ait-testbed/attackbed
GitHub: ait-testbed/attackbed
一个基于 OpenStack 的企业级网络攻防靶场,支持自动化执行多种 MITRE ATT&CK 攻击场景并采集日志与流量数据用于安全研究和 IDS 评估。
Stars: 15 | Forks: 6
# 欢迎来到 AttackBed! 
AttackBed 是一个模拟的企业网络,其中包含大量的漏洞。该测试平台可用于自动启动多种攻击场景(使用 AttackMate)并收集日志数据(Apache 访问日志、DNS 日志、Syslog、身份验证日志、审计日志、Suricata 日志、Exim/Mail 日志、监控日志等)以及网络流量,用于取证或实时分析及 IDS 评估。这些攻击场景旨在涵盖 MITRE ATT&CK 企业框架中尽可能多的战术和技术。本代码库包含设置此类测试平台并在虚拟化环境中启动攻击场景所需的所有脚本。
## 场景
该测试平台由通过防火墙连接的三个网段组成:Internet(包含公共 DNS 服务器)、DMZ(包含视频服务器)和 Intranet(包含用户主机)。这些场景被设计为多步骤攻击;为了包含尽可能多的不同攻击技术,攻击场景可以通过特定攻击步骤的多种不同变体来启动。每个场景针对网络中的特定组件或服务,具体描述如下。
### 视频服务器场景
在视频服务器场景中,攻击者首先扫描网络以寻找漏洞。在发现视频服务器上存在易受攻击的 CCTV 软件后,攻击者通过未经身份验证的远程代码执行获得对 DMZ 的访问权限。随后,攻击者利用其中的一个漏洞进行权限提升。最后,利用 root 权限,攻击者能够暂时暂停 CCTV 图像,这可能会让入侵者在未被记录的情况下从物理上侵入企业。
### Linux 恶意软件场景
Linux 恶意软件场景使用与视频服务器场景相同的网络组件。攻击者通过远程服务获得对系统的访问权限,并在那里设法提升其权限。接下来,恶意行为者安装一个后渗透工具包(Post Exploitation Toolkit)以维持其访问权限。在该场景的一个变体中,攻击者安装了一个 Linux Rootkit 来隐藏后渗透工具包。
### 横向移动场景
在横向移动场景中,攻击者通过各种远程服务获得对 DMZ 中 Repository Server 的访问权限。通过嗅探网络连接,他们获得了提供管理员权限的访问凭证。接下来,恶意行为者通过各种漏洞获得对局域网中 Linux 共享的访问权限。最后,攻击者在目标系统上执行各种恶意 Payload(例如勒索软件攻击)。
### 网络场景
在此网络场景中,攻击者从 DMZ 中的 Repository Server 开始访问。通过重用窃取的凭证,他们获得对防火墙的 SSH 访问权限,并安装带有端口敲击(Port Knocking)功能的恶意软件,以建立持久性并逃避检测。敲击序列触发一个脚本,该脚本下载并运行 Sliver 恶意软件,允许攻击者远程控制防火墙。然后,他们修改 iptables 规则,使 DMZ 主机能够连接到内部网络。利用 DMZ 主机作为跳板机(Pivot),攻击者通过凭证重用获得对 LAN 中 Linux 文件共享服务器的访问权限。
### LAN Turtle 场景
在 LAN Turtle 场景中,攻击者将非法设备引入内部网络,并执行 ARP 欺骗攻击以拦截客户端和防火墙之间的流量。当客户端通过 HTTP 连接到 DMZ 中的 VideoServer 时,攻击者发起 SSL 剥离攻击以劫持会话。通过窃取会话 Cookie,攻击者能够冒充用户并获得对 DMZ 中 VideoServer Web 界面的未授权访问。
### 客户端场景
此场景模拟针对最终用户工作站的攻击,侧重于用于获取初始访问权限并在客户端机器上建立持久性的常用方法。攻击者通过社会工程学获得初始访问权限,要么通过说服用户打开包含有害宏的恶意 Office 文档,要么通过诱骗他们安装并通过远程访问软件(屏幕共享工具)授予访问权限。一旦获得访问权限,攻击者就通过将常用应用程序二进制文件(Web 浏览器)替换为恶意版本,或使用用户级别的 Cron 任务安排恶意任务来建立持久性。另一种途径涉及安装恶意浏览器插件,该插件随后能够窃取敏感的用户信息,例如击键记录、浏览器中的表单数据和剪贴板内容。
### Docker 场景
攻击者首先枚举并暴力破解 DNS、SMTP 和 IMAP,以获取可用于 Nextcloud 的凭证。接下来,他们利用 Nextcloud 中的远程代码执行漏洞获得对 Docker 容器的访问权限。在利用暴露的 Docker-daemon 后,他们最终能够逃逸到 Docker 主机,并使用 Sliver 恶意软件建立持久性。
### MITRE Navigator
下图显示了上述场景目前涵盖的战术和技术:
## 环境要求
* [OpenStack](https://www.openstack.org/)
* [OpenTofu](https://opentofu.org/)
* [Terragrunt](https://terragrunt.gruntwork.io/)
* [Ansible](https://www.ansible.com/)
## 文档
* [安装](https://aeciddocs.ait.ac.at/attackbed/current/installation/overview.html)
* [文档](https://aeciddocs.ait.ac.at/attackbed/current/)
## 出版物
如果您使用该测试平台环境或任何生成的数据集,请引用以下出版物:
* Landauer M., Skopik F., Frank M., Hotwagner W., Wurzenberger M., Rauber A. (2023): [Maintainable Log Datasets for Evaluation of Intrusion Detection Systems.](https://ieeexplore.ieee.org/abstract/document/9866880) IEEE Transactions on Dependable and Secure Computing, vol. 20, no. 4, pp. 3466-3482. \[[PDF](https://arxiv.org/pdf/2203.08580.pdf)\]
