工具往往可以决定网络安全渗透测试或红队演练活动的成败。虽然Kali中的许多工具都已经过验证且稳定可靠,但并不能适合所有渗透测试场景。对于安全红队而言,需要在不同测试需求下,确保有足够的装备来实现测试目标,这就需要结合主流渗透测试工具和一些不太知名但同样能力强大的工具。这些被低估的工具可以帮助扩展渗透测试的边界,特别是在云和OSINT领域。
日前,CSO杂志收集整理了14款被严重低估的红队测试工具(详见下表),尽管这些工具目前还没有得到太多关注,但在一些特定的用例场景下,却能够提供独特的功能和优势。了解它们的工作原理以及适合的测试用例,对企业更好地开展红队测试工作至关重要。
Caldera
Caldera由MITRE开发,被认为是当前最被低估的强大测试工具。Caldera是一种自动攻击模拟平台,允许红队和蓝队基于实际威胁模型模拟攻击。它有众多强大的工具来测试防御能力,甚至允许用户创建自定义的攻击活动。
Caldera包括以下特性:预构建的攻击配置文件、模块化插件架构、攻击模拟计划、自动红蓝队演练、报告和可视化,以及实时运用ATT&CK技术。Caldera还有非常友好的界面。即使未深入了解红队战术,用户也可以通过拖放界面构建和执行复杂的攻击链,技术/非技术人员和初级/高级团队成员都可以轻松使用。
尽管许多安全团队都知道Caldera,但相比Metasploit等手动工具,它在渗透测试领域没有得到太大的关注。自动化和内置的攻击战术使它在红队演练中可以节省时间、提高效率。这是一种基于MITRE ATT&CK框架测试实际攻击策略防御的好方法,强调了风险影响力。
典型用例:
红队可以使用Caldera的自动化来模拟CVE-2020-1472(ZeroLogon)等漏洞利用,以测试Windows域控制器上针对特权提升的防御。还可以使用Caldera模拟APT11组织的攻击活动,并测试组织的纵深防御。
传送门:
https://caldera.mitre.org/
Silent Trinity
Silent Trinity是一种使用C#和.Net编写的后渗透指挥与控制(C2)框架,比其他C2工具更容易融入到Windows环境。它是Cobalt Strike等流行测试框架的有效替代品,能够利用.Net基础设施等功能有效地绕过防御机制。它还是一款开源的工具,因此用户不需要很多投入就能使用。
虽然许多渗透测试人员依赖Cobalt Strike和Covenant等众所周知的C2框架,但Silent Trinity与.Net集成使得它对于Windows系统中的后渗透活动而言尤其危险,因为它能够作为原生进程而通过。
典型用例:
红队可以使用Silent Trinity在Windows系统上获得远程代码执行并保持持久访问,从而利用CVE-2021-1675(PrintNightmare)等漏洞进行测试。
传送门:
https://github.com/byt3bl33d3r/SILENTTRINITY
Pacu
Pacu是由Rhino Security Labs设计的AWS漏洞利用框架。借助Pacu,渗透测试人员可以识别和利用AWS云环境中的安全错误配置,比如过度授权的IAM角色或暴露的S3存储桶。它可以从外部找到没有初始访问权的攻击途径,也可以在获得凭据之后从内部使用。其覆盖范围更广,涵盖AWS渗透测试中从枚举到利用的多个阶段。
随着云环境在现代基础设施中变得越来越重要,Pacu之类的工具会备受关注。然而,它常被非云化的传统测试工具抢过风头。Pacu擅长发现和利用AWS环境中的错误配置,并利用其他工具发现不了的AWS特有弱点。其模块化结构允许用户定制测试,以发现从过度授权的IAM角色到暴露的EC2实例的种种威胁。
典型用例:
红队可以使用Pacu枚举S3存储桶并访问敏感数据,从而测试利用CVE-2019-10758等漏洞未经身份验证访问AWS S3存储桶中的数据。
传送门:
https://rhinosecuritylabs.com/aws/pacu-open-source-aws-exploitation-framework/
ScoutSuite
ScoutSuite是一种多云安全审计工具,可用于分析AWS、Azure和GCP环境中的错误配置。通过检查权限、网络设置和策略,它帮助用户全面了解云安全风险。可以使用ScoutSuite枚举/执行态势感知,并使用Pacu利用漏洞。
虽然在功能上类似CloudSploit等流行工具,但ScoutSuite的多云支持和强大的报告能力使其成为很对云审计团队的首选测试工具。
典型用例:
可以使用ScoutSuite来识别错误配置的AWS权限,这些权限允许攻击者在未适当保护的服务器上利用CVE-2021-45046(一种致命的Log4j漏洞)。
传送门:https://github.com/nccgroup/ScoutSuite
Cookiebro
