Giám mục Fox được thả CloudFox, một công cụ bảo mật dòng lệnh giúp người kiểm tra thâm nhập và người thực hành bảo mật tìm ra các đường tấn công tiềm ẩn trong cơ sở hạ tầng đám mây của họ.
Nguồn cảm hứng chính của CloudFox là tạo ra thứ gì đó giống như PowerView cho cơ sở hạ tầng đám mây, cố vấn Seth Art và Carlos Vendramini của Bishop Fox đã viết trong một bài đăng trên blog thông báo về công cụ này. PowerView, một công cụ PowerShell được sử dụng để nhận biết tình huống mạng trong môi trường Active Directory, cung cấp cho người kiểm tra thâm nhập khả năng liệt kê máy và Miền Windows.
Ví dụ: Art và Vendramini đã mô tả cách CloudFox có thể được sử dụng để tự động hóa các tác vụ khác nhau mà người kiểm tra thâm nhập thực hiện như một phần của quá trình tương tác, chẳng hạn như tìm kiếm thông tin xác thực liên quan đến Dịch vụ cơ sở dữ liệu quan hệ Amazon (RDS), theo dõi phiên bản cơ sở dữ liệu cụ thể được liên kết với các thông tin xác thực đó và xác định người dùng có quyền truy cập vào các thông tin xác thực đó. Trong trường hợp đó, Art và Vendramini lưu ý rằng CloudFox có thể được sử dụng để hiểu ai - dù là người dùng hay nhóm người dùng cụ thể - có khả năng khai thác cấu hình sai đó (trong trường hợp này là thông tin xác thực RDS bị lộ) và thực hiện một cuộc tấn công (chẳng hạn như đánh cắp dữ liệu từ kho dữ liệu).
Công ty này hiện chỉ hỗ trợ Amazon Web Services, nhưng công ty cho biết sẽ hỗ trợ Azure, Google Cloud Platform và Kubernetes.
Bishop Fox đã tạo ra một chính sách tùy chỉnh để sử dụng với chính sách Kiểm tra bảo mật trong Amazon Web Services cấp cho CloudFox tất cả các quyền cần thiết. Tất cả các lệnh CloudFox đều ở dạng chỉ đọc, nghĩa là việc thực thi chúng sẽ không thay đổi bất kỳ điều gì trong môi trường đám mây.
Art và Vendramini viết: “Bạn có thể yên tâm rằng sẽ không có gì được tạo, xóa hoặc cập nhật”.
- Khoảng không quảng cáo: Chỉ ra khu vực nào được sử dụng trong tài khoản mục tiêu và cung cấp quy mô thô của tài khoản bằng cách đếm số lượng tài nguyên trong mỗi dịch vụ.
- Điểm cuối: Liệt kê các điểm cuối dịch vụ cho nhiều dịch vụ cùng một lúc. Đầu ra có thể được đưa vào các công cụ khác, chẳng hạn như Aquatone, gowitness, gobuster và ffuf.
- Phiên bản: Tạo danh sách tất cả các địa chỉ IP công khai và riêng tư được liên kết với các phiên bản Amazon Elastic Computing Cloud (EC2) kèm theo tên và hồ sơ phiên bản. Đầu ra có thể được sử dụng làm đầu vào cho nmap.
- Khóa truy cập: Trả về danh sách các khóa truy cập đang hoạt động cho tất cả người dùng. Danh sách này sẽ hữu ích cho việc tham chiếu chéo một khóa để tìm ra tài khoản nào trong phạm vi khóa đó thuộc về.
- Nhóm: Xác định các nhóm trong tài khoản. Có các lệnh khác có thể được sử dụng để kiểm tra thêm các nhóm.
- Bí mật: Liệt kê các bí mật từ AWS Secrets Manager và AWS Systems Manager (SSM). Danh sách này cũng có thể được sử dụng để tham chiếu chéo các bí mật nhằm tìm ra ai có quyền truy cập vào chúng.
Art và Vendramini viết: “Việc tìm kiếm các đường dẫn tấn công trong môi trường đám mây phức tạp có thể khó khăn và tốn thời gian,” đồng thời lưu ý rằng hầu hết các công cụ để phân tích môi trường đám mây đều tập trung vào việc tuân thủ cơ sở bảo mật. “Đối tượng chính của chúng tôi là những người thử nghiệm khả năng thâm nhập nhưng chúng tôi cho rằng CloudFox sẽ hữu ích cho tất cả những người thực hành bảo mật đám mây.”
