Swift-Attack 使用与启动教程

1. 项目介绍

Swift-Attack 是一个开源项目，旨在为蓝队提供单元测试，帮助构建针对 macOS 系统常见的后期攻击方法的检测。该项目包含了使用命令行历史和 API 调用的后期攻击示例，并计划随着时间的推移继续添加更多的单元测试。

2. 项目快速启动

首先，你需要克隆项目到本地环境：

git clone https://github.com/cedowens/Swift-Attack.git && cd Swift-Attack

确保你已经安装了 Swift 和开发者工具（可以从 Mac App Store 安装）。

接下来，构建 calc.c 生成 dylib 以用于动态库注入测试：

gcc -dynamiclib -o calc.dylib calc.c

编译 Swift-Attack：

swiftc -o Swift-Attack swift-attack.swift

运行 Swift-Attack 并查看帮助信息：

./Swift-Attack -h

3. 应用案例和最佳实践

Swift-Attack 提供了多种单元测试，以下是一些典型用法：

• 使用 osascript 二进制文件提示用户
• 通过 API 调用提示用户
• 使用 osascript 二进制文件导出剪贴板内容
• 使用 API 调用导出剪贴板内容
• 使用 screencapture 二进制文件进行屏幕截图
• 使用 API 调用进行屏幕截图
• 导出 zsh 历史记录
• 列出系统上的安全工具
• 使用 osascript 二进制文件获取系统信息
• 通过 API 调用获取系统信息
• 在磁盘上导出 ssh、aws、gcp 和 azure 密钥
• 导出浏览器历史记录（Chrome、Safari、Firefox）
• 导出隔离历史记录
• Office 宏：包含一个简单的 Office 宏，用于测试宏执行时的父-子关系检测

4. 典型生态项目

Swift-Attack 可以与其他开源项目配合使用，以下是一些相关的生态项目：

• Leo Pitt 的 PersistentJXA：提供更全面的持久化示例
• MacC2：用于测试混淆宏的另一个仓库

这些项目可以帮助用户更好地理解 macOS 系统的安全性，并为蓝队提供强大的工具来检测和防御后期攻击。