14款被嚴重低估的安全紅隊測試工具推薦
工具往往可以決定網絡安全滲透測試或紅隊演練活動的成敗。雖然Kali中的許多工具都已經過驗證且穩定可靠,但并不能適合所有滲透測試場景。對于安全紅隊而言,需要在不同測試需求下,確保有足夠的裝備來實現測試目標,這就需要結合主流滲透測試工具和一些不太知名但同樣能力強大的工具。這些被低估的工具可以幫助擴展滲透測試的邊界,特別是在云和OSINT領域。
日前,CSO雜志收集整理了14款被嚴重低估的紅隊測試工具(詳見下表),盡管這些工具目前還沒有得到太多關注,但在一些特定的用例場景下,卻能夠提供獨特的功能和優勢。了解它們的工作原理以及適合的測試用例,對企業更好地開展紅隊測試工作至關重要。
圖片
1.Caldera
Caldera由MITRE開發,被認為是當前最被低估的強大測試工具。Caldera是一種自動攻擊模擬平臺,允許紅隊和藍隊基于實際威脅模型模擬攻擊。它有眾多強大的工具來測試防御能力,甚至允許用戶創建自定義的攻擊活動。
Caldera包括以下特性:預構建的攻擊配置文件、模塊化插件架構、攻擊模擬計劃、自動紅藍隊演練、報告和可視化,以及實時運用ATT&CK技術。Caldera還有非常友好的界面。即使未深入了解紅隊戰術,用戶也可以通過拖放界面構建和執行復雜的攻擊鏈,技術/非技術人員和初級/高級團隊成員都可以輕松使用。
盡管許多安全團隊都知道Caldera,但相比Metasploit等手動工具,它在滲透測試領域沒有得到太大的關注。自動化和內置的攻擊戰術使它在紅隊演練中可以節省時間、提高效率。這是一種基于MITRE ATT&CK框架測試實際攻擊策略防御的好方法,強調了風險影響力。
典型用例:
紅隊可以使用Caldera的自動化來模擬CVE-2020-1472(ZeroLogon)等漏洞利用,以測試Windows域控制器上針對特權提升的防御。還可以使用Caldera模擬APT11組織的攻擊活動,并測試組織的縱深防御。
傳送門:https://caldera.mitre.org/
2.Silent Trinity
Silent Trinity是一種使用C#和.Net編寫的后滲透指揮與控制(C2)框架,比其他C2工具更容易融入到Windows環境。它是Cobalt Strike等流行測試框架的有效替代品,能夠利用.Net基礎設施等功能有效地繞過防御機制。它還是一款開源的工具,因此用戶不需要很多投入就能使用。
雖然許多滲透測試人員依賴Cobalt Strike和Covenant等眾所周知的C2框架,但Silent Trinity與.Net集成使得它對于Windows系統中的后滲透活動而言尤其危險,因為它能夠作為原生進程而通過。
典型用例:
紅隊可以使用Silent Trinity在Windows系統上獲得遠程代碼執行并保持持久訪問,從而利用CVE-2021-1675(PrintNightmare)等漏洞進行測試。
傳送門:https://github.com/byt3bl33d3r/SILENTTRINITY
3.Pacu
Pacu是由Rhino Security Labs設計的AWS漏洞利用框架。借助Pacu,滲透測試人員可以識別和利用AWS云環境中的安全錯誤配置,比如過度授權的IAM角色或暴露的S3存儲桶。它可以從外部找到沒有初始訪問權的攻擊途徑,也可以在獲得憑據之后從內部使用。其覆蓋范圍更廣,涵蓋AWS滲透測試中從枚舉到利用的多個階段。
隨著云環境在現代基礎設施中變得越來越重要,Pacu之類的工具會備受關注。然而,它常被非云化的傳統測試工具搶過風頭。Pacu擅長發現和利用AWS環境中的錯誤配置,并利用其他工具發現不了的AWS特有弱點。其模塊化結構允許用戶定制測試,以發現從過度授權的IAM角色到暴露的EC2實例的種種威脅。
典型用例:
紅隊可以使用Pacu枚舉S3存儲桶并訪問敏感數據,從而測試利用CVE-2019-10758等漏洞未經身份驗證訪問AWS S3存儲桶中的數據。
傳送門:https://rhinosecuritylabs.com/aws/pacu-open-source-aws-exploitation-framework/
4.ScoutSuite
ScoutSuite是一種多云安全審計工具,可用于分析AWS、Azure和GCP環境中的錯誤配置。通過檢查權限、網絡設置和策略,它幫助用戶全面了解云安全風險。可以使用ScoutSuite枚舉/執行態勢感知,并使用Pacu利用漏洞。
雖然在功能上類似CloudSploit等流行工具,但ScoutSuite的多云支持和強大的報告能力使其成為很對云審計團隊的首選測試工具。
典型用例:
可以使用ScoutSuite來識別錯誤配置的AWS權限,這些權限允許攻擊者在未適當保護的服務器上利用CVE-2021-45046(一種致命的Log4j漏洞)。