* Landauer M., Skopik F., Wurzenberger M., Hotwagner W., Rauber A. (2021): [Have It Your Way: Generating Customized Log Data Sets with a Model-driven Simulation Testbed.](https://ieeexplore.ieee.org/document/9262078) IEEE Transactions on Reliability, Vol.70, Issue 1, pp. 402-415. IEEE. \[[PDF](https://www.skopik.at/ait/2020_trel.pdf)\]
* Landauer M., Frank M., Skopik F., Hotwagner W., Wurzenberger M., Rauber A. (2022): [A Framework for Automatic Labeling of Log Datasets from Model-driven Testbeds for HIDS Evaluation.](https://dl.acm.org/doi/abs/10.1145/3510547.3517924) Proceedings of the Workshop on Secure and Trustworthy Cyber-Physical Systems, pp. 77-86. ACM. \[[PDF](https://www.skopik.at/ait/2022_satcps.pdf)\]
## 联系方式
[Austrian Institute of Technology](https://www.ait.ac.at/en/research-topics/cyber-security)
## 许可证
GNU General Public License v3.0
## 资金支持
由欧盟资助,资助协议号 101121403 (NEWSROOM) 和 101103385 (AInception)。然而,所表达的观点和意见仅代表作者本人,并不一定反映欧盟或欧盟委员会的观点。欧盟和资助机构均不对这些观点负责。另由 Horizon Europe 项目 MIRANDA (101168144) 提供支持。由奥地利财政部 (BMF) 的奥地利安全研究项目 KIRAS 共同资助,涉及项目 ASOC (FO999905301) 和 Testcat (FO999911248)。
AttackBed 是一个模拟的企业网络,其中包含大量的漏洞。该测试平台可用于自动启动多种攻击场景(使用 AttackMate)并收集日志数据(Apache 访问日志、DNS 日志、Syslog、身份验证日志、审计日志、Suricata 日志、Exim/Mail 日志、监控日志等)以及网络流量,用于取证或实时分析及 IDS 评估。这些攻击场景旨在涵盖 MITRE ATT&CK 企业框架中尽可能多的战术和技术。本代码库包含设置此类测试平台并在虚拟化环境中启动攻击场景所需的所有脚本。
## 场景
该测试平台由通过防火墙连接的三个网段组成:Internet(包含公共 DNS 服务器)、DMZ(包含视频服务器)和 Intranet(包含用户主机)。这些场景被设计为多步骤攻击;为了包含尽可能多的不同攻击技术,攻击场景可以通过特定攻击步骤的多种不同变体来启动。每个场景针对网络中的特定组件或服务,具体描述如下。
### 视频服务器场景
在视频服务器场景中,攻击者首先扫描网络以寻找漏洞。在发现视频服务器上存在易受攻击的 CCTV 软件后,攻击者通过未经身份验证的远程代码执行获得对 DMZ 的访问权限。随后,攻击者利用其中的一个漏洞进行权限提升。最后,利用 root 权限,攻击者能够暂时暂停 CCTV 图像,这可能会让入侵者在未被记录的情况下从物理上侵入企业。
### Linux 恶意软件场景
Linux 恶意软件场景使用与视频服务器场景相同的网络组件。攻击者通过远程服务获得对系统的访问权限,并在那里设法提升其权限。接下来,恶意行为者安装一个后渗透工具包(Post Exploitation Toolkit)以维持其访问权限。在该场景的一个变体中,攻击者安装了一个 Linux Rootkit 来隐藏后渗透工具包。
### 横向移动场景
在横向移动场景中,攻击者通过各种远程服务获得对 DMZ 中 Repository Server 的访问权限。通过嗅探网络连接,他们获得了提供管理员权限的访问凭证。接下来,恶意行为者通过各种漏洞获得对局域网中 Linux 共享的访问权限。最后,攻击者在目标系统上执行各种恶意 Payload(例如勒索软件攻击)。
### 网络场景
在此网络场景中,攻击者从 DMZ 中的 Repository Server 开始访问。通过重用窃取的凭证,他们获得对防火墙的 SSH 访问权限,并安装带有端口敲击(Port Knocking)功能的恶意软件,以建立持久性并逃避检测。敲击序列触发一个脚本,该脚本下载并运行 Sliver 恶意软件,允许攻击者远程控制防火墙。然后,他们修改 iptables 规则,使 DMZ 主机能够连接到内部网络。利用 DMZ 主机作为跳板机(Pivot),攻击者通过凭证重用获得对 LAN 中 Linux 文件共享服务器的访问权限。
### LAN Turtle 场景
在 LAN Turtle 场景中,攻击者将非法设备引入内部网络,并执行 ARP 欺骗攻击以拦截客户端和防火墙之间的流量。当客户端通过 HTTP 连接到 DMZ 中的 VideoServer 时,攻击者发起 SSL 剥离攻击以劫持会话。通过窃取会话 Cookie,攻击者能够冒充用户并获得对 DMZ 中 VideoServer Web 界面的未授权访问。
