Aizaz-Art/DuckyStrike
GitHub: Aizaz-Art/DuckyStrike
一个基于 USB Rubber Ducky 的红蓝对抗教学框架,展示 16+ 种 MITRE ATT&CK 技术以覆盖完整攻击生命周期。
Stars: 0 | Forks: 0
# 🦆 DuckyStrike
## 📦 安装
### 先决条件
| 组件 | 版本 | 用途 |
|-----------|---------|---------|
| **Python** | 3.8+ | C2 监听器与 SAM 解码器 |
| **PowerShell** | 5.1+ | 攻击载荷(Windows 10/11 内置) |
| **Netcat** | 任意版本 | 反向 shell 监听 |
| **impacket** | 最新版本 | SAM 哈希提取(可选) |
### 攻击者环境搭建
```
# 1. Clone the repository
git clone https://github.com/Aizaz-Art/DuckyStrike.git
cd DuckyStrike
```
```
# 2. Install dependencies
sudo apt update
sudo apt install python3 netcat-openbsd python3-impacket -y
```
```
# 4. Make scripts executable and Run
chmod +x listener.py decode_sam.py
sudo python3 listener.py
```
一个完整的 USB Rubber Ducky 攻击框架,展示了 16+ 种 MITRE ATT&CK 技术,涵盖完整的杀伤链——从初始访问、防御规避到凭据窃取、持久化和数据外泄。专为红队训练、蓝队检测工程和安全教育而构建。
## ⚠️ 法律声明🚨 仅限教育与授权使用 🚨
本项目**仅**用于: - ✅ 书面授权后的渗透测试 - ✅ 控制环境中的红队演练 - ✅ 安全教育与学术研究 - ✅ 蓝队检测工程训练 - ✅ 在个人系统上的自我测试 **不得在未拥有或获得明确书面许可的任何系统上使用本软件。** 未经授权访问计算机系统属于违法行为,可能导致刑事起诉。作者不对本代码的滥用承担任何责任。 ## 📋 概述 DuckyStrike 是一个模块化开源框架,使用 USB Rubber Ducky 设备(或兼容的 HID 仿真器,如 Flipper Zero)模拟真实的 BadUSB 攻击。它展示了看似无害的 USB 设备如何在数秒内攻破一个全补丁的 Windows 10/11 系统。 ### 🎯 项目存在的原因 | 面向红队 | 面向蓝队 | 面向学生 | |---------------|----------------|--------------| | 在可控环境中演练攻击技术 | 理解攻击者方法 | 学习 Windows 内部机制与安全 | | 测试对真实战术的检测能力 | 开发检测规则与 SIEM 查询 | 理解 MITRE ATT&CK 框架 | | 展示风险以说服利益相关者 | 改进事件响应剧本 | 构建实际安全作品集 | ## 🗺️ MITRE ATT&CK 映射 DuckyStrike 覆盖了 **16+ 种 MITRE ATT&CK 技术**,贯穿完整的攻击生命周期:| 战术 | ID | 技术 | 实现方式 |
|---|---|---|---|
| 初始访问 | T1091 | 通过可移动介质复制 | 通过 DuckyScript 实现的 USB HID 仿真 |
| 执行 | T1059.001 | 命令与脚本解释器:PowerShell | PowerShell 载荷执行 |
| 防御规避 | T1562.001 | 削弱防御:禁用或修改工具 | 禁用 Windows Defender 与防火墙 |
| T1562.004 | 削弱防御:禁用系统防火墙 | Set-NetFirewallProfile -Enabled False | |
| 发现 | T1082 | 系统信息发现 | 主机名、操作系统与架构枚举 |
| T1016 | 系统网络配置发现 | IP 地址与网关枚举 | |
| T1087.001 | 账户发现:本地账户 | Get-LocalUser 枚举 | |
| 凭据访问 | T1555 | 从密码存储中窃取凭据 | Wi-Fi 密码提取 |
| T1555.003 | 从 Web 浏览器窃取凭据 | Chrome/Edge 凭据数据库提取 | |
| T1003.002 | 操作系统凭据转储:SAM | SAM 与 SYSTEM 注册表 hive 转储 | |
| 权限提升 | T1548.002 | 滥用提升控制:绕过 UAC | fodhelper.exe UAC 绕过 |
| 持久化 | T1547.001 | 启动/登录自动运行:注册表 Run 键 | HKCU\Run\WindowsSecurityUpdate |
| T1053.005 | 计划任务/作业:计划任务 | 每 30 分钟重复执行的任务 | |
| 命令与控制 | T1041 | 通过 C2 通道外泄数据 | HTTP POST 到攻击者服务器 |
| 防御规避 | T1070.001 | 指标移除:清除 Windows 事件日志 | wevtutil cl Security/System/PowerShell |
| T1070.003 | 指标移除:清除命令历史 | PSReadLine 历史记录删除 | |
| T1070.004 | 指标移除:删除文件 | 战利品文件与临时数据库清理 |
标签:AI合规, ATT&CK技巧, Cloudflare, DuckyStrike, IPv6, MITRE ATT&CK, PowerShell, Python, USB Rubber Ducky, USB攻击, Windows 10, Windows 11, 凭证收集, 初始访问, 子域名变形, 安全培训, 安全教育, 按键注入, 授权测试, 攻击链, 数据外泄, 无后门, 杀链, 私有化部署, 红队训练, 自动化攻击, 蓝队检测, 逆向工具, 键盘注入, 防御规避