每隔一段時間，安全行業就會出現一個新的熱門詞匯，并引入聽起來很酷以及吸引人們興趣的術語。比如最近出現的“adversary emulation”詞匯，我在本文將其翻譯為“攻擊模擬”。首先讓我們先來了解它的真正含義，模擬攻擊提供了一種用來測試網絡在應對高級攻擊時的恢復能力，不過在模擬攻擊環境下，所有測試均由系統自動運行。如果這是一個真正的“攻擊”，系統將不會運行這些具有模擬特點的攻擊。盡管如此，“攻擊模擬”還是可以幫助你驗證你的安全工具是否按要求運行，無論是閉源還是開源，它都有助于運行這些模擬測試。事實上，MITRE還開發了一種ATT＆CK ，ATT＆CK是網絡攻擊行為的策劃知識庫和模型，反映了攻擊者生命周期的各個階段變化。ATT＆CK對于理解針對已知攻擊行為的安全風險，規劃安全改進以及驗證防御措施是否按預期工作很有用。大多數安全工具似乎都使用了這個框架。下面，就讓我們來看看攻擊模擬工具的列表。

　　開源攻擊模擬工具

　　1.CALDERA：CALDERA提供了一個智能的自動化攻擊模擬系統，可以減少安全團隊進行常規測試所需的資源，使他們能夠解決其他關鍵問題。

　　它可用于測試端點安全解決方案，并根據ATT＆CK模型中常見的攻擊技術評估網絡的安全狀況。CALDERA利用ATT＆CK模型來識別和模擬攻擊行為。

　　2.Metta：Uber最近開源了這個敵對模擬工具，它是由多個內部項目產生的。Metta使用Redis/Celery，python和VirtualBox進行敵對模擬，這樣用戶就可以測試基于主機的安全系統。另外用戶還能測試其他基于網絡的安全檢測和控制，不過這具體取決于設置的方式。Metta與Microsoft Windows，MacOS和Linux端點兼容。

　　3.ATP Simulator：ATP Simulator其實就是一套Windows Batch腳本集合，它的主要功能就是模擬攻擊者的活動，而并非模擬惡意軟件的活動。ATP Simulator會使用一組工具和輸出文件使系統看起來好像是被攻擊了。它可以幫助你以更真實的方式模擬真實的攻擊環境。顯然，這是一個僅限Windows的解決方案。

　　4.Red Team Automation：最近網絡安全公司Endgame公開了Red Team Automation的源代碼，它是一組有著38個腳本和支持的可執行文件，可生成與ATT＆CK框架中的技術相對應的可靠組件。截至目前，Red Team Automation提供50種由ATT＆CK技術支持的組件，將來數量還會增加。我相信，這個工具提供了非常好的端點檢測和響應（EDR）覆蓋。

　　Red Team Automation支持Microsoft Windows，并且使用python進行編碼，另外它還可以執行反取證操作，進行惡意傳播，繞過UAC（用戶帳戶控制）等等。

　　5.Invoke-Adversary：Invoke-Adversary是一個基于APT攻擊程度，來評估安全產品和監控解決方案的PowerShell腳本。這么說吧，該工具是攻擊模擬領域的新人，微軟的調用攻擊就是一種PowerShell腳本?？赡苁鞘艿搅薃PT模擬器的啟發，截至目前，Invoke-Adversary具有測試持久性攻擊、憑證訪問、逃避檢測、信息收集、命令和控制等功能。

　　6.Atomic Red Team：它是針對安防設計的新型自動化測試框架，Atomic Red Team是在2017年推出的，是一個開源測試框架，可以測試用戶的攻擊檢測能力。之所以稱之為“atomic（原子）”，是因為它可以作為小型組件，方便小型或大型安全團隊使用，用來模擬特定攻擊者的活動。

　　Atomic Red Team會將小巧便攜的檢測測試映射到Mitre ATT＆CK框架，該框架不是自動的，但支持Microsoft Windows，MacOS和Linux風格。

　　7. Infection Monkey：Infection Monkey是一款由以色列安全公司GuardiCore在2016黑帽大會上發布的數據中心安全檢測工具，其主要用于數據中心邊界及內部服務器安全性的自動化檢測。該工具在架構上，則分為Monkey（掃描及漏洞利用端）以及C&C服務器（相當于reporter，但僅僅只是用于收集monkey探測的信息）。簡單說，它是另一個開源漏洞和攻擊模擬工具。

　　它也用Python編碼，適用于Microsoft Windows和Linux系統。

　　8. Blue Team Training Toolkit (BT3)：該工具是用于防御性安全培訓的軟件，它將你的網絡分析培訓課程，事件響應演練和團隊合作提升到一個新的水平。該工具包允許你創建逼真的計算機攻擊場景，同時降低基礎架構成本，實施時間和風險。

