Piiskop Fox vabastati CloudFox, käsurea turbetööriist, mis aitab läbitungimistestijatel ja turvatöötajatel leida oma pilveinfrastruktuurides potentsiaalseid ründeteid.
Peamine inspiratsioon CloudFoxi jaoks oli luua midagi sellist nagu PowerView pilve infrastruktuuri jaoks, Bishop Foxi konsultandid Seth Art ja Carlos Vendramini kirjutas ajaveebi postituses, kus tutvustas tööriista. PowerView, PowerShelli tööriist, mida kasutatakse Active Directory keskkondades võrgu olukorrateadlikkuse saavutamiseks, pakub läbitungimistestijatele võimalust masina ja Windowsi domeeni loendamiseks.
Näiteks kirjeldasid Art ja Vendramini, kuidas CloudFoxi saab kasutada erinevate ülesannete automatiseerimiseks, mida läbitungimistestijad töövõtu raames sooritavad, näiteks otsivad Amazon Relational Database Service'iga (RDS) seotud mandaate, jälgides nende mandaatidega seotud konkreetset andmebaasi eksemplari. ja kasutajate tuvastamine, kellel on juurdepääs neile mandaatidele. Selle stsenaariumi puhul märkisid Art ja Vendramini, et CloudFoxi saab kasutada selleks, et mõista, kes – kas konkreetsed kasutajad või kasutajarühmad – võib seda valekonfiguratsiooni (antud juhul paljastatud RDS-i mandaate) ära kasutada ja rünnata (nt varastada andmeid andmebaasi).
Tööriist toetab praegu ainult Amazoni veebiteenuseid, kuid Azure'i, Google Cloud Platformi ja Kubernetese tugi on plaanis, teatas ettevõte.
Piiskop Fox lõi a kohandatud poliitika kasutada koos Amazon Web Services turvaaudiitori poliitikaga, mis annab CloudFoxile kõik vajalikud load. Kõik CloudFoxi käsud on kirjutuskaitstud, mis tähendab, et nende täitmine ei muuda pilvekeskkonnas midagi.
"Võite olla kindel, et midagi ei looda, ei kustutata ega värskendata," kirjutasid Art ja Vendramini.
- Varud: selgitage välja, milliseid piirkondi sihtkontol kasutatakse, ja esitage konto ligikaudne suurus, loendades iga teenuse ressursside arvu.
- Lõpp-punktid: loetleb mitme teenuse teenuse lõpp-punktid korraga. Väljundit saab sisestada muudesse tööriistadesse, nagu Aquatone, gowitness, gobuster ja ffuf.
- Eksemplarid: loob kõigi Amazon Elastic Compute Cloudi (EC2) eksemplaridega seotud avalike ja privaatsete IP-aadresside loendi koos nimede ja eksemplariprofiilidega. Väljundit saab kasutada nmapi sisendina.
- Pääsuvõtmed: tagastab kõigi kasutajate aktiivsete juurdepääsuvõtmete loendi. See loend oleks kasulik võtmele ristviidete leidmiseks, et selgitada välja, millisele kohaldamisalasse kuuluvale kontole võti kuulub.
- Ämbrid: identifitseerib kontol olevad ämbrid. On ka teisi käske, mida saab kasutada ämbrite edasiseks kontrollimiseks.
- Saladused: loetleb AWS Secrets Manageri ja AWS Systems Manageri (SSM) saladused. Seda loendit saab kasutada ka saladustele ristviite tegemiseks, et teada saada, kellel on neile juurdepääs.
"Ründeteede leidmine keerulistes pilvekeskkondades võib olla keeruline ja aeganõudev," kirjutasid Art ja Vendramini, märkides, et enamik pilvekeskkondade analüüsimise tööriistu keskendub turvalisuse baastaseme vastavusele. "Meie peamine sihtrühm on läbitungimistestijad, kuid arvame, et CloudFox on kasulik kõigile pilveturbe praktikutele."
