En este tercer episodio de la simulación de adversarios, voy a comentar la herramienta FlightSim, que no es un simulador de vuelo... es una herramienta de generación de "ruido" esta vez de tráfico de red para comprobar nuestras capacidades de detección.
Como vimos con Caldera, Infection Monkey hace unos años o recientemente Uber Metta, Flightsim genera distintos tipos de eventos, bueno eventos no, genera las actuaciones que deben generar eventos en nuestros sistemas. Algunos de los módulos que tienen, y que por el nombre describen muy bien el trabajo que hacen son:
Module | Description |
---|---|
c2 | Generates a list of C2 destinations and generates DNS and IP traffic to each |
dga | Simulates DGA traffic using random labels and top-level domains |
scan | Performs a port scan to random RFC 5737 addresses using common ports |
sink | Connects to random sinkholed destinations run by security providers |
spambot | Resolves and connects to random Internet SMTP servers to simulate a spam bot |
tunnel | Generates DNS tunneling requests to *.sandbox.alphasoc.xyz |
La instalación es muy sencilla, podemos hacerlo por github o usando las comodidades de GO.
Los comandos son muy sencillos y podemos usar la opción -dry para que genere los datos sin realizar el tráfico de red. No vayas a probarlo sin avisar y le des el fin de semana al SOC.
Yo por si acaso activo las capturas de red a ver que hace el simulador...
Una herramienta muy sencilla. Por poco que puedas leer el lenguaje GO y puedas ver los módulos, podrás adoptar la ejecución a los parámetros que te interesen.
Por cierto, échale un vistazo al código, porque para algunas cosas se va contra la API de los programadores... y lo mismo estamos siendo hackeados nosotros.
Espero que te guste y lo uses !!!