傳送門:https://github.com/nccgroup/ScoutSuite
5.Cookiebro
Cookiebro是一個簡單但功能強大的瀏覽器擴展工具,可以用于管理cookie和跟蹤腳本。雖然Cookiebro不是傳統意義上的滲透測試工具,但可以讓用戶對網頁跟蹤活動實行精細控制,并幫助理解和分析網頁應用程序的訪問行為。
若使用得當,Cookiebro還允許用戶獲取和重放經過身份驗證的會話cookie,實際上模仿經過身份驗證的用戶,因而不需要憑據。這為提升特權以及未授權訪問Web應用程序、SSO儀表板和眾多操作提供了方便的測試機會。
典型用例:
紅隊可以通過Cookiebro分析易受CVE-2015-2080(Jetty cookie漏洞)攻擊的網站,了解其如何處理會話cookie,從而發現潛在的會話劫持機會。
傳送門:https://chromewebstore.google.com/detail/cookiebro/lpmockibcakojclnfmhchibmdpmollgn?pli=1
6.WeirdAAL
WeirdAAL (AWS攻擊庫)是一個高度專業化的工具,專注于分析和利用AWS環境中的弱點。這看上去似乎與Pacu非常相似,因為它同樣可以自動執行特權提升技術,并利用現有的訪問權來執行AWS攻擊。但WeirdAAL的亮點在于,它通過使用已有的AWS訪問權,利用AWS漏洞和錯誤配置。其主要功能是自動提升特權及執行其他內部AWS攻擊。對于已經在AWS環境中站穩腳跟,并希望提升特權或進一步控制的紅隊測試人員來說,這是一款非常好用的測試工具。
典型用例:
紅隊可以使用WeirdAAL模擬特權提升技術,并利用CVE-2020-10748等漏洞(不適當的S3存儲桶配置導致特權提升)進行攻擊測試。
傳送門:https://github.com/carnal0wnage/weirdAAL
7.DigitalOcean
雖然DigitalOcean主要是一家云服務提供商,可以為用戶提供一站式的安全測試服務。如果企業需要將evilginx服務器托管到MiTM,沒問題;需要對1000個目標實施釣魚攻擊,也沒問題。DigitalOcean的簡單性使其成為理想的測試環境,非常適合建立滲透測試實驗室和攻擊模擬活動。
雖然AWS、Azure和GCP稱霸云計算領域,但DigitalOcean簡潔、低成本、簡單,在啟動資源之前不需要進行復雜的配置。這就可以讓滲透測試人員快速啟動孤立的環境以便測試,就像Pacu或WeirdAAL等工具那樣。它還對Terraform友好。
典型用例:
可以使用Terraform模板快速輕松地啟動C2基礎設施。
傳送門:https://www.digitalocean.com/security
8.GoPhish
GoPhish是一種開源網絡釣魚測試框架,幫助用戶模擬網絡釣魚攻擊、收集指標并跟蹤用戶交互。該工具易于設置和執行攻擊活動,并提供郵件發送數量、用戶打開數量、點擊鏈接和輸入憑據情況等方面的詳細報告。
一些紅隊可能會覺得GoPhish不如較復雜的商業工具功能全面,但輕量級開源特性使其非常適合快速部署和極低的資源需求。它還適用于想要擴大網絡釣魚活動規模,又不需要大型框架開銷的團隊。實際上,GoPhish兼顧了簡單性和效率。
典型用例:
紅隊可使用GoPhish運行模擬典型的網絡釣魚活動,例如惡意Word文檔含有打開時執行的宏等。
傳送門:https://getgophish.com/
9.Infection Monkey
Infection Monkey是由Guardicore公司研發的一個入侵和攻擊模擬工具,專門測試網絡處理橫向移動的能力。它不模仿惡意軟件,因為它本身就是可以被看成是一個惡意軟件。但這個“惡意軟件”只有很小的破壞性:移動和拷貝。因此,它可用于測試許多橫向移動和特權提升技術,傳播,并再次進行測試。
Infection Monkey對對用戶友好,啟動快速。它在用戶環境中移動時,構建攻擊樹,實時顯示每個跳躍和威脅。用戶可以直觀地觀察它經過的路徑,確切地知道每一步中哪種技術成功,因而易于進行針對性的修復。至于報告方面,它并不僅限于MITRE ATT&CK,它還符合零信任原則。Infection Monkey讓用戶可以實際測試細粒度訪問控制和分段,提供明確的基準。
典型用例:
紅隊可以在網絡環境中任何地方的設備上啟動它,接下來就是看它如何發揮神奇的測試本領了。
傳送門:https://github.com/guardicore/monkey
10.Atomic Red Team
Atomic Red Team(ART)是由 Red Canary 開發的一套腳本化測試集,直接映射到 MITRE ATT&CK 技術框架。它可以在PowerShell或bash中運行,并允許滲透測試或防御人員模擬特定的攻擊行為,但其特點在于數量眾多的可用測試,該框架包含900多種已知技術。
