mrflippermen/flipper-atack
GitHub: mrflippermen/flipper-atack
一款基于 Flipper Zero BadUSB 的红队攻击与数字取证培训套件,通过模拟真实攻击链并生成可检测的取证痕迹来训练攻防双方。
Stars: 0 | Forks: 0
# 🎯 AUSTRALIS 红队工具库
## 专业进攻性安全与数字取证培训套件
[](https://attack.mitre.org/)
[](https://www.microsoft.com/windows)
[](https://flipperzero.one/)
## 📋 概述
**AUSTRALIS** 是一款企业级的红队工具包,专为进攻性安全操作和数字取证培训而设计。该套件提供真实的对手模拟模块,可生成真实的取证痕迹,使蓝队分析师能够在受控环境中练习检测、事件响应和时间线重建。
### 🎯 任务
通过以下方式培训网络安全专业人员:
- **红队操作**:使用 Flipper Zero BadUSB 执行真实的攻击链
- **蓝队实践**:分析取证痕迹(Event Logs、Registry、USN Journal、Memory)
- **事件响应**:练习证据收集、时间线分析和归因
## 🗂️ 模块目录
### 🔑 凭据访问
| 模块 | MITRE 技术 | 描述 |
|:-------|:----------------|:------------|
| **Credential_Phishing** | [T1056.002](https://attack.mitre.org/techniques/T1056/002/) | 通过虚假提示进行基于 GUI 的凭据收集 |
| **Credential_OS_Dump** | [T1003.002](https://attack.mitre.org/techniques/T1003/002/) | 提取 SAM/SYSTEM 注册表配置单元用于离线破解 |
### 🔍 发现
| 模块 | MITRE 技术 | 描述 |
|:-------|:----------------|:------------|
| **Discovery_WiFi_Exfiltration** | [T1016](https://attack.mitre.org/techniques/T1016/) | 提取并外发已保存的 Wi-Fi 配置文件/密码 |
| **Discovery_WiFi_Demo** | [T1016](https://attack.mitre.org/techniques/T1016/) | 带 UI 反馈的演示变体 |
| **Discovery_System_Recon** | [T1082](https://attack.mitre.org/techniques/T1082/) | 全面的系统枚举(OS、硬件、网络、软件) |
### 📦 收集
| 模块 | MITRE 技术 | 描述 |
|:-------|:----------------|:------------|
| **Collection_BrowserForensics** | [T1005](https://attack.mitre.org/techniques/T1005/) | 提取浏览器历史记录、cookie、密码(Chrome、Edge、Firefox、Opera) |
| **Collection_Audio_Surveillance** | [T1123](https://attack.mitre.org/techniques/T1123/) | 通过麦克风进行环境录音 |
| **Collection_Screenshot_Demo** | [T1113](https://attack.mitre.org/techniques/T1113/) | 带有可视指示器的屏幕捕获 |
| **Collection_Screenshot_Stealth** | [T1113](https://attack.mitre.org/techniques/T1113/) | 隐蔽的屏幕捕获 |
### ⏱️ 持久化
| 模块 | MITRE 技术 | 描述 |
|:-------|:----------------|:------------|
| **Persistence_Keylogger** | [T1056.001](https://attack.mitre.org/techniques/T1056/001/) | 带有 Dropbox 外发与 timestomping 的键盘输入记录器 |
### 🛡️ 防御规避
| 模块 | MITRE 技术 | 描述 |
|:-------|:----------------|:------------|
| **Defense_Evasion_Cleanup** | [T1070](https://attack.mitre.org/techniques/T1070/) | 反取证清理(日志、历史记录、临时文件、回收站) |
## 🚀 快速开始
### 前置条件
- **硬件**:具有 BadUSB 功能的 Flipper Zero
- **目标**:Windows 10/11 系统(测试环境)
- **外发**:Dropbox API token 和/或 Discord webhook(可选)
### 部署工作流
1️⃣ **配置外发**(可选)
```
# 设置环境变量或直接编辑 scripts
$env:DROPBOX_TOKEN = "your_token_here"
$env:DISCORD_WEBHOOK = "your_webhook_url"
```
2️⃣ **将 Payload 加载到 Flipper Zero**
```
Copy DuckyScript_*.txt from desired module to Flipper Zero:
SD Card → badusb → [payload_name].txt
```
3️⃣ **执行攻击**
- 将 Flipper Zero 连接到目标 Windows 机器
- 导航到 Bad USB → 选择 payload → 执行
- Flipper 将注入击键以启动 PowerShell 并执行模块
4️⃣ **取证分析**(蓝队)
- 有关痕迹位置,请参阅 [FORENSICS_GUIDE.md](FORENSICS_GUIDE.md)
- 使用 KAPE、EvtxECmd、Registry Explorer、Volatility 练习检测
## 📚 文档
- **[DEPLOYMENT.md](DEPLOYMENT.md)** - 详细的部署说明与配置
- **[FORENSICS_GUIDE.md](FORENSICS_GUIDE.md)** - 蓝队痕迹分析指南
- **[MODULES.md](MODULES.md)** - 包含使用示例的完整模块参考
- **[SECURITY.md](SECURITY.md)** - 安全策略与负责任的披露
## 🧪 生成的取证痕迹
每个模块都会为培训创建特定的取证证据:
| 痕迹类型 | 检测方法 | 模块 |
|:--------------|:-----------------|:--------|
| **Event ID 4104**(PowerShell 脚本块) | Windows Event Logs | 所有模块 |
| **Prefetch 文件** | `C:\Windows\Prefetch\POWERSHELL.EXE-*.pf` | 所有模块 |
| **USN Journal 泛洪** | 文件系统时间线异常 | Discovery_System_Recon |
| **备用数据流** | `Get-Item -Stream *` | Credential_Phishing |
| **Timestomping** | USN Journal 与 $MFT 时间戳不匹配 | Persistence_Keylogger |
| **ShellBags** | `UsrClass.dat` 注册表分析 | Collection_BrowserForensics |
## ⚖️ 法律与合规使用
**免责声明**:作者不对滥用行为负责。用户对其行为承担全部法律责任。
## 📞 支持与联系
- **问题**:通过 GitHub Issues 提交
- **安全**:有关漏洞报告,请参阅 [SECURITY.md](SECURITY.md)
- **文档**:查看 [MODULES.md](MODULES.md) 了解详细用法
**专为 AUSTRALIS 取证团队打造** 🦘🔒
标签:AI合规, BadUSB, Flipper Zero, Libemu, 后渗透, 攻防训练, 数字取证, 无线安全, 自动化脚本, 蓝队演练