APT Simulator de Nextron Systems GmbH es un simple script en Batch para Windows que utiliza un conjunto de herramientas y archivos de salida para que el sistema parezca comprometido. Sus casos de uso son:

  • POC: agentes de detección de endpoint / herramientas de evaluación de compromiso
  • Poner a prueba las capacidades de detección y monitorización de la seguridad
  • Poner a prueba la respuesta de un SOC ante una amenaza que no sea un simple EICAR o un escaneo de puertos
  • Preparar un entorno para dar clases de forense

Hay que tener en cuenta que el objetivo de esta herramienta es simular la actividad de un atacante, no de malware.

Tienes otras herramientas más avanzadas como Caldera, Infection Monkey o Flightsim, pero para realizar pruebas rápidamente puede resultar una buena alternativa.

Instalación

Para instalarlo simplemente hay que descargar la última release, descomprimirla (contraseña apt) y ejecutar desde la línea de comandos como administrador APTSimulator.bat. El script en batch extraerá a continuación las herramientas y las shells del archivo 7z en tiempo de ejecución.

Técnicas

Las técnicas que realiza para la simulación son:

  1. dumps: guarda la salida de un listado de directorios y de pwdump al directorio de trabajo
  2. Recon: ejecuta el comando utilizado por los atacantes para obtener información sobre un sistema de destino
  3. DNS: busca varias direcciones conocidas de C2 para provocar solicitudes DNS y obtener las direcciones en el caché de DNS local
  4. Registro de eventos: crea entradas en el Eventlog que parecen haber ejecutado WCE
  5. Hosts: agrega entradas al archivo de hosts local (bloqueador de actualizaciones, entradas causadas por malware)
  6. Sticky Key Backdoor: intenta reemplazar sethc.exe con cmd.exe (se crea un archivo de backup). Intenta registrar cmd.exe como depurador para sethc.exe
  7. Ofuscación: coloca un archivo RAR oculto con extensión JPG
  8. Web Shells: crea un directorio web root y copia dentro webshells, incluido GIF
  9. Ncat alternativo: deja un Ncat en powershell en el directorio de trabajo
  10. Herramienta de ejecución remota: deja una herramienta de RCE en el directorio de trabajo
  11. Mimikatz: ejecuta una versión especial de mimikatz y deja la salida en el directorio de trabajo. Ejecuta también Invoke-Mimikatz en la memoria (descarga github, reflection)
  12. PsExec: vuelca una versión renombrada de PsExec al directorio de trabajo. Ejecuta PsExec para iniciar una consola en el contexto LOCAL_SYSTEM
  13. At Job: Crea una tarea at que ejecuta mimikatz y vuelca las credenciales al archivo
  14. Clave RUN: crea una nueva entrada de clave RUN sospechosa que vuelca la salida de «net user» en un archivo
  15. Ubicación sospechosa del archivo del sistema: suelta un ejecutable sospechoso con el nombre de archivo del sistema (svchost.exe) en la carpeta %PUBLIC%. Ejecuta ese programa sospechoso en la carpeta %PUBLIC%
  16. Usuario Invitado: Activa el usuario Invitado. Agrega usuarios invitados a los administradores locales
  17. LSASS DUMP: Vuelca la memoria de proceso de LSASS a una carpeta sospechosa
  18. Solicitudes de C2: Utiliza Curl para acceder a servidores C2 conocidos
  19. Agentes de usuario maliciosos: Utiliza agentes de usuario maliciosos para acceder a sitios web
  20. Creación de tareas programadas: crea una tarea programada que ejecuta mimikatz y vuelca el resultado a un archivo
  21. Descubrimiento de Nbtscan: escane 3 subredes privadas clase C de la dirección IP correspondiente y vuelca la salida al directorio de trabajo.

Herramientas integradas

  • Mimikatz
  • PowerSploit
  • PowerCat
  • PsExec
  • ProcDump
  • 7Zip

Fuente: Seguinfo

Compartir