Cookiebro是一个简单但功能强大的浏览器扩展工具,可以用于管理cookie和跟踪脚本。虽然Cookiebro不是传统意义上的渗透测试工具,但可以让用户对网页跟踪活动实行精细控制,并帮助理解和分析网页应用程序的访问行为。
若使用得当,Cookiebro还允许用户获取和重放经过身份验证的会话cookie,实际上模仿经过身份验证的用户,因而不需要凭据。这为提升特权以及未授权访问Web应用程序、SSO仪表板和众多操作提供了方便的测试机会。
典型用例:
红队可以通过Cookiebro分析易受CVE-2015-2080(Jetty cookie漏洞)攻击的网站,了解其如何处理会话cookie,从而发现潜在的会话劫持机会。
传送门:
https://chromewebstore.google.com/detail/cookiebro/lpmockibcakojclnfmhchibmdpmollgn?pli=1
WeirdAAL
WeirdAAL (AWS攻击库)是一个高度专业化的工具,专注于分析和利用AWS环境中的弱点。这看上去似乎与Pacu非常相似,因为它同样可以自动执行特权提升技术,并利用现有的访问权来执行AWS攻击。但WeirdAAL的亮点在于,它通过使用已有的AWS访问权,利用AWS漏洞和错误配置。其主要功能是自动提升特权及执行其他内部AWS攻击。对于已经在AWS环境中站稳脚跟,并希望提升特权或进一步控制的红队测试人员来说,这是一款非常好用的测试工具。
典型用例:
红队可以使用WeirdAAL模拟特权提升技术,并利用CVE-2020-10748等漏洞(不适当的S3存储桶配置导致特权提升)进行攻击测试。
传送门:
https://github.com/carnal0wnage/weirdAAL
DigitalOcean
虽然DigitalOcean主要是一家云服务提供商,可以为用户提供一站式的安全测试服务。如果企业需要将evilginx服务器托管到MiTM,没问题;需要对1000个目标实施钓鱼攻击,也没问题。DigitalOcean的简单性使其成为理想的测试环境,非常适合建立渗透测试实验室和攻击模拟活动。
虽然AWS、Azure和GCP称霸云计算领域,但DigitalOcean简洁、低成本、简单,在启动资源之前不需要进行复杂的配置。这就可以让渗透测试人员快速启动孤立的环境以便测试,就像Pacu或WeirdAAL等工具那样。它还对Terraform友好。
典型用例:
可以使用Terraform模板快速轻松地启动C2基础设施。
传送门:
https://www.digitalocean.com/security
GoPhish
GoPhish是一种开源网络钓鱼测试框架,帮助用户模拟网络钓鱼攻击、收集指标并跟踪用户交互。该工具易于设置和执行攻击活动,并提供邮件发送数量、用户打开数量、点击链接和输入凭据情况等方面的详细报告。
一些红队可能会觉得GoPhish不如较复杂的商业工具功能全面,但轻量级开源特性使其非常适合快速部署和极低的资源需求。它还适用于想要扩大网络钓鱼活动规模,又不需要大型框架开销的团队。实际上,GoPhish兼顾了简单性和效率。
典型用例:
红队可使用GoPhish运行模拟典型的网络钓鱼活动,例如恶意Word文档含有打开时执行的宏等。
传送门:
https://getgophish.com/
Infection Monkey
Infection Monkey是由Guardicore公司研发的一个入侵和攻击模拟工具,专门测试网络处理横向移动的能力。它不模仿恶意软件,因为它本身就是可以被看成是一个恶意软件。但这个“恶意软件”只有很小的破坏性:移动和拷贝。因此,它可用于测试许多横向移动和特权提升技术,传播,并再次进行测试。
Infection Monkey对对用户友好,启动快速。它在用户环境中移动时,构建攻击树,实时显示每个跳跃和威胁。用户可以直观地观察它经过的路径,确切地知道每一步中哪种技术成功,因而易于进行针对性的修复。至于报告方面,它并不仅限于MITRE ATT&CK,它还符合零信任原则。Infection Monkey让用户可以实际测试细粒度访问控制和分段,提供明确的基准。
典型用例:
红队可以在网络环境中任何地方的设备上启动它,接下来就是看它如何发挥神奇的测试本领了。
传送门:
https://github.com/guardicore/monkey
Atomic Red Team
Atomic Red Team(ART)是由 Red Canary 开发的一套脚本化测试集,直接映射到 MITRE ATT&CK 技术框架。它可以在PowerShell或bash中运行,并允许渗透测试或防御人员模拟特定的攻击行为,但其特点在于数量众多的可用测试,该框架包含900多种已知技术。
虽然目前使用Atomic Red Team的安全红队可能并不多,但很多安全紫队却对它有很强的依赖性,因为它是脚本化、基于特征码的。这类技术是众所周知、公开发布的。
