Biskop Fox släpptes CloudFox, ett kommandoradssäkerhetsverktyg som hjälper penetrationstestare och säkerhetsutövare att hitta potentiella attackvägar inom sina molninfrastrukturer.
Den främsta inspirationen för CloudFox var att skapa något som PowerView för molninfrastruktur, Bishop Fox konsulter Seth Art och Carlos Vendramini skrev i ett blogginlägg som tillkännager verktyget. PowerView, ett PowerShell-verktyg som används för att få nätverkssituationsmedvetenhet i Active Directory-miljöer, ger penetrationstestare möjligheten att räkna upp maskinen och Windows-domänen.
Till exempel beskrev Art och Vendramini hur CloudFox kan användas för att automatisera olika uppgifter som penetrationstestare utför som en del av ett engagemang, som att leta efter referenser associerade med Amazon Relational Database Service (RDS), spåra den specifika databasinstansen som är kopplad till dessa referenser , och identifiera de användare som har åtkomst till dessa referenser. I det scenariot noterade Art och Vendramini att CloudFox kan användas för att förstå vem - oavsett om det är specifika användare eller användargrupper - som potentiellt skulle kunna utnyttja den felkonfigurationen (i det här fallet de exponerade RDS-uppgifterna) och utföra en attack (som att stjäla data från databasen).
Verktyget stöder för närvarande bara Amazon Web Services, men stöd för Azure, Google Cloud Platform och Kubernetes finns på färdplanen, sa företaget.
Bishop Fox skapade en anpassad policy att använda med säkerhetsgranskningspolicyn i Amazon Web Services som ger CloudFox alla nödvändiga behörigheter. Alla CloudFox-kommandon är skrivskyddade, vilket innebär att exekvering av dem inte kommer att förändra någonting i molnmiljön.
"Du kan vara säker på att ingenting kommer att skapas, raderas eller uppdateras", skrev Art och Vendramini.
- Inventering: Ta reda på vilka regioner som används i målkontot och ange den ungefärliga storleken på kontot genom att räkna antalet resurser i varje tjänst.
- Endpoints: Räknar upp service endpoints för flera tjänster samtidigt. Utdata kan matas in i andra verktyg, som Aquatone, gowitness, gobuster och ffuf.
- Instanser: Genererar en lista över alla offentliga och privata IP-adresser som är associerade med Amazon Elastic Compute Cloud (EC2)-instanser med namn och instansprofiler. Utdata kan användas som indata för nmap.
- Åtkomstnycklar: Returnerar en lista med aktiva åtkomstnycklar för alla användare. Den här listan skulle vara användbar för att korsrefera en nyckel för att ta reda på vilket konto inom scope nyckeln tillhör.
- Buckets: Identifierar hinkarna på kontot. Det finns andra kommandon som kan användas för att inspektera hinkarna ytterligare.
- Hemligheter: Listar hemligheter från AWS Secrets Manager och AWS Systems Manager (SSM). Den här listan kan också användas för att korshänvisa hemligheter för att ta reda på vem som har tillgång till dem.
"Att hitta attackvägar i komplexa molnmiljöer kan vara svårt och tidskrävande", skrev Art och Vendramini, och noterade att de flesta verktyg för att analysera molnmiljöer fokuserar på säkerhetsbaslinjeefterlevnad. "Vår primära målgrupp är penetrationstestare, men vi tror att CloudFox kommer att vara användbart för alla molnsäkerhetsutövare."