　　它是用Python編寫的，包括Encripto的Maligno，Pcapteller和Mocksum的最新版本。它還包含多個惡意軟件指示符配置文件。

　　9.DumpsterFire：DumpsterFire是一個模塊化的，菜單驅動的跨平臺Python工具，用于構建自定義的，延遲的分布式安全事件。安全人員可以利用它輕松創建比如傳感器或警報映射（alert mapping）的自定義事件鏈。

　　10.AutoTTP：Automated Tactics Techniques＆Procedures的縮寫，AutoTTP基于攻擊生命周期模型( attack life cycle model)。它使用了一個純碎的PowerShell和Python后期漏洞利用代理工具——Empire。

　　以下開源工具值得一提，不過它們在技術上不屬于模擬攻擊工具

　　1.RedHunt操作系統：RedHunt操作系統的目標是通過集成攻擊者的武庫以及防御者的工具包來積極識別環境中的攻擊，從而成為一站式安全檢測商店，滿足你的所有攻擊仿真和攻擊要求?；驹O備是Lubuntu-17.10.1 x64。它包含以下用于不同目的的工具：

　　攻擊仿真： Caldera, Atomic Red Team, DumpsterFire, Metta, RTA, Nmap, CrackMapExec, Responder, Zap。

　　記錄和監測：Kolide Fleet，ELK（Elasticsearch，Logstash和Kibana）堆棧

　　開源智能（OSINT）：Maltego，Recon-ng，Datasploit，Thearvestor

　　攻擊信息分析：Yeti, Harpoon

　　2.Invoke-ATTACKAPI：這是一個開源的PowerShell腳本，通過自己的API與MITRE ATT＆CK框架進行交互，以收集有關攻擊技術，策略等信息，點擊這里獲取這個腳本。

　　企業級模擬攻擊工具

　　1.Cobalt Strike：Cobalt Strike是Armitage商業版，Armitage是一款Java寫的Metasploit圖形界面的攻擊軟件，可以用它結合Metasploit已知的攻擊來針對存在的漏洞自動化攻擊。

　　2.以色列的網絡安全公司Cymulate：Cymulate主要是針對以下場景進行攻擊模擬，例如模擬攻擊WAF、模擬攻擊郵箱、DLP攻擊測試、SOC模擬測試、郵箱測試、勒索軟件測試、木馬、Payload滲透攻擊測試等。這類測試的主要目的是完善產品、豐富員工的安全意識，以及相應的攻擊技術能力檢測和提升。舉個例子，利用郵箱以及可以統計釣魚攻擊有多少用戶中招。

　　3.Immunity Adversary Simulation:該平臺允許你從基礎架構內建立高級永久性攻擊模型，并評估安全團隊如何應對網絡上活躍的真實攻擊。

　　4.SafeBreach：該軟件平臺模擬整個殺戮鏈中的攻擊違規方法，而不會影響用戶或基礎設施?？纯催@里。

　　5.網絡安全初創公司 SafeBreach：SafeBreach 創立于 2014 年，總部位于美國特拉華州，致力于革新網絡安全行業風險驗證的方式。公司為用戶提供一個持續性安全驗證平臺，采用集中管理系統，結合完整的黑客入侵網絡方法“劇本”，從中心位置管理分布式網絡的入侵模擬器，模擬器能夠在現實世界中扮演虛擬黑客的角色，從“黑客的角度”主動展示企業存在的網絡安全風險。用戶可以通過這一平臺驗證自己的安全控制性能，分析這種攻擊對于公司系統的影響力及攻擊防御的有效性問題，從而獲得充足的時間優勢來修復網絡風險漏洞，并提高企業安全運維中心（SOC）分析師響應能力。實質上，這一平臺就是可以讓任何企業直觀的看到在現實生活中遇到網絡攻擊時，自己將如何應對。

　　6.SimSpace；SimSpace似乎在使用Wormhole。

　　7.AttackIQ FireDrill：AttackIQ的模擬攻擊平臺FireDrill可以針對客戶的網絡展開模擬攻擊，測試防御系統的缺陷和漏洞。

　　8.Verodin儀表化的安全平臺：該平臺會主動識別安全堆棧中的配置問題，并揭示攻擊者，攻擊流程和攻擊技術之間的真實區別。

　　以上列表不包括諸如MDSec的ActiveBreach，Nk33，FusionX，Red Siege，Spectre Ops和TrustedSec等服務，因為它們是由真人實施的。

責任編輯：韓希宇