BenjiTrapp/PurpleSkjaldborg
GitHub: BenjiTrapp/PurpleSkjaldborg
一款零依赖的浏览器端紫队威胁建模工具,在同一画布上结合红队攻击路径与蓝队防御措施进行可视化分析。
Stars: 1 | Forks: 0
# PurpleSkjaldborg
**在浏览器中进行紫队威胁建模。** 零依赖。单个 HTML 文件。攻击*与*防御融于一“画布”之中。
## 这是什么?
PurpleSkjaldborg 是一款可视化威胁建模工具,它将**红队攻击路径**与**蓝队防御控制措施**结合在一张图表中。它集成了四种行业标准框架:
| 框架 | 在 Skjaldborg 中的作用 |
|-----------|-------------------|
| **STRIDE** | 每个元素的威胁分类(Spoofing、Tampering、Repudiation、Info Disclosure、DoS、EoP) |
| **PASTA** | 映射到画布组件的 7 阶段以风险为中心的方法论 |
| **MITRE ATT&CK** | 自动映射到红队节点和攻击边的对手技术 |
| **MITRE D3FEND** | 自动映射到蓝队盾牌和边界的防御对策 |
## 快速开始
```
# 无需 build。无需 install。只需打开它。
open index.html
# 或者在本地 serve:
python -m http.server 8765
# 然后导航到 http://localhost:8765
```
应用默认加载 **AD Attack Chain** 示例。点击工具栏中的 **Sample** 以探索所有 5 个内置场景。
## 功能
### 红队武器库
- **C2 框架** — Cobalt Strike、Brute Ratel、Sliver、Havoc、ArachneC2、AdaptixC2
- **钓鱼基础设施** — EvilGinx2、GoPhish、Tangled、PhishingClub
- **内网穿透与隧道** — Ligolo-ng、Chisel、SSH 隧道、SOCKS 代理、dnscat2、iodine
- **Living off the Land** — LOLBins、LOLDrivers、文件传输工具
- **自动 ATT&CK** — 每个红队节点都附带预映射的技术 ID
### 蓝队盾牌
- **EDR/XDR** — CrowdStrike Falcon、Microsoft Defender、Elastic Security、Sysmon
- **NDR/NOC** — Darktrace、Vectra AI、Zeek
- **网络过滤** — pfSense、Suricata IDS/IPS、Squid
- **云安全** — Prisma Cloud、CASB、AWS GuardDuty
- **加固与欺骗** — ASR/GPO、Kyverno、蜜罐/诱饵
### 画布与可视化
- **动画隧道边** — 攻击性枢纽呈现红色辉光,防御性 VPN 呈现蓝色辉光
- **力场边界** — 信任(蓝色)、隐私/PII(绿色)、云(渐变色)、网络(虚线)
- **点击抓取边界移动** — 单击抓取,移动,再次单击放置
- **自动排列** — 按角色组织节点(企业内网 / DMZ / 云 / 红队)
- **上下文菜单** — 右键点击任何元素即可快速重命名、复制、切换或删除
- **缩放与平移** — 滚动缩放,拖动背景平移
### 分析与报告
- **按边界风险评分** — 攻击面与对策覆盖率的对比
- **STRIDE 矩阵** — 所有元素的可视化适用性网格
- **PASTA 阶段** — 映射到您的图表的 7 阶段方法论演练
- **Markdown 报告导出** — 完整的威胁模型文档,可直接用于 wiki/PR
- **JSON 导入/导出** — 与您的团队保存和共享模型
## 内置场景
| 场景 | Kill Chain | 关键技术 |
|----------|-----------|----------------|
| **AD Attack Chain** | Phishing → Credential Theft → Lateral Movement → Domain Dominance | Kerberoasting、DCSync、Golden Ticket、WireGuard VPN pivot |
| **K8s Cluster Compromise** | Initial Access → Pod Escape → Control Plane Takeover | RBAC abuse、etcd dump、Ligolo-ng tunnel、Chisel backup |
| **Cloud Identity Breach** | Token Theft → Privilege Escalation → Data Exfiltration (Azure) | Consent phishing、MFA bypass、Service Principal abuse |
| **Supply Chain Attack** | CI/CD Poisoning → Registry Tampering → Cloud Workload Compromise | Pipeline injection、IRSA abuse、ECR poisoning |
| **Ransomware (Double Extortion)** | RDP Brute → Cobalt Strike → DCSync → Exfil → GPO Deploy | BYOVD EDR kill、rclone exfil、VSS/Veeam deletion |
## 键盘快捷键
| 按键 | 操作 |
|-----|--------|
| `?` | 切换帮助面板 |
| `Shift` + 点击 | 保持工具激活状态(放置多个元素) |
| `Esc` | 取消激活的工具 / 取消选择 |
| `Delete` / `Backspace` | 删除选中的元素 |
| 双击连线 | 切换攻击向量(攻击性) |
| 右键点击 | 上下文菜单 |
| 滚动 | 缩放 |
| 拖动背景 | 平移 |
## 架构
```
index.html (single file, ~3000 lines)
├──