specterops公司成立2017,也是一家以攻促防的网络安全公司,公司创始人名叫David McGuire,是前NSA黑客擅长建立以企业攻击模拟的评估团队,该团队已为大型私营部门组织和主要政府机构进行参与了数千次活动。
公司开源工具
目前在官网没看到specterops的公开产品,但提供了攻防相关的开源工具。
| 攻击工具名称 | 用途 | 链接 |
|---|---|---|
| Mythic | 使用 python3、docker、docker-compose 和 Web 浏览器 UI 构建的跨平台、后利用、红队框架。它旨在为整个红队的操作员、经理和报告提供协作和用户友好的界面。 | https://github.com/its-a-feature/Mythic |
| Covenant | Covenant 是一个 .NET 命令和控制框架,旨在突出 .NET 的攻击面,使攻击性 .NET 技术的使用更容易,并作为红队人员的协作命令和控制平台。 | https://github.com/cobbr/Covenant |
| cs2modrewrite | 项目将 Cobalt Strike 配置文件转换为功能性 mod_rewrite.htaccess或 Nginx 配置文件,以支持 HTTP 反向代理重定向到 Cobalt Strike 团队服务器。反向代理的使用可以保护后端 C2 服务器免受分析、调查和一般互联网背景辐射。 | https://github.com/threatexpress/cs2modrewrite |
| Domain Hunter | 域名选择是渗透测试准备的一个重要方面,尤其是红队参与。通常,以前用于良性目的并正确分类的域只需几美元即可购买。此类域可以允许团队绕过基于信誉的 Web 过滤器和网络出口限制,用于网络钓鱼和 C2 相关任务。 | https://github.com/threatexpress/domainhunter |
| Empire | Empire 是一个后开发框架,包括一个纯 PowerShell2.0 Windows 代理和一个纯 Python 2.6/2.7 Linux/OS X 代理。它是以前的 PowerShell Empire 和 Python EmPyre 项目的合并。该框架提供加密安全的通信和灵活的架构。在 PowerShell 方面,Empire 实现了无需 powershell.exe 即可运行 PowerShell 代理的能力、可快速部署的后开发模块(从键盘记录器到 Mimikatz)以及可适应的通信以逃避网络检测,所有这些都包含在一个以可用性为中心的框架中。 | https://github.com/EmpireProject/Empire |
| GhostPack | 安全相关工具集的集合。 | https://github.com/GhostPack |
| invoke-pipeshell | 此脚本演示了在 SMB 命名管道上运行的远程命令外壳外壳是交互式 PowerShell 或单个 PowerShell 命令 | https://github.com/threatexpress/invoke-pipeshell |
| KeeThief | 允许从内存中提取 KeePass 2.X 密钥材料,以及 KeePass 触发系统的后门和枚举。 | https://github.com/GhostPack/KeeThief |
| Merlin | Merlin 是一个用 Go 编写的跨平台后开发命令与控制服务器和代理。 | https://github.com/Ne0nd0g/merlin |
| Meta Twin | 该项目被设计为文件资源克隆器。元数据(包括数字签名)从一个文件中提取并注入到另一个文件中。注意:签名被复制,但不再有效。 | https://github.com/threatexpress/metatwin |
| persistence-aggressor-script | 持久性攻击者脚本 | https://github.com/threatexpress/persistence-aggressor-script |
| portplow.io | 使用 Web 前端管理大规模分布式扫描。该项目旨在在 DigitalOcean 2-4GB RAM 系统上运行。 | https://github.com/threatexpress/portplow |
| PowerSploit | PowerSploit 是 Microsoft PowerShell 模块的集合,可用于在评估的所有阶段为渗透测试人员提供帮助。PowerSploit 由以下模块和脚本组成. | https://github.com/PowerShellMafia/PowerSploit/ |
| red-team-scripts | Red Team Scripts 是一系列与红队相关的工具、脚本、技术和笔记的集合,这些工具、脚本、技术和笔记在参与期间随着时间的推移而开发或发现。相关工具发布博客文章可以在威胁快递信息安全和红队博客中找到 | https://github.com/threatexpress/red-team-scripts |
