Network Flight Simulator, kötü amaçlı ağ trafiği oluşturan ve güvenlik ekiplerinin güvenlik kontrollerini ve ağ görünürlüğünü değerlendirmesine yardımcı olan hafif bir yardımcı programdır.
Araç, DNS tünellemeyi, DGA trafiğini, bilinen aktif C2 hedeflerine yönelik istekleri ve diğer şüpheli trafik modellerini simüle etmek için testler gerçekleştirir.
“Güvenlik sektöründe, tüm ürünlerdeki (örn. EDR, SIEM, güvenlik duvarları, proxy’ler) tehdit algılama kapsamıyla ilgili o kadar çok yılan yağı var ki bu da güvenlik ekiplerinin tek tip satın alma kararları almasına yol açıyor. Bunu AlphaSOC’de, müşteri ortamlarındaki diğer araçlardan tetiklenmeyen C2 ve sızma etkinliğine dayalı uyarılar oluşturduğumuzda görüyoruz. Network Flight Simulator’un yapımcıları AlphaSOC Kurucusu Chris McNab, Help Net Security’ye verdiği demeçte, ekiplerin mevcut araçlarının ve tespitlerinin kapsamını niceliksel olarak belirlemelerine ve ölçmelerine olanak sağlamak için Network Flight Simulator’u oluşturduk.
AlphaSOC, kötü amaçlı yazılım aileleri ve C2 çerçeveleri (örneğin, Cobalt Strike, Mythic, Metasploit) genelinde kötü amaçlı altyapıyı izler ve Network Flight Simulator, mevcut kötü amaçlı altyapıya yönelik trafiği çevrimiçi olarak sentezlemek için bu canlı verileri kullanır. Araç, test etmek için statik bir hedef listesi kullanmıyor ancak AlphaSOC API’sinden canlı C2 hedeflerini alıyor.
Sistem aynı zamanda çevrimiçi olarak bilinen markaların kimliğine bürünmek üzere kaydettiğimiz canlı “benzer” alan adlarına da trafik oluşturur; böylece ekipler hedef odaklı kimlik avı ve hedefli saldırı modelleri (örneğin, Lazarus Grubu tarafından son aylarda kullanılanlar) hakkındaki kapsamı değerlendirebilir.
Yardımcı programla birlikte gelen modüller şunlardır:
“GitHub’da barındırılan açık kaynaklı bir proje olarak, kapsamı SCTP, FTP, şifreli DNS, Tor ve posta kanalları (örneğin, birçok kötü amaçlı yazılım ailesi tarafından kullanılan POP3 ve SMTP) üzerinden sızma modellerini kapsayacak şekilde genişleten yeni modüllerimiz önerildi. Bunlar, eski güvenlik ürünlerinin ve SIEM platformlarının tespit etmekte zorluk çektiği kötü niyetli kalıplardır ve güvenlik ekiplerinin tespit kapsamlarındaki boşlukları daha iyi anlamalarına ve doldurmalarına yardımcı olmak istiyoruz” diye sözlerini tamamladı McNab.