zencefilefendi/aegis-range
GitHub: zencefilefendi/aegis-range
该项目是一个零成本运行的 AWS 攻防网络靶场与安全培训平台,通过模拟真实攻击链与自主防御响应来提供可度量的 SOC 演练体验。
Stars: 0 | Forks: 0
# 🛡️ Aegis 范围
[](https://github.com/zencefilefendi/aegis-range/actions/workflows/ci.yml)
[](LICENSE)
[](pyproject.toml)
[-4dffb0)](docs/ANALIZ.md)
[](CONTRIBUTING.md)
**面向 AWS 的实时攻防 ↔ 防御性网络靶场 + 培训平台。**
Aegis Range 是一个网络靶场,它能够运行真实的 AWS 攻击链(IAM privilege escalation、
honeytoken tripwire、IMDSv1 SSRF + role chaining),并让用户在一个**黑暗、充满未来感的实时
dashboard** 中逐行观察**真正自主防御的启动过程**。它包含一个**场景库**、一个
**detection-as-code 规则引擎**,并提供**诚实的 SOC 指标**(dwell time /
MTTR / 相对于 GuardDuty 的响应速度)。它可以在笔记本电脑上以零成本 / 零风险运行;并能够逐步扩展到真实的
AWS 环境中。
## 快速开始 (30 秒,无需 Docker)
```
make test # 33 uçtan uca test (sim, Docker gerekmez)
make run # sim modda canlı sunucu
# 浏览器: http://127.0.0.1:8000 · /console (Analyst Console) · /graph · /ctf
```
作为包安装:`pip install -e ".[localstack,triage]" && aegis` · 所有命令:`make help`.
`sim` 模式使用纯粹的 Python 标准库运行(无依赖、无网络、
无成本)——在实时演示中它是**坚不可摧的**。
## 使用真实 AWS API (LocalStack)
```
pip install -r requirements.txt
docker compose up -d # LocalStack: IAM/STS/Lambda/EventBridge
./scripts/demo.sh localstack # gerçek boto3 çağrıları
```
相同的引擎,相同的场景——唯一的区别是:在 `localstack` 模式下,观察者能够看到**真实的 AWS
API 流量**(你可以使用 `awslocal iam list-users` 来检查资源)。
## Kill-Chain (在 dashboard 中实时流动的故事)
| 阶段 | 发生了什么 | 真实技术 |
|---|---|---|
| **Setup** | 建立脆弱的实验环境:`intern` 用户仅有 `iam:PassRole` + `lambda:CreateFunction/InvokeFunction` 权限 | Rhino Security Labs "21 种 IAM privesc 路径" |
| **攻击** | intern 无法直接成为管理员 (AccessDenied) → 将管理员角色 **PASS** 给一个 Lambda → 调用 → **Shadow Admin** | Aqua Security "Shadow Roles" |
| **传感器** | 行为转换为 GuardDuty 模式的 finding → 匹配 EventBridge 规则 | GuardDuty → EventBridge |
| **Aegis** | 5 步自主响应:隔离 → 撤销管理员/密钥 → 删除 Lambda → 取证 → 通知 | SOAR / auto-remediation |
| **结果** | "攻击成功 ✔,自主防御成功将其消除 ✔" | — |
## 场景库
从 dashboard 的选择器中选择一个场景,点击 "开始攻击" (SALDIRIYI BAŞLAT)。每个场景
都会经历相同的 `攻击→检测→响应→指标` 循环,但使用的是**不同的检测
源**——这才是核心要点:
| 场景 | 技术 | 检测源 | 真实 dwell time |
|---|---|---|---|
| **Shadow-Admin** | `iam:PassRole` → Lambda → AdministratorAccess | GuardDuty (mock) | ~5–15 分钟 |
| **Honeytoken Tripwire** | 使用植入的 canary 密钥 | Deception | ~秒–分钟 |
| **IMDS SSRF + Role Chaining** | SSRF → 窃取 IMDSv1 cred → `sts:AssumeRole` 链 | Runtime eBPF | ~秒 |
## SOC 指标 (真实的响应速度故事)
每次运行结束后,面板都会显示 **dwell time**(违规→检测)、**MTTR**
(检测→遏制)以及**总暴露时间**——这不是来自模拟时间,而是来自检测源
**真实的 AWS 带宽**。结果是可衡量且真实的:
Honeytoken 和 runtime eBPF 的检测速度比 GuardDuty **快几十倍**。这是真实的工程实践,而不是 "0.08 ms" 的童话:*速度是检测源的
函数。*
## 分层架构
- **Tier 0 — Offline (无需账号):** 使用 PMapper + Cloudsplaining 绘制 IAM privesc 图谱。
- **Tier 1 — LocalStack (本仓库的核心):** Aegis Range 平台。
- **Tier 2 — 真实 AWS Free Tier:** CloudGoat、IAM Vulnerable、Stratus Red Team,
真实的 GuardDuty/CloudTrail,Falco/Tetragon (eBPF)。
完整架构:[`docs/MIMARI.md`](docs/MIMARI.md)。
## 项目结构
```
aegis/ çekirdek: config, model, events(EventBus+SSE), awsfacade(sim|localstack),
metrics(dwell/MTTR/blast-radius), engine, server
attack/ scenarios.py + 7 senaryo: passrole_privesc, honeytoken, imds_ssrf,
s3_ransomware, secrets_exfil, ssm_lateral, cross_account (ofansif)
