fatihpurtas/fortideceptor-attack-simulator

GitHub: fatihpurtas/fortideceptor-attack-simulator

通用的紫队攻击模拟工具包,通过自动触发多种协议诱饵并关联告警来评估 FortiDeceptor 等欺骗防御方案的有效性。

Stars: 0 | Forks: 0

# FortiDeceptor PoC Runner `INF_Purple` — 一个通用的攻击模拟工具包,用于评估 **FortiDeceptor** (或任何欺骗/诱饵解决方案),通过触发诱饵并将其引发的告警与发送的确切操作进行关联。 ## 组件 | 文件 | 作用 | |------|------| | `fortideceptor_poc_test.sh` | **引擎** — 16 个攻击模块(SSH、SMB、RDP、HTTP、SAP、DC/LDAP、摄像头/RTSP、打印机/JetDirect、DB、SNMP、OT/Modbus/S7…)。自动安装缺失的工具;每个网络操作都有超时限制。 | | `fd_poc_runner.sh` | **运行器** — 你运行的命令。从 CSV/配置/CLI 读取诱饵,根据诱饵名称自动映射模块,自动检测本地子网,并将所有内容整合到一个 `MASTER_.csv` 中。 | | `decoys.example.conf` | 配置模板(占位 IP)。 | | `RUNBOOK.txt` | 逐步操作现场手册。 | ## 快速开始 ``` chmod +x *.sh # 最简单的方法:提供 FortiDeceptor "Decoy Status" CSV 导出文件 ./fd_poc_runner.sh --csv decoy_status.csv --list # preview the plan ./fd_poc_runner.sh --csv decoy_status.csv --dry-run # no packets sent ./fd_poc_runner.sh --csv decoy_status.csv # run # 或使用 config file / inline / manual ./fd_poc_runner.sh --config decoys.conf ./fd_poc_runner.sh --decoys "SAP-01:10.0.0.5,10.1.0.5 DC-01:10.0.0.6" ./fd_poc_runner.sh --targets "10.0.0.5" --only ssh,smb,http ``` ## 诱饵名称 → 模块自动映射 | 名称包含 | 模块 | |---|---| | `sap` | sap, ssh, http, ftp | | `win / wsrv / dc / domain / srv` | smb, rdp, dc (ldap/kerberos) | | `ubuntu / linux / nix` | ssh, http, ftp, database | | `cam / camera / nvr / dvr` | camera (rtsp/onvif), http, telnet | | `print / iot / jetdirect / hp` | printer (9100/631/515), snmp, http | | `scada / plc / modbus / ot` | ot (modbus/s7/bacnet) | | *未知* | ssh, telnet, ftp, smb, http, rdp, database, snmp | `recon` + `portscan` 始终会被添加。可以在配置的第三列中覆盖单个诱饵的模块。 ## 输出与对比 每次运行都会生成 `fd_poc_logs/MASTER_.csv`,包含以下列: `timestamp, decoy, module, target, port, protocol, action, result`。 为了衡量覆盖率,请将 FortiDeceptor 的 **Incident** 列表(通过攻击者/源 IP + 测试时间窗口进行过滤)导出为 CSV,并根据 `decoy IP + service/protocol + time window` 与主 CSV 进行匹配。FortiDeceptor 会将许多操作聚合为较少的事件,因此请在诱饵+服务级别进行比较,而不是逐行比较。 Infinitum IT — Purple Team
标签:Cutter, PE 加载器, XXE攻击, 应用安全, 插件系统, 攻击模拟, 紫队, 蜜罐验证, 驱动签名利用