اسقف فاکس آزاد شد CloudFoxیک ابزار امنیتی خط فرمان است که به آزمایشکنندگان نفوذ و متخصصان امنیتی کمک میکند تا مسیرهای حمله احتمالی را در زیرساختهای ابری خود پیدا کنند.
الهامبخش اصلی CloudFox ایجاد چیزی مانند PowerView برای زیرساختهای ابری، مشاوران Bishop Fox، Seth Art و Carlos Vendramini بود. در یک پست وبلاگی این ابزار را اعلام کرد. PowerView، یک ابزار PowerShell که برای به دست آوردن آگاهی موقعیتی شبکه در محیطهای Active Directory استفاده میشود، به تسترهای نفوذ توانایی شمارش ماشین و دامنه ویندوز را ارائه میدهد.
برای مثال، Art و Vendramini توضیح دادند که چگونه میتوان از CloudFox برای خودکارسازی وظایف مختلف آزمایشکنندههای نفوذ به عنوان بخشی از یک تعامل استفاده کرد، مانند جستجوی اعتبارنامههای مرتبط با سرویس پایگاه داده رابطهای آمازون (RDS)، ردیابی نمونه پایگاه داده خاص مرتبط با آن اعتبارنامهها. و شناسایی کاربرانی که به آن اعتبارنامه ها دسترسی دارند. در آن سناریو، آرت و وندرامینی خاطرنشان کردند که از CloudFox می توان برای فهمیدن اینکه چه کسی - چه کاربران خاص یا گروه های کاربری - می تواند به طور بالقوه از آن پیکربندی نادرست (در این مورد، اعتبار RDS افشا شده) سوء استفاده کرده و حمله ای را انجام دهد (مانند سرقت داده ها از پایگاه داده).
این ابزار در حال حاضر تنها از خدمات وب آمازون پشتیبانی می کند، اما پشتیبانی از Azure، Google Cloud Platform و Kubernetes در نقشه راه است.
اسقف فاکس ایجاد یک سیاست سفارشی برای استفاده با خط مشی حسابرس امنیتی در خدمات وب آمازون که به CloudFox تمام مجوزهای لازم را می دهد. تمام دستورات CloudFox فقط خواندنی هستند، به این معنی که اجرای آنها چیزی را در محیط ابری تغییر نمی دهد.
آرت و وندرامینی نوشتند: «میتوانید مطمئن باشید که هیچ چیزی ایجاد، حذف یا بهروزرسانی نخواهد شد».
- موجودی: مشخص کنید که کدام مناطق در حساب هدف استفاده می شود و با شمارش تعداد منابع در هر سرویس، اندازه تقریبی حساب را ارائه دهید.
- نقاط پایانی: نقاط پایانی سرویس را برای چندین سرویس به طور همزمان بر می شمارد. خروجی را می توان به ابزارهای دیگری مانند Aquatone، gowitness، gobuster و ffuf وارد کرد.
- نمونهها: فهرستی از تمام آدرسهای IP عمومی و خصوصی مرتبط با نمونههای Amazon Elastic Compute Cloud (EC2) با نامها و نمایههای نمونه ایجاد میکند. خروجی می تواند به عنوان ورودی برای nmap استفاده شود.
- کلیدهای دسترسی: فهرستی از کلیدهای دسترسی فعال را برای همه کاربران برمیگرداند. این فهرست برای ارجاع متقابل یک کلید مفید خواهد بود تا بفهمید کلید متعلق به کدام حساب است.
- Buckets: سطل های موجود در حساب را شناسایی می کند. دستورات دیگری نیز وجود دارد که می توان از آنها برای بازرسی بیشتر سطل ها استفاده کرد.
- اسرار: اسرار AWS Secrets Manager و AWS Systems Manager (SSM) را فهرست می کند. این لیست همچنین می تواند برای ارجاع متقابل اسرار مورد استفاده قرار گیرد تا متوجه شود چه کسی به آنها دسترسی دارد.
آرت و وندرامینی نوشتند: «یافتن مسیرهای حمله در محیطهای ابری پیچیده میتواند دشوار و زمانبر باشد،» و اشاره کردند که اکثر ابزارها برای تجزیه و تحلیل محیطهای ابری بر روی انطباق با خط پایه امنیتی تمرکز دارند. "مخاطبان اصلی ما آزمایش کننده های نفوذ هستند، اما ما فکر می کنیم CloudFox برای همه متخصصان امنیت ابر مفید خواهد بود."