Biskop Fox løsladt CloudFox, et kommandolinjesikkerhedsværktøj, der hjælper penetrationstestere og sikkerhedsudøvere med at finde potentielle angrebsstier i deres cloud-infrastruktur.
Hovedinspirationen for CloudFox var at skabe noget som PowerView til cloud-infrastruktur, Bishop Fox-konsulenterne Seth Art og Carlos Vendramini skrev i et blogindlæg, der annoncerer værktøjet. PowerView, et PowerShell-værktøj, der bruges til at opnå netværkssituationsbevidsthed i Active Directory-miljøer, giver penetrationstestere mulighed for at opregne maskinen og Windows-domænet.
For eksempel beskrev Art og Vendramini, hvordan CloudFox kunne bruges til at automatisere forskellige opgaver, som penetrationstestere udfører som en del af et engagement, såsom at lede efter legitimationsoplysninger forbundet med Amazon Relational Database Service (RDS), at spore den specifikke databaseinstans, der er forbundet med disse legitimationsoplysninger. , og identificere de brugere, der har adgang til disse legitimationsoplysninger. I det scenarie bemærkede Art og Vendramini, at CloudFox kan bruges til at forstå, hvem - hvad enten det er specifikke brugere eller brugergrupper - der potentielt kunne udnytte den fejlkonfiguration (i dette tilfælde de afslørede RDS-legitimationsoplysninger) og udføre et angreb (såsom at stjæle data fra databasen).
Værktøjet understøtter i øjeblikket kun Amazon Web Services, men support til Azure, Google Cloud Platform og Kubernetes er på køreplanen, sagde virksomheden.
Biskop Fox skabte en tilpasset politik at bruge med Security Auditor-politikken i Amazon Web Services, der giver CloudFox alle nødvendige tilladelser. Alle CloudFox-kommandoer er skrivebeskyttet, hvilket betyder, at udførelse af dem ikke vil ændre noget i skymiljøet.
"Du kan være sikker på, at intet vil blive oprettet, slettet eller opdateret," skrev Art og Vendramini.
- Beholdning: Find ud af, hvilke regioner der bruges i målkontoen, og angiv kontoens grove størrelse ved at tælle antallet af ressourcer i hver tjeneste.
- Slutpunkter: Opregner serviceendepunkter for flere tjenester på samme tid. Output kan føres ind i andre værktøjer, såsom Aquatone, gowitness, gobuster og ffuf.
- Forekomster: Genererer en liste over alle offentlige og private IP-adresser forbundet med Amazon Elastic Compute Cloud (EC2) forekomster med navne og forekomstprofiler. Output kan bruges som input til nmap.
- Adgangsnøgler: Returnerer en liste over aktive adgangsnøgler for alle brugere. Denne liste ville være nyttig til at krydshenvise til en nøgle for at finde ud af, hvilken in-scope-konto nøglen tilhører.
- Buckets: Identificerer buckets på kontoen. Der er andre kommandoer, der kan bruges til at inspicere spandene yderligere.
- Hemmeligheder: Viser hemmeligheder fra AWS Secrets Manager og AWS Systems Manager (SSM). Denne liste kan også bruges til at krydshenvise hemmeligheder for at finde ud af, hvem der har adgang til dem.
"At finde angrebsstier i komplekse cloudmiljøer kan være svært og tidskrævende," skrev Art og Vendramini og bemærkede, at de fleste værktøjer til at analysere cloudmiljøer fokuserer på overholdelse af sikkerhedsbaseline. "Vores primære målgruppe er penetrationstestere, men vi tror, at CloudFox vil være nyttigt for alle cloud-sikkerhedsudøvere."