| SharpSploit | SharpSploit是一个用 C# 编写的 .NET 后利用库,旨在突出 .NET 的攻击面并使红队更容易使用攻击性 .NET。 | https://github.com/cobbr/SharpSploit |
| SubShell Web Shell Framework | SubShell 是一个 python 命令外壳,用于通过对 webshell 的 HTTP 请求来控制和执行命令。SubShell 充当远程 webshell 的接口。 | https://github.com/threatexpress/subshell |
| tinyshell | TinyShell 是一个 python 命令外壳,用于通过对 webshell 的 HTTP 请求来控制和执行命令。TinyShell 充当远程 webshell 的接口。 | https://github.com/threatexpress/tinyshell |
| 防御检测名称 | 用途 | 链接 |
|---|---|---|
| ATT&CK Python Client | 一个 Python 模块,用于通过公共 TAXII 服务器访问 STIX 中可用的最新 ATT&CK 内容。该项目利用了MITRE 开发的cti-python-stix2和cti-taxii-client库的 python 类和函数。 | https://github.com/OTRF/ATTACK-Python-Client |
| CimSweep | 自动收集和丰富 (ACE) 平台是一套工具,可供威胁猎人从网络中的许多端点收集数据并自动丰富数据。通过在每台计算机上运行脚本来收集数据,而无需在目标上安装任何软件。ACE 支持从 Windows、macOS 和 Linux 主机收集。 | https://github.com/Invoke-IR/ACE |
| HELK | Hunting ELK 或简称 HELK 是首批具有高级分析功能的开源狩猎平台之一,例如 SQL 声明性语言、图形、结构化流,甚至通过 Jupyter notebooks 和基于 ELK 堆栈的 Apache Spark 进行机器学习。该项目主要是为研究而开发的,但由于其灵活的设计和核心组件,它可以部署在具有正确配置和可扩展基础设施的更大环境中。 | https://github.com/Cyb3rWard0g/HELK |
| OSSEM | 开源安全事件元数据 (OSSEM) 是一个社区主导的项目,主要关注来自不同数据源和操作系统的安全事件日志的文档和标准化。安全事件以字典格式记录,可用作参考,同时将数据源映射到用于验证对抗性技术检测的数据分析。此外,该项目还提供了一个通用数据模型 (CDM),可供数据工程师在数据规范化过程中使用,以允许安全分析师跨不同数据源查询和分析数据。最后,该项目还提供有关特定数据源中确定的结构和关系的文档,以促进数据分析的开发。 | https://github.com/OTRF/OSSEM |
| PowerForensics | PowerForensics 的目的是为硬盘取证分析提供一个包罗万象的框架。PowerForensics 目前支持 NTFS 和 FAT 文件系统,扩展文件系统和 HFS+ 支持的工作已经开始。 | https://github.com/Invoke-IR/PowerForensics |
| ThreatHunter Playbook | Threat Hunter Playbook 是一个基于社区的开源项目,旨在通过利用来自不同操作系统的安全事件日志来共享威胁搜寻概念并帮助开发用于搜寻活动的技术和假设。该项目不仅提供有关检测的信息,还提供在开发分析(例如数据文档、数据建模甚至数据质量评估)时的其他非常重要的活动。 | https://github.com/OTRF/ThreatHunter-Playbook |
| Uproot | Uproot 是一种基于主机的入侵检测系统 (HIDS),它利用永久 Windows 管理规范 (WMI) 事件订阅来检测网络上的恶意活动。有关 WMI 事件订阅的更多详细信息,请参阅WMIEventing 模块为获得最佳结果,建议使用 Uproot 的 AS_GenericHTTP 使用者和 Uproot Listening Post 通过 syslog 将事件转发到日志聚合器,例如 Splunk。 | https://github.com/Invoke-IR/Uproot |
| 数据分析名称 | 用途 | 链接 |
|---|---|---|
| BloodHound | BloodHound 是一个单页 Javascript Web 应用程序,构建在Linkurious 之上,使用Electron编译,并带有由 C# 数据收集器提供的Neo4j数据库。 | https://github.com/BloodHoundAD/BloodHound |
原文始发于微信公众号(我的安全梦):进攻性安全公司specterops
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论