Bischof Fox freigelassen CloudFox, ein Befehlszeilen-Sicherheitstool, das Penetrationstestern und Sicherheitsfachleuten hilft, potenzielle Angriffspfade in ihren Cloud-Infrastrukturen zu finden.
Die Hauptinspiration für CloudFox war die Entwicklung von so etwas wie PowerView für die Cloud-Infrastruktur, die Berater von Bishop Fox, Seth Art und Carlos Vendramini schrieb in einem Blogbeitrag, in dem das Tool angekündigt wurde. PowerView, ein PowerShell-Tool, das verwendet wird, um in Active Directory-Umgebungen ein Bewusstsein für die Netzwerksituation zu gewinnen, bietet Penetrationstestern die Möglichkeit, den Computer und die Windows-Domäne aufzuzählen.
Beispielsweise beschrieben Art und Vendramini, wie CloudFox verwendet werden könnte, um verschiedene Aufgaben zu automatisieren, die Penetrationstester im Rahmen eines Engagements ausführen, z , und identifizieren Sie die Benutzer, die Zugriff auf diese Anmeldeinformationen haben. In diesem Szenario stellten Art und Vendramini fest, dass CloudFox verwendet werden kann, um zu verstehen, wer – ob bestimmte Benutzer oder Benutzergruppen – diese Fehlkonfiguration (in diesem Fall die offengelegten RDS-Anmeldeinformationen) möglicherweise ausnutzen und einen Angriff durchführen (z. B. Daten stehlen könnte). die Datenbank).
Das Tool unterstützt derzeit nur Amazon Web Services, aber die Unterstützung für Azure, Google Cloud Platform und Kubernetes ist auf der Roadmap, sagte das Unternehmen.
Bischof Fox schuf a benutzerdefinierte Richtlinie zur Verwendung mit der Security Auditor-Richtlinie in Amazon Web Services, die CloudFox alle erforderlichen Berechtigungen erteilt. Alle CloudFox-Befehle sind schreibgeschützt, was bedeutet, dass ihre Ausführung nichts in der Cloud-Umgebung ändert.
„Sie können sicher sein, dass nichts erstellt, gelöscht oder aktualisiert wird“, schrieben Art und Vendramini.
- Inventar: Finden Sie heraus, welche Regionen im Zielkonto verwendet werden, und geben Sie die ungefähre Größe des Kontos an, indem Sie die Anzahl der Ressourcen in jedem Dienst zählen.
- Endpunkte: Listet Dienstendpunkte für mehrere Dienste gleichzeitig auf. Die Ausgabe kann in andere Tools wie Aquatone, gowitness, gobuster und ffuf eingespeist werden.
- Instanzen: Generiert eine Liste aller öffentlichen und privaten IP-Adressen, die den Amazon Elastic Compute Cloud (EC2)-Instanzen mit Namen und Instanzprofilen zugeordnet sind. Die Ausgabe kann als Eingabe für nmap verwendet werden.
- Zugriffsschlüssel: Gibt eine Liste der aktiven Zugriffsschlüssel für alle Benutzer zurück. Diese Liste wäre nützlich, um einen Schlüssel mit Querverweisen zu versehen, um herauszufinden, zu welchem In-Scope-Konto der Schlüssel gehört.
- Buckets: Identifiziert die Buckets im Konto. Es gibt andere Befehle, die verwendet werden können, um die Buckets weiter zu untersuchen.
- Geheimnisse: Listet Geheimnisse von AWS Secrets Manager und AWS Systems Manager (SSM) auf. Diese Liste kann auch zum Querverweisen von Geheimnissen verwendet werden, um herauszufinden, wer Zugriff darauf hat.
„Das Auffinden von Angriffspfaden in komplexen Cloud-Umgebungen kann schwierig und zeitaufwändig sein“, schreiben Art und Vendramini und stellen fest, dass sich die meisten Tools zur Analyse von Cloud-Umgebungen auf die Einhaltung von Sicherheitsgrundsätzen konzentrieren. „Unsere primäre Zielgruppe sind Penetrationstester, aber wir glauben, dass CloudFox für alle Cloud-Sicherheitsexperten nützlich sein wird.“