Atomic Red Team的优点在于,用户可以针对一个系统运用一整套技术,快速评估控制机制多有效。或者聚焦单个技术及子技术,由于它是模块化的,用户可以一再运行以微调检测、调整规则,确保威胁被阻止,正确警报,或显示在遥测数据中。
典型用例:
红队可以使用Atomic Red Team模拟CVE-2018-8174(Double Kill),只需运行T1203(客户端执行漏洞)、T1176(浏览器扩展)、T1068(特权提升漏洞)以及T1133(外部远程服务),就可以测试组织对浏览器漏洞的实际防御情况。
传送门:
https://atomicredteam.io/
Stratus Red Team
DataDog的Stratus Red Team专注于云原生攻击模拟,特别是在AWS环境中。上述的Atomic Red Team涵盖众多环境,而Stratus侧重于云原生架构带来的独特挑战,因而对使用AWS的组织来说颇有吸引力。
对于未使用云CI/CD的人,可能很少听说过Stratus Red Team,但从事大量云原生和容器化工作负载(Kubernetes)的专业人员(特别是在大量使用DevOps的组织中)却会非常依赖它,因为它能够揭示云特有的攻击途径,这些攻击途径常被传统安全工具所忽视。云资源中的错误配置是导致威胁的主要原因,而Stratus可以通过直接瞄准这些漏洞帮助用户缩小关注的范围。
典型用例:
红队可以通过Stratus Red Team模拟针对Amazon EKS集群的攻击行为,尤其是关注T1543.003(创建或修改系统进程:Kubernetes)等安全缺陷。该技术利用EKS集群中的错误配置,通过修改或创建新的Kubernetes pod来获得未经授权的访问或提升特权。
传送门:
https://stratus-red-team.cloud/
GD-Thief
很多红队专业人员都曾迷失在迷宫般的Google Drive中,被无休止的文件、文件夹和子文件夹淹没,您是否希望可以全部标列出来?GD-Thief应运而生。这个开源工具可以枚举和搜索Google Drive,查找公开访问的文件。它很适合发现和分析文档、电子表格或留在共享驱动器中的其他敏感数据。
对于云OSINT来说,Google Drive如同信息宝库。虽然像SpiderFoot这样的工具提供了更广泛的OSINT功能,但GD-Thief可以为渗透测试人员提供针对性的方法来枚举特定的云存储资产。
典型用例:
红队可以使用GD-Thief搜索可公开访问的文件,这些文件可能会泄露凭据或内部文档,可能导致进一步被利用。
传送门:
https://github.com/antman1p/GD-Thief
DVWA
DVWA是一个经过特别设计的易受攻击web应用程序,旨在为安全专业人员和渗透测试人员提供一个真实的测试空间,以锻炼和完善web应用程序渗透测试技能。它有危险程度不一的多种漏洞,以帮助用户测试各种技能,包括SQL注入、跨站脚本(XSS)、文件包含和命令注入。
虽然在很多安全培训课程中广为人知,但DVWA经常被更有经验的渗透测试人员所忽视,他们更希望使用更复杂的工具,然而它仍然是脚本小子和高级运营人员测试和改进技能的重要平台。DVWA还能够自我托管,减小了范围蔓延或测试不允许接触的对象的可能性。
典型用例:
红队人员可以练习利用CVE-2018-6574(通过不正确的输入验证远程执行代码)。在DVWA的“命令执行”模块中,用户可以通过表单输入注入shell命令,并提升权限以远程执行命令。这种演练让渗透测试人员可以更好地了解攻击者用来远程控制web服务器的技术。
传送门:
https://github.com/digininja/DVWA
Hackazon
Hackazon是另一个易受攻击的web应用程序,旨在用现代web技术模拟实际电子商务网站。它由Rapid7开发,为安全专业人员提供了逼真的环境来测试动态web应用程序中常见的漏洞,包括充分利用REST的API错误配置、SQL注入、XSS和客户端漏洞。Hackazon擅长模拟当前组织使用的现代web应用程序具有的复杂性。
Hackazon复制了完整而逼真的动态购物网站,存在其他训练环境中并不总是发现的各种现代漏洞,但由于设置较复杂,它常被DVWA及其他易受攻击的web应用程序抢去风头。但如果用户希望加强API和客户端技能,它就会是不错的选择。
典型用例:
Hackazon可以通过针对应用程序的产品搜索功能来测试SQL注入漏洞(CVE-2019-12384)。渗透测试人员可以通过搜索表单注入恶意SQL查询,以检索付款详细信息等敏感的客户数据。此外,内置API使其成为借助API测试和利用不适当的授权或输入验证的理想平台。
传送门:
https://hackazon.org/
【安全牛综合编译整理】