DeathStar路线图深度解读：YAML攻击剧本与 Purple Team 功能展望

【免费下载链接】DeathStar Uses Empire's (https://github.com/BC-SECURITY/Empire) RESTful API to automate gaining Domain and/or Enterprise Admin rights in Active Directory environments using some of the most common offensive TTPs. 项目地址: https://gitcode.com/gh_mirrors/de/DeathStar

DeathStar是一款基于Empire RESTful API的自动化工具，专为Active Directory环境设计，通过常见的攻击战术、技术和程序（TTPs）实现域管理员和企业管理员权限的自动化获取。作为渗透测试和红队评估的强大助手，DeathStar正在向Purple Team工具转型，未来将提供更灵活的攻击路径定制和威胁狩猎能力。

核心功能与技术架构

DeathStar的核心优势在于其异步架构和模块化设计，主要通过以下组件实现自动化攻击流程：

• Kyber Crystals插件系统：位于deathstar/crystals/目录下，负责封装Empire模块调用逻辑，支持自定义攻击模块扩展。例如recon/get_domain_controller.py实现域控制器信息收集，privesc/local/bypassuac_eventvwr.py提供UAC绕过功能。

• 四大核心协程：在deathstar/deathstar.py中定义，构成攻击自动化流水线：

  • planetary_recon：执行域环境信息收集
  • launch_hunter_killers：实施域权限提升
  • galaxy_conquest：执行横向移动
  • fire_mission：实时监控与攻击路径调整

YAML攻击剧本：定制化攻击路径的未来

当前版本的DeathStar攻击流程相对固定，而YAML"Playbooks"功能将彻底改变这一现状。根据项目路线图，该功能将允许用户：

• 自定义TTP组合：通过YAML文件选择特定攻击模块，如仅启用GPP密码提取(privesc/domain/gpp.py)和WMI横向移动(lateral_movement/invoke_wmi.py)

• 攻击参数细粒度控制：配置模块执行顺序、超时时间和重试策略，例如：

  - name: gpp_password_extraction
    module: privesc/domain/gpp
    priority: high
    retry: 3
  - name: wmi_lateral_movement
    module: lateral_movement/invoke_wmi
    depends_on: gpp_password_extraction
  

• 环境适配规则：根据目标网络特征自动调整攻击路径，如检测到防御软件时切换至更隐蔽的psinject.py进程注入技术

Purple Team功能展望：从攻击工具到安全评估平台

项目README明确指出，DeathStar的未来定位是"Purple Team"工具，这意味着它将同时服务于攻击模拟和防御测试：

威胁狩猎能力

未来版本将集成威胁狩猎功能，允许安全团队：

• 模拟特定攻击路径验证防御有效性
• 自动生成ATT&CK框架映射报告
• 与SIEM系统联动测试检测规则

防御规避配置文件

通过配置文件调整Empire的规避设置，平衡攻击成功率与检测风险：

• AMSI绕过启用/禁用开关
• PowerShell日志规避策略
• 进程注入技术选择器

攻击路径可视化

计划实现的攻击图谱功能将直观展示：

• 已攻陷主机与凭证关系
• 潜在攻击路径与权限提升节点
• 防御薄弱点热力图

快速开始与扩展指南

基础安装

使用Docker快速部署：

docker run --rm -it byt3bl33d3r/deathstar -u <empire_username> -p <empire_password> --api-host <empire_ip>

开发环境搭建

git clone https://gitcode.com/gh_mirrors/de/DeathStar && cd DeathStar
poetry install

扩展Kyber Crystals

创建自定义攻击模块只需两步：

1. 在deathstar/crystals/目录下创建Python文件
2. 实现crystallize异步函数处理模块调用与结果解析

示例模板：

from deathstar.utils import posh_object_parser

async def crystallize(agent):
    output = await agent.execute("powershell/module/path")
    return posh_object_parser(output["results"])

总结与未来展望

DeathStar正从自动化攻击工具向多功能安全评估平台演进。YAML剧本功能将提供前所未有的攻击路径定制能力，而Purple Team方向则响应了安全社区对攻防一体化工具的迫切需求。随着这些功能的实现，DeathStar有望成为红蓝对抗、安全意识培训和防御体系验证的关键基础设施。

项目后续发展将高度依赖社区反馈，特别是在攻击模块扩展和防御规避策略方面。安全从业者可通过贡献Kyber Crystals或测试预发布功能，共同塑造这款工具的未来方向。

【免费下载链接】DeathStar Uses Empire's (https://github.com/BC-SECURITY/Empire) RESTful API to automate gaining Domain and/or Enterprise Admin rights in Active Directory environments using some of the most common offensive TTPs. 项目地址: https://gitcode.com/gh_mirrors/de/DeathStar