Stratus Red Team：云攻击模拟 + 日志分析 + 检测规则

全文共计1605字，预计阅读8分钟

🚀 什么是 Stratus Red Team？

Stratus Red Team 是一个 云环境攻击模拟框架，支持 AWS、Azure、GCP 和 Kubernetes，能够复现真实攻击场景，帮助安全团队验证检测能力。

主要特点

• 真实攻击链条：借鉴 MITRE ATT&CK 模型，涵盖持久化、提权、横向移动等攻击技术。
• 多云支持：支持 AWS、Azure、GCP、Kubernetes 等环境。
• 红队与蓝队结合：帮助安全团队验证日志、检测规则，并优化 SIEM 监控能力。

本篇文章将通过 IAM 后门用户创建（AWS Persistence - IAM Backdoor User） 进行攻击模拟、日志分析，并创建 SIEM 规则来检测此类行为。

1️⃣ 安装 Stratus Red Team

方式 1：Go 直接安装

需要 Go 1.22+：

go install -v github.com/datadog/stratus-red-team/v2/cmd/stratus@latest

方式 2：Homebrew

适用于 macOS 用户：

brew tap datadog/stratus-red-team https://github.com/DataDog/stratus-red-teambrew install datadog/stratus-red-team/stratus-red-team

方式 3：预编译二进制

适用于 Linux / Windows / macOS，可以直接下载官方发布的二进制文件

方式 4：Docker

可以使用 Docker 运行：

IMAGE="ghcr.io/datadog/stratus-red-team"alias stratus="docker run --rm -v $HOME/.stratus-red-team/:/root/.stratus-red-team/ -e AWS_ACCESS_KEY_ID -e AWS_SECRET_ACCESS_KEY -e AWS_SESSION_TOKEN -e AWS_DEFAULT_REGION $IMAGE"

方式 5：使用 asdf

可以使用 asdf 进行版本管理：

asdf plugin add stratus-red-team https://github.com/asdf-community/asdf-stratus-red-team.gitasdf install stratus-red-team latest

安装完成后，可以运行 stratus list 查看支持的攻击模拟场景。

2️⃣ 攻击模拟：IAM 后门用户创建

攻击目标：创建一个带有管理员权限的 IAM 用户，并生成访问密钥，绕过现有权限管控。

💥 执行攻击

运行以下命令，在 AWS 中创建后门 IAM 用户：

stratus run aws.persistence.iam-backdoor-user

🛠️ 预期行为

• 创建新的 IAM 用户（如 stratus-backdoor-user）。
• 赋予管理员权限（AdministratorAccess）。
• 生成访问密钥（Access Key & Secret Key）。
• 攻击者可通过访问密钥直接访问 AWS 资源。

3️⃣ 日志记录：CloudTrail

攻击行为会在 AWS CloudTrail 生成以下日志，可以在 SIEM 中查询。

📌 IAM 用户创建日志

{"eventTime": "2025-03-14T10:30:15Z","eventSource": "iam.amazonaws.com","eventName": "CreateUser","awsRegion": "us-east-1","userAgent": "StratusRedTeam","sourceIPAddress": "203.0.113.10","userIdentity": {"type": "IAMUser","userName": "admin-user"  },"requestParameters": {"userName": "stratus-backdoor-user"  }}

📌 访问密钥创建日志

{"eventTime": "2025-03-14T10:31:45Z","eventSource": "iam.amazonaws.com","eventName": "CreateAccessKey","awsRegion": "us-east-1","userAgent": "StratusRedTeam","sourceIPAddress": "203.0.113.10","userIdentity": {"type": "IAMUser","userName": "stratus-backdoor-user"  }}

4️⃣ 检测规则（SIEM 查询）

🔍 Splunk 查询

如果你的 AWS CloudTrail 日志已经接入 Splunk，可以使用以下 SPL 查询：

index=aws_cloudtrail eventSource=iam.amazonaws.com     (eventName="CreateUser" OR eventName="CreateAccessKey")     | table _time userIdentity.userName eventName requestParameters.userName sourceIPAddress

进一步优化：

检测 1 小时内创建 2 个以上 IAM 用户：

index=aws_cloudtrail eventSource=iam.amazonaws.com eventName="CreateUser"| stats count by userIdentity.userName, sourceIPAddress| where count > 2

🔍 Elasticsearch（Kibana）查询

如果你的 AWS CloudTrail 日志存储在 Elasticsearch（ELK），可以使用以下 Kibana 查询：

{"query": {"bool": {"must": [        { "match": { "eventSource": "iam.amazonaws.com" }},        { "terms": { "eventName": ["CreateUser", "CreateAccessKey"] }}      ]    }  }}

5️⃣ SOAR 响应建议

当 SIEM 检测到可疑行为时，可以自动触发 SOAR（如 TheHive、Shuffle）进行响应：

• ✅ 通知安全团队（发送邮件/Slack/Teams）
• ✅ 禁用 IAM 账户（调用 AWS API 执行 aws iam delete-user）
• ✅ 吊销访问密钥（执行 aws iam delete-access-key）
• ✅ 阻止可疑 IP（添加 WAF 规则或 AWS GuardDuty 阻止该 IP）

6️⃣ 其他攻击模拟

Stratus Red Team 还支持以下攻击模拟：

📌 总结

• ✅ Stratus Red Team 真实模拟云攻击，如创建 IAM 后门用户。
• ✅ CloudTrail 记录攻击行为，可在 SIEM 中查询日志。
• ✅ 使用 Splunk/Elasticsearch 查询规则发现异常行为。
• ✅ 结合 SOAR 自动化响应，实现快速封锁攻击者。

如果你对云安全检测与响应感兴趣，建议你：

• 🚀 部署 Stratus Red Team 进行模拟攻击，检测并强化云环境的安全防护
• 🔍 优化 SIEM 检测规则，提升对可疑行为和攻击的识别能力
• 🛡️ 集成 SOAR 自动化响应，迅速采取行动并遏制潜在威胁

参考链接：

Stratus Red Team 仓库

https://github.com/DataDog/stratus-red-team

原文始发于微信公众号（SecLink安全空间）：Stratus Red Team：云攻击模拟 + 日志分析 + 检测规则