Windows 欺骗主机 Burn-In 的自动化工具

Sinon 是一款开源的模块化工具，用于自动测试基于 Windows 的欺骗主机。

它旨在降低大规模编排欺骗主机的难度，同时通过生成功能实现多样性和随机性。

Sinon 旨在通过执行模拟实际用户活动的各种操作来自动设置欺骗主机。

目标是创建一个可以欺骗潜在入侵者的逼真环境。

Sinon 的模块化和可配置特性允许轻松调整和随机化，使每次部署都独一无二。

Sinon 是一款模块化工具，用于自动磨合基于 Windows 的欺骗主机，旨在降低大规模编排欺骗主机的难度，同时通过生成功能实现多样性和随机性。

它是作为概念验证创建的，不适用于生产欺骗环境。

它可能更适合预先生成内容并内置到一次性脚本中，因为我们不想在诱饵或欺骗主机上存储 OpenAI API 密钥等机密信息。

本研究的一部分探索了MITRE Engage框架，该框架描述了设置诱饵主机的技术能力，以便它能够符合防御者所呈现的整体叙述。

因为说服、劝说和激励对手的需求对于选择和收集数据以缩小定义的情报差距至关重要。

MITRE Engage 描述了一种过于手动的方法，我看到其他组织在构建欺骗诱饵时也采用了这种方法。

通过应用 LLM 自动化诱饵交互和老化，我们能够快速创建和与诱饵系统交互，从而以最小的努力生成高度逼真的环境，并在需要时提供多样性。

而不是重复依赖相同的基础镜像。

Sinon 希望实现 MITRE Engage 应用程序多样性、工件多样性、老化、电子邮件操纵、信息操纵、网络多样性、外围设备管理、口袋垃圾、引入的漏洞、角色和诱饵等组件的自动化。

• 使用 OpenAI API（针对 GPT-4o 配置）生成包括文件、电子邮件等的内容
• 随机因素 - 从配置列表中选择，或完全遵循配置
• 时间随机性 - 设置执行延迟和事件之间的延迟，包括随机性因素

Sinon 执行以下功能，由配置文件决定：

• 安装应用程序：使用 Chocolatey 从预定义列表中自动安装应用程序。
• 浏览网站：自动打开网站列表以模拟用户活动。
• 更改首选项：修改系统首选项，例如默认浏览器、背景图像、屏幕分辨率和系统语言。
• 添加开始菜单项：在开始菜单中添加指定应用程序的快捷方式。
• 创建和修改文件：生成和修改文本文件，并可选择使用 OpenAI GPT-4 进行内容生成。
• 发送电子邮件：发送电子邮件时可选择使用 OpenAI GPT-4 生成内容。
• 下载诱饵文件：从指定的 URL 下载文件以模拟诱饵文件活动。
• 管理软件：使用预定义命令安装或卸载软件应用程序。
• 执行系统更新：执行系统更新命令。
• 管理用户帐户：创建和管理具有指定属性的用户帐户。
• 管理网络设置：使用 SSID 和密码配置 Wi-Fi 网络连接。
• 打开媒体文件：打开媒体文件，如图像、视频和音频文件。
• 打印文档：打印指定的文本文档。
• 创建计划任务：安排任务在定义的时间运行指定的命令。
• 模拟用户交互：随机控制交互的持续时间和延迟。
• 创建诱饵：生成各种类型的诱饵来欺骗入侵者。
  • 凭证对
  • SSH 密钥
  • 网站网址
  • 注册表项
  • CSV 文档
  • API 密钥
  • LNK 文件（快捷方式）
• 监视文件系统：监视指定路径中的文件系统事件（例如修改）并记录这些事件。
• Redis 连接：将生成的诱饵数据发送到 Redis 服务器，以便在其他欺骗步骤和平台中使用。

主要特色

主机配置多样性：通过包管理器安装应用程序、自定义（壁纸、分辨率、默认浏览器）以及调整 Wi-Fi 网络和设置。

引入的漏洞：控制更新状态，包括操作系统和应用程序的特定更新包。

主机交互：电子邮件、查看网站、下载文件、打印文档、安排任务、从网络共享复制文件。

随机性和时间性：选择配置状态和交互时间的随机性提高了真实感并使诱饵检测更加困难。

使用 Redis 创建和同步诱饵： SSH 密钥、凭证对、API 密钥等。然后可以使用这些密钥来关联其他环境中的活动，例如将生成的 SSH 密钥附加到SSH-Honey-Gateway配置并将任何与该密钥的连接代理到高交互蜜罐。

文件系统监控：指定文件路径来监控活动，以识别与诱饵和口袋垃圾的互动。

Sinon 可以在GitHub上免费获取。

GitHub - referefref/sinon: Automation tool for Windows Deception Host Burn-In