### 客户端场景
此场景模拟针对最终用户工作站的攻击,侧重于用于获取初始访问权限并在客户端机器上建立持久性的常用方法。攻击者通过社会工程学获得初始访问权限,要么通过说服用户打开包含有害宏的恶意 Office 文档,要么通过诱骗他们安装并通过远程访问软件(屏幕共享工具)授予访问权限。一旦获得访问权限,攻击者就通过将常用应用程序二进制文件(Web 浏览器)替换为恶意版本,或使用用户级别的 Cron 任务安排恶意任务来建立持久性。另一种途径涉及安装恶意浏览器插件,该插件随后能够窃取敏感的用户信息,例如击键记录、浏览器中的表单数据和剪贴板内容。
### Docker 场景
攻击者首先枚举并暴力破解 DNS、SMTP 和 IMAP,以获取可用于 Nextcloud 的凭证。接下来,他们利用 Nextcloud 中的远程代码执行漏洞获得对 Docker 容器的访问权限。在利用暴露的 Docker-daemon 后,他们最终能够逃逸到 Docker 主机,并使用 Sliver 恶意软件建立持久性。
### MITRE Navigator
下图显示了上述场景目前涵盖的战术和技术:
## 环境要求
* [OpenStack](https://www.openstack.org/)
* [OpenTofu](https://opentofu.org/)
* [Terragrunt](https://terragrunt.gruntwork.io/)
* [Ansible](https://www.ansible.com/)
## 文档
* [安装](https://aeciddocs.ait.ac.at/attackbed/current/installation/overview.html)
* [文档](https://aeciddocs.ait.ac.at/attackbed/current/)
## 出版物
如果您使用该测试平台环境或任何生成的数据集,请引用以下出版物:
* Landauer M., Skopik F., Frank M., Hotwagner W., Wurzenberger M., Rauber A. (2023): [Maintainable Log Datasets for Evaluation of Intrusion Detection Systems.](https://ieeexplore.ieee.org/abstract/document/9866880) IEEE Transactions on Dependable and Secure Computing, vol. 20, no. 4, pp. 3466-3482. \[[PDF](https://arxiv.org/pdf/2203.08580.pdf)\]
* Landauer M., Skopik F., Wurzenberger M., Hotwagner W., Rauber A. (2021): [Have It Your Way: Generating Customized Log Data Sets with a Model-driven Simulation Testbed.](https://ieeexplore.ieee.org/document/9262078) IEEE Transactions on Reliability, Vol.70, Issue 1, pp. 402-415. IEEE. \[[PDF](https://www.skopik.at/ait/2020_trel.pdf)\]
* Landauer M., Frank M., Skopik F., Hotwagner W., Wurzenberger M., Rauber A. (2022): [A Framework for Automatic Labeling of Log Datasets from Model-driven Testbeds for HIDS Evaluation.](https://dl.acm.org/doi/abs/10.1145/3510547.3517924) Proceedings of the Workshop on Secure and Trustworthy Cyber-Physical Systems, pp. 77-86. ACM. \[[PDF](https://www.skopik.at/ait/2022_satcps.pdf)\]
## 联系方式
[Austrian Institute of Technology](https://www.ait.ac.at/en/research-topics/cyber-security)
## 许可证
GNU General Public License v3.0
## 资金支持
由欧盟资助,资助协议号 101121403 (NEWSROOM) 和 101103385 (AInception)。然而,所表达的观点和意见仅代表作者本人,并不一定反映欧盟或欧盟委员会的观点。欧盟和资助机构均不对这些观点负责。另由 Horizon Europe 项目 MIRANDA (101168144) 提供支持。由奥地利财政部 (BMF) 的奥地利安全研究项目 KIRAS 共同资助,涉及项目 ASOC (FO999905301) 和 Testcat (FO999911248)。标签:AttackMate, CCTV漏洞, CISA项目, Cloudflare, CSV导出, DAST, DNS 解析, HTTP工具, IDS评估, IP 地址批量处理, Metaprompt, MITRE ATT&CK, Mr. Robot, PE 加载器, Web报告查看器, 安全测试床, 恶意软件分析, 提权, 插件系统, 攻击场景生成, 模拟企业网络, 漏洞模拟, 系统提示词, 编程工具, 网络安全, 网络安全审计, 网络靶场, 自动化攻击, 请求拦截, 远程代码执行, 隐私保护