITRE Caldera | Atomic Red Team | |---|---|---|---| | 安装设置 | `docker compose up` | 服务器 + 代理安装 | 框架安装 | | 威胁行为者配置 | APT29, Lazarus, 勒索软件 | 对手插件 | 单项测试,无连贯场景 | | Sigma 规则生成 | ✅ 根据盲区自动生成 | ❌ | ❌ | | MITRE Navigator 导出 | ✅ 内置 | 通过插件 | 手动 | | 高管/CISO 报告 | ✅ 内置 | ❌ | ❌ | | Web 仪表板 | ✅ | ✅ | ❌(仅限 CLI)| | 默认安全执行 | ✅ | 取决于插件 | ✅ | 这并不能替代 Caldera 基于代理的横向渗透仿真,也无法匹敌 Atomic Red Team 庞大的测试库——本平台以牺牲广度为代价,换取了从*运行技术* → *检测盲区* → *Sigma 规则* → *高管报告*更紧密的闭环。 ## 🗺️ 路线图 - [ ] **自适应 AI 对手** — 一个由 LLM 驱动的引擎,根据目前已检测到的内容(而不是固定的序列)选择下一步技术 - [ ] 扩展每个配置文件的技术覆盖范围(25 → 100+) - [ ] 云(AWS/Azure/GCP)和容器/Kubernetes 技术集 - [ ] 通过 CLI 和 Web UI 暴露 `SIMULATED` 模式(概率性成功/检测) - [ ] 用于社区贡献的威胁行为者配置文件的插件系统 ## 🔒 安全 发现了漏洞?请查阅 [SECURITY.md](SECURITY.md) 进行负责任的漏洞披露,而不是直接发布公开的 issue。 ## 📄 许可证 MIT — 详见 [LICENSE](LICENSE)。 ## ⚠️ 免责声明 本工具仅供**安全测试和教育目的**使用。仅限在您拥有或获得明确许可进行测试的系统上使用。对于因使用本工具而造成的任何误用或损害,作者概不负责。 ## 📞 联系方式 - **GitHub**: [@kakashi-kx](https://github.com/kakashi-kx) - **LinkedIn**: [abhixjith](https://www.linkedin.com/in/abhixjith) - **项目 Issues**: [GitHub Issues](https://github.com/kakashi-kx/apt-emulation-platform/issues)
如果这个项目对您有帮助,点个 ⭐ 可以帮助更多人发现它。
*由 kakashi-kx/kakashi4kx ❤️ 制作 | 安全研究员*
标签:版权保护, 请求拦截, 逆向工具