detect/ engine.py (kural motoru) · sigma.py (Sigma ihracı) ·
cloudtrail_adapter.py · flowlog_adapter.py (VPC Flow Logs) + örnekler
defense/ remediation.py — finding'e göre otonom müdahale (defansif)
analysis/ iam_graph · sample_org · remediation_advice · bloodhound (Cypher) ·
terraform_fix (HCL patch) · posture (Prowler-tarzı) — Tier 0
aegis/triage.py LLM triage (Claude API `claude-opus-4-8` + deterministik fallback)
ctf/ engine.py · store.py (SQLite kalıcı, çok-takımlı) — Red-vs-Blue CTF
sensors/ runtime_sensor.py + falco_rules.yaml — eBPF/Falco runtime tespiti
dashboard/ index.html · console.html (Analyst Console) · graph.html · ctf.html
infra/ terraform/ (Tier 2 gerçek AWS zafiyetli lab) · docker-compose (LocalStack)
docs/ ANALIZ · MIMARI · MUFREDAT · KONUSMA-DURUST · TIER2-RUNTIME
.github/ workflows/ci.yml — testler + Falco/Sigma YAML doğrulama
paket pyproject.toml · Makefile · LICENSE (MIT) · `python -m aegis`
tests/ test_pipeline.py — 33 test, uçtan uca (sim modda)
```
**Analyst Console (`/console`):** posture 得分 + 攻击面 (下载 Cypher/Terraform) +
LLM triage + 实时日志分析——v4 的所有功能汇聚在一个黑暗的屏幕上。
**v4 API 端点:** `/api/bloodhound` (Neo4j/Cypher 图谱) · `/api/terraform-fix` (HCL
强化补丁) · `/api/posture` (Prowler 风格得分) · `POST /api/analyze-flowlogs`
(VPC Flow Logs) · `POST /api/triage` (LLM/启发式 triage) · `POST /api/analyze-cloudtrail`.
**附加视图 (服务器运行时):** `/` 实时靶场 · [`/console`](http://127.0.0.1:8000/console) Analyst Console · [`/graph`](http://127.0.0.1:8000/graph) IAM privesc 图谱 · [`/ctf`](http://127.0.0.1:8000/ctf) Red-vs-Blue 计分板。
## 附加功能 (v2+)
- **IAM Privesc 图谱 (Tier 0, 无需账号):** `/graph` — 从 IAM 配置中静态推导出
攻击者可能利用的所有 privilege-escalation 路径
(PMapper/BloodHound 逻辑)。无需攻击;只需地图。
- **Red-vs-Blue CTF:** `/ctf` — 游戏化计分板。只要 RED 保持隐蔽,
BLUE 快速检测到就能得分 → 缓慢的检测 (GuardDuty) 让 RED 获胜,快速的
检测 (Honeytoken/eBPF) 让 BLUE 获胜。非常适合俱乐部活动。
- **Runtime eBPF 传感器:** `sensors/` — 在 IMDS 场景中发布真实的 syscall
遥测数据 (connect 169.254.169.254 / execve curl / openat ~/.aws/credentials)
并与可部署的真实 **Falco 规则** (`falco_rules.yaml`)
完全匹配。真实的 AWS + kind/EKS 指南:[`docs/TIER2-RUNTIME.md`](docs/TIER2-RUNTIME.md)。
### 高级功能 (v3)
- **6 种攻击场景** — Shadow-Admin、Honeytoken、IMDS SSRF + role chaining、
**S3 Ransomware**、**Secrets Manager exfil**、**SSM lateral movement**。每次运行都有
**blast-radius** (影响) 得分 — "攻击者能触达什么"。
- **Detection-as-code 可移植性** — `/api/sigma` 将规则导出为 **Sigma YAML**;
可以部署到任何 SIEM (Elastic/Splunk/Sentinel)。
- **图谱 → 行动** — `/graph` 为每条 privesc 路径建议**最小修复方案**
(移除 PassRole / 强制要求 IMDSv2 / 收缩 trust),并附带要执行的 AWS API。
- **真实的 CloudTrail 数据接入** — `POST /api/analyze-cloudtrail` 将真实的 CloudTrail
JSON 传入相同的规则引擎;弥合了模拟→真实的鸿沟。
- **持久化的多人 CTF** — 使用 `AEGIS_CTF_DB=ctf.db` 的 SQLite 计分板;
可承受重启,包含团队排行榜。
- **CI + Tier 2 Terraform** — 运行 GitHub Actions 测试;`infra/terraform/` 在真实的
AWS 中提供脆弱的实验环境(类似 CloudGoat)。
## 培训
为期 8 周的 AWS 俱乐部课程:[`docs/MUFREDAT.md`](docs/MUFREDAT.md)。
为演讲者提供的诚实演讲稿:[`docs/KONUSMA-DURUST.md`](docs/KONUSMA-DURUST.md)。
## 道德与授权
Aegis Range 仅适用于**隔离的、经授权的**环境(你自己的 LocalStack
或你自己的测试 AWS 账号)。Tier 2 工具(Pacu、CloudGoat 等)只能在你拥有
或获得明确授权的账号中使用——适用 AWS Acceptable
Use Policy。
## 许可证
MIT (建议)。复用的工具根据其各自的许可证进行致谢(参见 `docs/MIMARI.md`)。
标签:Docker镜像, 请求拦截, 逆向工具