云环境对抗模拟工具Stratus Red Team正式发布

今天，我激动地发布过去几周开发的新开源项目：Stratus Red Team——一款专注于云环境的对抗模拟和紫队工具，旨在模拟云环境中的常见攻击技术。

开发动机

我的职业经历大量涉及威胁检测领域。从学校毕业后，我首先在一家本地化终端安全MDR公司从事威胁检测用例开发。后来转入科技公司的云安全岗位时，发现云环境恶意活动检测面临相似挑战。

其中关键挑战在于如何实时复现攻击者的战术、技术和程序（TTPs），以验证日志管道和检测逻辑的端到端有效性。虽然存在Atomic Red Team™和MITRE Caldera等传统终端/本地安全测试工具，但这些工具均非云原生设计，缺乏对云服务商基础设施的专门支持。

工具特性

Stratus Red Team是轻量级Go二进制程序，具有以下核心功能：

• 内置多种AWS攻击技术模块
• 自动生成技术文档页面
• “预热"机制自动部署攻击所需基础设施（通过Terraform实现）
• “引爆"功能执行具体攻击模拟

技术实现

攻击技术即代码

每个攻击技术由两部分组成：

1. Terraform代码：描述攻击前需要部署的基础设施
2. Go代码：定义技术元数据和引爆逻辑

以"停止CloudTrail日志"技术为例：

1
2
3
4

resource "aws_cloudtrail" "trail" {
  name           = "my-cloudtrail-trail"
  s3_bucket_name = aws_s3_bucket.cloudtrail.id
}

1
2
3
4
5
6
7

func detonate(params map[string]string) error {
  cloudtrailClient := cloudtrail.NewFromConfig(providers.AWS().GetConnection())
  _, err := cloudtrailClient.StopLogging(context.Background(), &cloudtrail.StopLoggingInput{
    Name: aws.String(trailName),
  })
  return err
}

架构设计决策

1. 语言选择：放弃Python选用Go，主要考虑：

   • 强类型特性提升开发效率
   • 官方Terraform封装库支持
   • 编译时错误检查机制

2. 基础设施管理：采用内置Terraform方案，优势包括：

   • 自动处理依赖资源创建/销毁
   • 用户无需预配环境
   • 当前限制：不支持针对现有基础设施测试

未来规划

• 增加更多AWS攻击技术
• 引入Kubernetes支持
• 添加可选遥测功能（默认关闭）
• 计划扩展Azure和GCP平台支持

项目已开源发布：

• 官网：stratus-red-team.cloud
• GitHub仓库：DataDog/stratus-red-team