zencefilefendi/aegis-range

GitHub: zencefilefendi/aegis-range

该项目是一个零成本运行的 AWS 攻防网络靶场与安全培训平台,通过模拟真实攻击链与自主防御响应来提供可度量的 SOC 演练体验。

Stars: 0 | Forks: 0

# 🛡️ Aegis 范围 [![CI](https://static.pigsec.cn/wp-content/uploads/repos/cas/ad/ad5834178f7599af9fdda11629d49cae07f2997beec49821b2920eff5bfd50e7.svg)](https://github.com/zencefilefendi/aegis-range/actions/workflows/ci.yml) [![License: MIT](https://img.shields.io/badge/License-MIT-yellow.svg)](LICENSE) [![Python 3.11+](https://img.shields.io/badge/python-3.11%2B-blue)](pyproject.toml) [![Zero cost](https://img.shields.io/badge/cost-%240%20(sim%20mode)-4dffb0)](docs/ANALIZ.md) [![PRs welcome](https://img.shields.io/badge/PRs-welcome-31e6ff.svg)](CONTRIBUTING.md) **面向 AWS 的实时攻防 ↔ 防御性网络靶场 + 培训平台。** Aegis Range 是一个网络靶场,它能够运行真实的 AWS 攻击链(IAM privilege escalation、 honeytoken tripwire、IMDSv1 SSRF + role chaining),并让用户在一个**黑暗、充满未来感的实时 dashboard** 中逐行观察**真正自主防御的启动过程**。它包含一个**场景库**、一个 **detection-as-code 规则引擎**,并提供**诚实的 SOC 指标**(dwell time / MTTR / 相对于 GuardDuty 的响应速度)。它可以在笔记本电脑上以零成本 / 零风险运行;并能够逐步扩展到真实的 AWS 环境中。 ## 快速开始 (30 秒,无需 Docker) ``` make test # 33 uçtan uca test (sim, Docker gerekmez) make run # sim modda canlı sunucu # 浏览器: http://127.0.0.1:8000 · /console (Analyst Console) · /graph · /ctf ``` 作为包安装:`pip install -e ".[localstack,triage]" && aegis` · 所有命令:`make help`. `sim` 模式使用纯粹的 Python 标准库运行(无依赖、无网络、 无成本)——在实时演示中它是**坚不可摧的**。 ## 使用真实 AWS API (LocalStack) ``` pip install -r requirements.txt docker compose up -d # LocalStack: IAM/STS/Lambda/EventBridge ./scripts/demo.sh localstack # gerçek boto3 çağrıları ``` 相同的引擎,相同的场景——唯一的区别是:在 `localstack` 模式下,观察者能够看到**真实的 AWS API 流量**(你可以使用 `awslocal iam list-users` 来检查资源)。 ## Kill-Chain (在 dashboard 中实时流动的故事) | 阶段 | 发生了什么 | 真实技术 | |---|---|---| | **Setup** | 建立脆弱的实验环境:`intern` 用户仅有 `iam:PassRole` + `lambda:CreateFunction/InvokeFunction` 权限 | Rhino Security Labs "21 种 IAM privesc 路径" | | **攻击** | intern 无法直接成为管理员 (AccessDenied) → 将管理员角色 **PASS** 给一个 Lambda → 调用 → **Shadow Admin** | Aqua Security "Shadow Roles" | | **传感器** | 行为转换为 GuardDuty 模式的 finding → 匹配 EventBridge 规则 | GuardDuty → EventBridge | | **Aegis** | 5 步自主响应:隔离 → 撤销管理员/密钥 → 删除 Lambda → 取证 → 通知 | SOAR / auto-remediation | | **结果** | "攻击成功 ✔,自主防御成功将其消除 ✔" | — | ## 场景库 从 dashboard 的选择器中选择一个场景,点击 "开始攻击" (SALDIRIYI BAŞLAT)。每个场景 都会经历相同的 `攻击→检测→响应→指标` 循环,但使用的是**不同的检测 源**——这才是核心要点: | 场景 | 技术 | 检测源 | 真实 dwell time | |---|---|---|---| | **Shadow-Admin** | `iam:PassRole` → Lambda → AdministratorAccess | GuardDuty (mock) | ~5–15 分钟 | | **Honeytoken Tripwire** | 使用植入的 canary 密钥 | Deception | ~秒–分钟 | | **IMDS SSRF + Role Chaining** | SSRF → 窃取 IMDSv1 cred → `sts:AssumeRole` 链 | Runtime eBPF | ~秒 | ## SOC 指标 (真实的响应速度故事) 每次运行结束后,面板都会显示 **dwell time**(违规→检测)、**MTTR** (检测→遏制)以及**总暴露时间**——这不是来自模拟时间,而是来自检测源 **真实的 AWS 带宽**。结果是可衡量且真实的: Honeytoken 和 runtime eBPF 的检测速度比 GuardDuty **快几十倍**。这是真实的工程实践,而不是 "0.08 ms" 的童话:*速度是检测源的 函数。* ## 分层架构 - **Tier 0 — Offline (无需账号):** 使用 PMapper + Cloudsplaining 绘制 IAM privesc 图谱。 - **Tier 1 — LocalStack (本仓库的核心):** Aegis Range 平台。 - **Tier 2 — 真实 AWS Free Tier:** CloudGoat、IAM Vulnerable、Stratus Red Team, 真实的 GuardDuty/CloudTrail,Falco/Tetragon (eBPF)。 完整架构:[`docs/MIMARI.md`](docs/MIMARI.md)。 ## 项目结构 ``` aegis/ çekirdek: config, model, events(EventBus+SSE), awsfacade(sim|localstack), metrics(dwell/MTTR/blast-radius), engine, server attack/ scenarios.py + 7 senaryo: passrole_privesc, honeytoken, imds_ssrf, s3_ransomware, secrets_exfil, ssm_lateral, cross_account (ofansif) detect/ engine.py (kural motoru) · sigma.py (Sigma ihracı) · cloudtrail_adapter.py · flowlog_adapter.py (VPC Flow Logs) + örnekler defense/ remediation.py — finding'e göre otonom müdahale (defansif) analysis/ iam_graph · sample_org · remediation_advice · bloodhound (Cypher) · terraform_fix (HCL patch) · posture (Prowler-tarzı) — Tier 0 aegis/triage.py LLM triage (Claude API `claude-opus-4-8` + deterministik fallback) ctf/ engine.py · store.py (SQLite kalıcı, çok-takımlı) — Red-vs-Blue CTF sensors/ runtime_sensor.py + falco_rules.yaml — eBPF/Falco runtime tespiti dashboard/ index.html · console.html (Analyst Console) · graph.html · ctf.html infra/ terraform/ (Tier 2 gerçek AWS zafiyetli lab) · docker-compose (LocalStack) docs/ ANALIZ · MIMARI · MUFREDAT · KONUSMA-DURUST · TIER2-RUNTIME .github/ workflows/ci.yml — testler + Falco/Sigma YAML doğrulama paket pyproject.toml · Makefile · LICENSE (MIT) · `python -m aegis` tests/ test_pipeline.py — 33 test, uçtan uca (sim modda) ``` **Analyst Console (`/console`):** posture 得分 + 攻击面 (下载 Cypher/Terraform) + LLM triage + 实时日志分析——v4 的所有功能汇聚在一个黑暗的屏幕上。 **v4 API 端点:** `/api/bloodhound` (Neo4j/Cypher 图谱) · `/api/terraform-fix` (HCL 强化补丁) · `/api/posture` (Prowler 风格得分) · `POST /api/analyze-flowlogs` (VPC Flow Logs) · `POST /api/triage` (LLM/启发式 triage) · `POST /api/analyze-cloudtrail`. **附加视图 (服务器运行时):** `/` 实时靶场 · [`/console`](http://127.0.0.1:8000/console) Analyst Console · [`/graph`](http://127.0.0.1:8000/graph) IAM privesc 图谱 · [`/ctf`](http://127.0.0.1:8000/ctf) Red-vs-Blue 计分板。 ## 附加功能 (v2+) - **IAM Privesc 图谱 (Tier 0, 无需账号):** `/graph` — 从 IAM 配置中静态推导出 攻击者可能利用的所有 privilege-escalation 路径 (PMapper/BloodHound 逻辑)。无需攻击;只需地图。 - **Red-vs-Blue CTF:** `/ctf` — 游戏化计分板。只要 RED 保持隐蔽, BLUE 快速检测到就能得分 → 缓慢的检测 (GuardDuty) 让 RED 获胜,快速的 检测 (Honeytoken/eBPF) 让 BLUE 获胜。非常适合俱乐部活动。 - **Runtime eBPF 传感器:** `sensors/` — 在 IMDS 场景中发布真实的 syscall 遥测数据 (connect 169.254.169.254 / execve curl / openat ~/.aws/credentials) 并与可部署的真实 **Falco 规则** (`falco_rules.yaml`) 完全匹配。真实的 AWS + kind/EKS 指南:[`docs/TIER2-RUNTIME.md`](docs/TIER2-RUNTIME.md)。 ### 高级功能 (v3) - **6 种攻击场景** — Shadow-Admin、Honeytoken、IMDS SSRF + role chaining、 **S3 Ransomware**、**Secrets Manager exfil**、**SSM lateral movement**。每次运行都有 **blast-radius** (影响) 得分 — "攻击者能触达什么"。 - **Detection-as-code 可移植性** — `/api/sigma` 将规则导出为 **Sigma YAML**; 可以部署到任何 SIEM (Elastic/Splunk/Sentinel)。 - **图谱 → 行动** — `/graph` 为每条 privesc 路径建议**最小修复方案** (移除 PassRole / 强制要求 IMDSv2 / 收缩 trust),并附带要执行的 AWS API。 - **真实的 CloudTrail 数据接入** — `POST /api/analyze-cloudtrail` 将真实的 CloudTrail JSON 传入相同的规则引擎;弥合了模拟→真实的鸿沟。 - **持久化的多人 CTF** — 使用 `AEGIS_CTF_DB=ctf.db` 的 SQLite 计分板; 可承受重启,包含团队排行榜。 - **CI + Tier 2 Terraform** — 运行 GitHub Actions 测试;`infra/terraform/` 在真实的 AWS 中提供脆弱的实验环境(类似 CloudGoat)。 ## 培训 为期 8 周的 AWS 俱乐部课程:[`docs/MUFREDAT.md`](docs/MUFREDAT.md)。 为演讲者提供的诚实演讲稿:[`docs/KONUSMA-DURUST.md`](docs/KONUSMA-DURUST.md)。 ## 道德与授权 Aegis Range 仅适用于**隔离的、经授权的**环境(你自己的 LocalStack 或你自己的测试 AWS 账号)。Tier 2 工具(Pacu、CloudGoat 等)只能在你拥有 或获得明确授权的账号中使用——适用 AWS Acceptable Use Policy。 ## 许可证 MIT (建议)。复用的工具根据其各自的许可证进行致谢(参见 `docs/MIMARI.md`)。
标签:Docker镜像, 请求拦截, 逆向工具