miércoles, 2 de octubre de 2019

Simulación de adversarios... FlightSIM 3/n

Estimados amigos de Inseguros !!!

En este tercer episodio de la simulación de adversarios, voy a comentar la herramienta FlightSim, que no es un simulador de vuelo... es una herramienta de generación de "ruido" esta vez de tráfico de red para comprobar nuestras capacidades de detección.


Como vimos con Caldera, Infection Monkey hace unos años o recientemente Uber Metta, Flightsim genera distintos tipos de eventos, bueno eventos no, genera las actuaciones que deben generar eventos en nuestros sistemas. Algunos de los módulos que tienen, y que por el nombre describen muy bien el trabajo que hacen son:

ModuleDescription
c2Generates a list of C2 destinations and generates DNS and IP traffic to each
dgaSimulates DGA traffic using random labels and top-level domains
scanPerforms a port scan to random RFC 5737 addresses using common ports
sinkConnects to random sinkholed destinations run by security providers
spambotResolves and connects to random Internet SMTP servers to simulate a spam bot
tunnelGenerates DNS tunneling requests to *.sandbox.alphasoc.xyz

La instalación es muy sencilla, podemos hacerlo por github o usando las comodidades de GO.

Los comandos son muy sencillos y podemos usar la opción -dry para que genere los datos sin realizar el tráfico de red. No vayas a probarlo sin avisar y le des el fin de semana al SOC.

Yo por si acaso activo las capturas de red a ver que hace el simulador...




Una herramienta muy sencilla. Por poco que puedas leer el lenguaje GO y puedas ver los módulos, podrás adoptar la ejecución a los parámetros que te interesen.

Por cierto, échale un vistazo al código, porque para algunas cosas se va contra la API de los programadores... y lo mismo estamos siendo hackeados nosotros.

Espero que te guste y lo uses !!!