使用新的 Caldera Bounty Hunter 插件模拟完整、逼真的网络攻击链

作者：路易斯·哈克兰德-詹森

免责声明：本篇文章来自 MITRE Caldera ™开源社区的一位贡献者。文中表达的观点、想法和意见均为作者本人，并不反映 MITRE Caldera ™团队或 MITRE 公司的官方观点、政策或立场。MITRE Caldera 团队还审查了作者的内容和代码，并发现其质量高且适合开源。团队对作者贡献的高质量内容表示感谢。

这篇博文介绍了 Bounty Hunter — 一种用于智能网络对手模拟的新型 MITRE Caldera™ 插件。它的主要贡献是模拟完整、逼真的网络攻击链。该插件可在GitHub上获取。

回顾：Caldera 的决策逻辑

Caldera 使用规划器来决定在行动期间是否、何时以及如何执行给定对手的能力。它附带几个现成的规划器，包括近年来发布的新的、更复杂的规划器，例如Look Ahead Planner。

虽然这些规划器提供了有趣的用例，但它们仍然存在一些局限性，例如：

• 重复一个场景会导致相同的行为，因为规划者做出了确定性的决策

• 范围有限，例如不支持初始访问或特权升级方法

• 模拟攻击行为可能包括不相关的攻击步骤或不切实际的攻击链

为了克服这些限制，开发并实施了一个新的 Caldera 插件 — Bounty Hunter插件。

赏金猎人插件

Bounty Hunter是 Caldera 的一个新插件。它最大的资产是 Bounty Hunter 规划器，可以模拟完整、逼真的网络攻击链。Bounty Hunter 的主要功能包括：

• 加权随机攻击行为。赏金猎人的攻击行为以目标为导向，以奖励为驱动，类似于 Caldera 的前瞻规划器。但它不是每次都选择未来奖励值最高的能力，而是提供了以加权随机方式选择下一个能力的可能性。这为规划器的行为增加了不确定性，允许重复运行相同的操作并得到不同的结果。这在训练环境中特别有用。

• 支持初始访问和权限提升。目前，没有 Caldera 规划器提供对初始访问或权限提升方法的支持。Bounty Hunter 通过以完全自主的方式提供对两者的支持来扩展 Caldera 的功能。这使它能够模拟完整的网络攻击链。

• 进一步配置以实现更复杂和更真实的攻击行为。赏金猎人提供各种配置参数，例如“锁定”能力、奖励更新和最终能力，以定制模拟的攻击行为。

以下两节介绍了两个示例场景，以展示赏金猎人的功能。第一个示例描述了它如何模拟完整的网络攻击链，包括初始访问和权限提升。在第二个场景中，赏金猎人的任务是模拟基于APT29 活动的多步骤攻击，以展示其在执行可变性和目标实现方面的能力。

场景 1——初始访问和权限提升

此示例场景演示了赏金猎人如何能够自主执行初始访问和权限提升。下图显示了使用赏金猎人和演示对手配置文件的演示操作的结果。

示例操作演示了赏金猎人的初始访问和权限提升以及演示对手资料。请注意在不同阶段如何使用三个不同的代理。

该操作从与 Caldera 服务器在同一台机器上运行的 Caldera 代理（`yjjtqs`）开始，即已经被对手控制的机器。

第一步，赏金猎人会执行 Nmap 主机扫描以查找潜在目标，然后对找到的系统执行 Nmap 端口扫描以收集有关它们的信息。根据收集到的端口以及服务和版本信息，选择并执行初始访问议程。

在这种情况下，模拟攻击者发现一个开放的 SSH 端口，并决定尝试 SSH 暴力攻击。它成功收集有效的 SSH 凭证，并使用它们在目标机器上复制并启动新的 Caldera 代理（`ycchap`）。

接下来，赏金猎人检测到它需要提升其选择的最终能力（“凭据转储”）的权限，并决定通过运行 UAC 绕过来开始提升权限。此步骤的结果是启动了一个新的提升代理（“ebdwxy”），并且可以执行最终能力，从而完成操作。

场景二：模拟 APT29 活动

使用威胁知情防御中心发布的对手仿真库中的 APT29 Day2 数据测试了 Bounty Hunter 插件支持的复杂程度。

下图显示了最终的攻击链，包括各个步骤之间的事实联系。

示例操作展示了赏金猎人基于 APT29 活动支持的复杂程度。在活动期间，通过运行 Kerberos 黄金票证攻击破坏了 Windows Active Directory 域。

测试表明，赏金猎人能够首先使用 SSH 暴力破解访问 Windows 工作站，然后使用 Windows UAC 绕过自动提升其权限，最后使用 Kerberos 黄金票证攻击破坏整个域。

为了实现目标，赏金猎人只获得了最终能力的丰厚奖励，即使用黄金票证和最初要扫描的接口名称执行命令。成功执行所需的所有其他信息，包括域名、域管理员凭据、SID 值和 NTLM 哈希，都是自动收集的。

赏金猎人的配置

赏金猎人可以通过多种方式进行配置，以进一步定制模拟攻击行为。可能的配置范围包括自定义能力奖励、最终和锁定能力以及自定义能力奖励更新。

有关配置可能性的详细信息，请参阅GitHub 存储库中的描述：https://github.com/fkie-cad/bountyhunter?tab=readme-ov-file#advanced-information-and-configuration。

结论

为了克服 Caldera 规划器的一些限制，开发并实施了一个新的 Caldera 插件 - Bounty Hunter。Bounty Hunter 的功能在两种不同的场景中进行了演示，表明它能够模拟初始访问和特权升级方法，以及处理复杂的多步骤网络攻击链，例如基于 APT29 活动的攻击。Bounty Hunter 已在GitHub上发布：https://github.com/fkie-cad/bountyhunter，其中包含针对 Windows 和 Linux 目标的（故意不复杂的）概念验证攻击。

资源

• Caldera Homepage

http://caldera.mitre.org/

• Caldera GitHub

https://github.com/mitre/caldera

• Caldera Documentation

https://caldera.readthedocs.io/en/latest/

• Caldera Users Slack

https://mitre-caldera.slack.com/join/shared_invite/zt-rvngjjpw-OQHAqpUT87DcyClTosF8dQ#/shared-invite/email