ビショップ・フォックスが釈放された クラウドフォックスは、侵入テスターやセキュリティ担当者がクラウド インフラストラクチャ内の潜在的な攻撃経路を見つけるのに役立つコマンドライン セキュリティ ツールです。
CloudFox の主なインスピレーションは、クラウド インフラストラクチャ用の PowerView、Bishop Fox のコンサルタントである Seth Art と Carlos Vendramini のようなものを作成することでした。 ツールを発表するブログ投稿に書いた. Active Directory 環境でネットワークの状況を認識するために使用される PowerShell ツールである PowerView は、侵入テスターにマシンと Windows ドメインを列挙する機能を提供します。
たとえば、Art と Vendramini は、CloudFox を使用して、Amazon Relational Database Service (RDS) に関連付けられた資格情報の検索、それらの資格情報に関連付けられた特定のデータベース インスタンスの追跡など、侵入テスターがエンゲージメントの一環として実行するさまざまなタスクを自動化する方法について説明しました。 、およびそれらの資格情報にアクセスできるユーザーを特定します。 そのシナリオでは、Art と Vendramini は、CloudFox を使用して、特定のユーザーかユーザー グループかを問わず、誰がその構成ミス (この場合は公開された RDS 資格情報) を悪用し、攻撃 (サーバーからデータを盗むなど) を実行できるかを理解できると指摘しました。データベース)。
このツールは現在、Amazon Web Services のみをサポートしていますが、Azure、Google Cloud Platform、および Kubernetes のサポートがロードマップ上にあると同社は述べています。
フォックス司教が作成した カスタムポリシー CloudFox に必要なすべてのアクセス許可を付与する Amazon Web Services の Security Auditor ポリシーと共に使用します。 すべての CloudFox コマンドは読み取り専用です。つまり、それらを実行してもクラウド環境では何も変更されません。
Art と Vendramini は次のように書いています。
- インベントリ: ターゲット アカウントで使用されているリージョンを把握し、各サービスのリソース数を数えることで、アカウントのおおよそのサイズを提供します。
- エンドポイント: 複数のサービスのサービス エンドポイントを同時に列挙します。 出力は、Aquatone、gowitness、gobuster、ffuf などの他のツールにフィードできます。
- インスタンス: Amazon Elastic Compute Cloud (EC2) インスタンスに関連付けられたすべてのパブリックおよびプライベート IP アドレスのリストを、名前とインスタンス プロファイルとともに生成します。 出力は nmap の入力として使用できます。
- Access-keys: すべてのユーザーのアクティブなアクセス キーのリストを返します。 このリストは、キーを相互参照して、キーが属する範囲内のアカウントを特定するのに役立ちます。
- バケット: アカウント内のバケットを識別します。 バケットをさらに検査するために使用できる他のコマンドがあります。
- Secrets: AWS Secrets Manager および AWS Systems Manager (SSM) からのシークレットを一覧表示します。 このリストは、シークレットを相互参照して、誰がシークレットにアクセスできるかを調べるためにも使用できます。
Art と Vendramini は、「複雑なクラウド環境で攻撃経路を見つけるのは難しく、時間がかかる場合があります」と書いており、クラウド環境を分析するほとんどのツールはセキュリティ ベースラインのコンプライアンスに重点を置いていると指摘しています。 「私たちの主な対象者はペネトレーション テスターですが、CloudFox はすべてのクラウド セキュリティ担当者にとって役立つと思います。」