폭스 비숍 석방 클라우드폭스, 침투 테스터와 보안 실무자가 클라우드 인프라 내에서 잠재적인 공격 경로를 찾는 데 도움이 되는 명령줄 보안 도구입니다.
CloudFox의 주요 영감은 클라우드 인프라용 PowerView, Bishop Fox 컨설턴트인 Seth Art 및 Carlos Vendramini를 만드는 것이었습니다. 도구를 발표하는 블로그 게시물에 작성. Active Directory 환경에서 네트워크 상황 인식을 얻는 데 사용되는 PowerShell 도구인 PowerView는 침투 테스터에게 시스템과 Windows 도메인을 열거할 수 있는 기능을 제공합니다.
예를 들어 Art와 Vendramini는 CloudFox를 사용하여 Amazon Relational Database Service(RDS)와 연결된 자격 증명 찾기, 해당 자격 증명과 연결된 특정 데이터베이스 인스턴스 추적과 같은 계약의 일부로 침투 테스터가 수행하는 다양한 작업을 자동화하는 방법을 설명했습니다. 및 해당 자격 증명에 액세스할 수 있는 사용자를 식별합니다. 이 시나리오에서 Art와 Vendramini는 CloudFox를 사용하여 특정 사용자 또는 사용자 그룹에 관계 없이 누가 해당 잘못된 구성(이 경우 노출된 RDS 자격 증명)을 잠재적으로 악용할 수 있는지 이해하고 공격(예: 데이터베이스).
이 도구는 현재 Amazon Web Services만 지원하지만 Azure, Google Cloud Platform 및 Kubernetes에 대한 지원은 로드맵에 있다고 회사는 말했습니다.
Fox 주교는 맞춤 정책 CloudFox에 필요한 모든 권한을 부여하는 Amazon Web Services의 Security Auditor 정책과 함께 사용합니다. 모든 CloudFox 명령은 읽기 전용이므로 실행해도 클라우드 환경에서 아무 것도 변경되지 않습니다.
Art and Vendramini는 "아무것도 생성, 삭제 또는 업데이트되지 않으므로 안심하셔도 됩니다.
- 인벤토리: 대상 계정에서 사용되는 지역을 파악하고 각 서비스의 리소스 수를 계산하여 계정의 대략적인 크기를 제공합니다.
- 끝점: 동시에 여러 서비스에 대한 서비스 끝점을 열거합니다. 출력은 Aquatone, gowitness, gobuster 및 ffuf와 같은 다른 도구로 제공될 수 있습니다.
- 인스턴스: 이름 및 인스턴스 프로필을 사용하여 Amazon Elastic Compute Cloud(EC2) 인스턴스와 연결된 모든 퍼블릭 및 프라이빗 IP 주소 목록을 생성합니다. 출력은 nmap의 입력으로 사용할 수 있습니다.
- 액세스 키: 모든 사용자의 활성 액세스 키 목록을 반환합니다. 이 목록은 키가 속한 범위 내 계정을 파악하기 위해 키를 상호 참조하는 데 유용합니다.
- 버킷: 계정의 버킷을 식별합니다. 버킷을 추가로 검사하는 데 사용할 수 있는 다른 명령이 있습니다.
- Secrets: AWS Secrets Manager 및 AWS Systems Manager(SSM)의 암호를 나열합니다. 이 목록은 암호에 대한 액세스 권한이 있는 사람을 찾기 위해 암호를 상호 참조하는 데 사용할 수도 있습니다.
Art와 Vendramini는 "복잡한 클라우드 환경에서 공격 경로를 찾는 것은 어렵고 시간이 많이 소요될 수 있습니다."라고 적으면서 클라우드 환경을 분석하는 대부분의 도구는 보안 기준 준수에 중점을 둡니다. "우리의 주요 대상은 침투 테스터이지만 CloudFox가 모든 클라우드 보안 실무자에게 유용할 것이라고 생각합니다."
