福克斯主教获释 云狐,一种命令行安全工具,可帮助渗透测试人员和安全从业人员在其云基础设施中找到潜在的攻击路径。
CloudFox 的主要灵感是为云基础设施创建类似 PowerView 的东西,Bishop Fox 顾问 Seth Art 和 Carlos Vendramini 在宣布该工具的博客文章中写道。 PowerView 是一种用于在 Active Directory 环境中获取网络态势感知的 PowerShell 工具,它为渗透测试人员提供了枚举计算机和 Windows 域的能力。
例如,Art 和 Vendramini 描述了如何使用 CloudFox 自动执行渗透测试人员在参与过程中执行的各种任务,例如查找与 Amazon Relational Database Service (RDS) 关联的凭证、追踪与这些凭证关联的特定数据库实例,并识别有权访问这些凭据的用户。在这种情况下,Art 和 Vendramini 指出,CloudFox 可用于了解谁(无论是特定用户还是用户组)可能会利用错误配置(在本例中为暴露的 RDS 凭据)并执行攻击(例如从数据库)。
该公司表示,该工具目前仅支持 Amazon Web Services,但对 Azure、Google Cloud Platform 和 Kubernetes 的支持正在规划中。
福克斯主教创建了一个 自定义策略 与 Amazon Web Services 中的安全审核员策略一起使用,授予 CloudFox 所有必要的权限。所有 CloudFox 命令都是只读的,这意味着执行它们不会改变云环境中的任何内容。
“你可以放心,不会创建、删除或更新任何内容,”Art 和 Vendramini 写道。
- 库存:找出目标账户中使用了哪些区域,并通过统计每个服务中的资源数量来提供账户的粗略规模。
- Endpoints:同时枚举多个服务的服务端点。输出可以输入其他工具,例如 Aquatone、gowitness、gobuster 和 ffuf。
- 实例:生成与 Amazon Elastic Compute Cloud (EC2) 实例关联的所有公有和私有 IP 地址的列表,以及名称和实例配置文件。输出可以用作 nmap 的输入。
- 访问键:返回所有用户的活动访问键列表。此列表对于交叉引用密钥以确定该密钥属于哪个范围内帐户非常有用。
- Buckets:标识账户中的Bucket。还有其他命令可用于进一步检查存储桶。
- 密钥:列出来自 AWS Secrets Manager 和 AWS Systems Manager (SSM) 的密钥。该列表还可用于交叉引用机密以找出谁有权访问它们。
Art 和 Vendramini 写道:“在复杂的云环境中查找攻击路径可能既困难又耗时。”他们指出,大多数分析云环境的工具都侧重于安全基线合规性。 “我们的主要受众是渗透测试人员,但我们认为 CloudFox 对所有云安全从业者都有用。”
