fatihpurtas/fortideceptor-attack-simulator
GitHub: fatihpurtas/fortideceptor-attack-simulator
通用的紫队攻击模拟工具包,通过自动触发多种协议诱饵并关联告警来评估 FortiDeceptor 等欺骗防御方案的有效性。
Stars: 0 | Forks: 0
# FortiDeceptor PoC Runner
`INF_Purple` — 一个通用的攻击模拟工具包,用于评估 **FortiDeceptor**
(或任何欺骗/诱饵解决方案),通过触发诱饵并将其引发的告警与发送的确切操作进行关联。
## 组件
| 文件 | 作用 |
|------|------|
| `fortideceptor_poc_test.sh` | **引擎** — 16 个攻击模块(SSH、SMB、RDP、HTTP、SAP、DC/LDAP、摄像头/RTSP、打印机/JetDirect、DB、SNMP、OT/Modbus/S7…)。自动安装缺失的工具;每个网络操作都有超时限制。 |
| `fd_poc_runner.sh` | **运行器** — 你运行的命令。从 CSV/配置/CLI 读取诱饵,根据诱饵名称自动映射模块,自动检测本地子网,并将所有内容整合到一个 `MASTER_.csv` 中。 |
| `decoys.example.conf` | 配置模板(占位 IP)。 |
| `RUNBOOK.txt` | 逐步操作现场手册。 |
## 快速开始
```
chmod +x *.sh
# 最简单的方法:提供 FortiDeceptor "Decoy Status" CSV 导出文件
./fd_poc_runner.sh --csv decoy_status.csv --list # preview the plan
./fd_poc_runner.sh --csv decoy_status.csv --dry-run # no packets sent
./fd_poc_runner.sh --csv decoy_status.csv # run
# 或使用 config file / inline / manual
./fd_poc_runner.sh --config decoys.conf
./fd_poc_runner.sh --decoys "SAP-01:10.0.0.5,10.1.0.5 DC-01:10.0.0.6"
./fd_poc_runner.sh --targets "10.0.0.5" --only ssh,smb,http
```
## 诱饵名称 → 模块自动映射
| 名称包含 | 模块 |
|---|---|
| `sap` | sap, ssh, http, ftp |
| `win / wsrv / dc / domain / srv` | smb, rdp, dc (ldap/kerberos) |
| `ubuntu / linux / nix` | ssh, http, ftp, database |
| `cam / camera / nvr / dvr` | camera (rtsp/onvif), http, telnet |
| `print / iot / jetdirect / hp` | printer (9100/631/515), snmp, http |
| `scada / plc / modbus / ot` | ot (modbus/s7/bacnet) |
| *未知* | ssh, telnet, ftp, smb, http, rdp, database, snmp |
`recon` + `portscan` 始终会被添加。可以在配置的第三列中覆盖单个诱饵的模块。
## 输出与对比
每次运行都会生成 `fd_poc_logs/MASTER_.csv`,包含以下列:
`timestamp, decoy, module, target, port, protocol, action, result`。
为了衡量覆盖率,请将 FortiDeceptor 的 **Incident** 列表(通过攻击者/源 IP + 测试时间窗口进行过滤)导出为 CSV,并根据 `decoy IP + service/protocol + time window` 与主 CSV 进行匹配。FortiDeceptor 会将许多操作聚合为较少的事件,因此请在诱饵+服务级别进行比较,而不是逐行比较。
Infinitum IT — Purple Team
标签:Cutter, PE 加载器, XXE攻击, 应用安全, 插件系统, 攻击模拟, 紫队, 蜜罐验证, 驱动签名利用