Єпископа Фокса звільнено CloudFox, інструмент безпеки командного рядка, який допомагає тестувальникам проникнення та спеціалістам із безпеки знаходити потенційні шляхи атак у своїх хмарних інфраструктурах.
Основним натхненням для CloudFox було створення чогось на зразок PowerView для хмарної інфраструктури, консультанти Bishop Fox Сет Арт і Карлос Вендраміні написав у дописі в блозі, анонсуючи інструмент. PowerView, інструмент PowerShell, який використовується для отримання обізнаності про ситуацію в мережі в середовищах Active Directory, надає тестувальникам проникнення можливість нумерувати машину та домен Windows.
Наприклад, Арт і Вендраміні описали, як CloudFox можна використовувати для автоматизації різних завдань, які тестери проникнення виконують у рамках залучення, наприклад пошуку облікових даних, пов’язаних із службою реляційної бази даних Amazon (RDS), відстеження конкретного екземпляра бази даних, пов’язаного з цими обліковими даними. , а також визначення користувачів, які мають доступ до цих облікових даних. У цьому сценарії Арт і Вендраміні зазначили, що CloudFox можна використовувати, щоб зрозуміти, хто — конкретні користувачі чи групи користувачів — потенційно може використати цю неправильну конфігурацію (у цьому випадку розкриті облікові дані RDS) і здійснити атаку (наприклад, викрадення даних з база даних).
Інструмент наразі підтримує лише веб-сервіси Amazon, але підтримка Azure, Google Cloud Platform і Kubernetes є на дорожній карті, повідомила компанія.
Єпископ Фокс створив а митна політика для використання з політикою Security Auditor у Amazon Web Services, яка надає CloudFox усі необхідні дозволи. Усі команди CloudFox доступні лише для читання, тобто їх виконання нічого не змінить у хмарному середовищі.
«Ви можете бути впевнені, що нічого не буде створено, видалено чи оновлено», — написали Арт і Вендраміні.
- Інвентар: визначте, які регіони використовуються в цільовому обліковому записі, і надайте приблизний розмір облікового запису, підрахувавши кількість ресурсів у кожній службі.
- Кінцеві точки: перелічує кінцеві точки служби для кількох служб одночасно. Результат можна використовувати в інших інструментах, таких як Aquatone, gowitness, gobuster і ffuf.
- Примірники: створює список усіх загальнодоступних і приватних IP-адрес, пов’язаних із примірниками Amazon Elastic Compute Cloud (EC2), із назвами та профілями примірників. Вихідні дані можна використовувати як вхідні для nmap.
- Ключі доступу: повертає список активних ключів доступу для всіх користувачів. Цей список буде корисним для перехресних посилань на ключ, щоб з’ясувати, до якого облікового запису в межах області належить ключ.
- Відра: визначає сегменти в обліковому записі. Існують інші команди, які можна використовувати для подальшого огляду відер.
- Секрети: перелік секретів від AWS Secrets Manager і AWS Systems Manager (SSM). Цей список також можна використовувати для перехресних посилань на секрети, щоб дізнатися, хто має до них доступ.
«Пошук шляхів атаки в складних хмарних середовищах може бути важким і трудомістким», — написали Арт і Вендраміні, зазначивши, що більшість інструментів для аналізу хмарних середовищ зосереджені на відповідності базовому рівню безпеки. «Нашою основною аудиторією є тестувальники проникнення, але ми вважаємо, що CloudFox буде корисним для всіх практиків хмарної безпеки».