雖然目前使用Atomic Red Team的安全紅隊可能并不多,但很多安全紫隊卻對它有很強的依賴性,因為它是腳本化、基于特征碼的。這類技術是眾所周知、公開發布的。
Atomic Red Team的優點在于,用戶可以針對一個系統運用一整套技術,快速評估控制機制多有效。或者聚焦單個技術及子技術,由于它是模塊化的,用戶可以一再運行以微調檢測、調整規則,確保威脅被阻止,正確警報,或顯示在遙測數據中。
典型用例:
紅隊可以使用Atomic Red Team模擬CVE-2018-8174(Double Kill),只需運行T1203(客戶端執行漏洞)、T1176(瀏覽器擴展)、T1068(特權提升漏洞)以及T1133(外部遠程服務),就可以測試組織對瀏覽器漏洞的實際防御情況。
傳送門:https://atomicredteam.io/
11.Stratus Red Team
DataDog的Stratus Red Team專注于云原生攻擊模擬,特別是在AWS環境中。上述的Atomic Red Team涵蓋眾多環境,而Stratus側重于云原生架構帶來的獨特挑戰,因而對使用AWS的組織來說頗有吸引力。
對于未使用云CI/CD的人,可能很少聽說過Stratus Red Team,但從事大量云原生和容器化工作負載(Kubernetes)的專業人員(特別是在大量使用DevOps的組織中)卻會非常依賴它,因為它能夠揭示云特有的攻擊途徑,這些攻擊途徑常被傳統安全工具所忽視。云資源中的錯誤配置是導致威脅的主要原因,而Stratus可以通過直接瞄準這些漏洞幫助用戶縮小關注的范圍。
典型用例:
紅隊可以通過Stratus Red Team模擬針對Amazon EKS集群的攻擊行為,尤其是關注T1543.003(創建或修改系統進程:Kubernetes)等安全缺陷。該技術利用EKS集群中的錯誤配置,通過修改或創建新的Kubernetes pod來獲得未經授權的訪問或提升特權。
傳送門:https://stratus-red-team.cloud/
12.GD-Thief
很多紅隊專業人員都曾迷失在迷宮般的Google Drive中,被無休止的文件、文件夾和子文件夾淹沒,您是否希望可以全部標列出來?GD-Thief應運而生。這個開源工具可以枚舉和搜索Google Drive,查找公開訪問的文件。它很適合發現和分析文檔、電子表格或留在共享驅動器中的其他敏感數據。
對于云OSINT來說,Google Drive如同信息寶庫。雖然像SpiderFoot這樣的工具提供了更廣泛的OSINT功能,但GD-Thief可以為滲透測試人員提供針對性的方法來枚舉特定的云存儲資產。
典型用例:
紅隊可以使用GD-Thief搜索可公開訪問的文件,這些文件可能會泄露憑據或內部文檔,可能導致進一步被利用。
傳送門:https://github.com/antman1p/GD-Thief
13.DVWA
DVWA是一個經過特別設計的易受攻擊web應用程序,旨在為安全專業人員和滲透測試人員提供一個真實的測試空間,以鍛煉和完善web應用程序滲透測試技能。它有危險程度不一的多種漏洞,以幫助用戶測試各種技能,包括SQL注入、跨站腳本(XSS)、文件包含和命令注入。
雖然在很多安全培訓課程中廣為人知,但DVWA經常被更有經驗的滲透測試人員所忽視,他們更希望使用更復雜的工具,然而它仍然是腳本小子和高級運營人員測試和改進技能的重要平臺。DVWA還能夠自我托管,減小了范圍蔓延或測試不允許接觸的對象的可能性。
典型用例:
紅隊人員可以練習利用CVE-2018-6574(通過不正確的輸入驗證遠程執行代碼)。在DVWA的“命令執行”模塊中,用戶可以通過表單輸入注入shell命令,并提升權限以遠程執行命令。這種演練讓滲透測試人員可以更好地了解攻擊者用來遠程控制web服務器的技術。
傳送門:https://github.com/digininja/DVWA
14.Hackazon
Hackazon是另一個易受攻擊的web應用程序,旨在用現代web技術模擬實際電子商務網站。它由Rapid7開發,為安全專業人員提供了逼真的環境來測試動態web應用程序中常見的漏洞,包括充分利用REST的API錯誤配置、SQL注入、XSS和客戶端漏洞。Hackazon擅長模擬當前組織使用的現代web應用程序具有的復雜性。
Hackazon復制了完整而逼真的動態購物網站,存在其他訓練環境中并不總是發現的各種現代漏洞,但由于設置較復雜,它常被DVWA及其他易受攻擊的web應用程序搶去風頭。但如果用戶希望加強API和客戶端技能,它就會是不錯的選擇。
典型用例:
Hackazon可以通過針對應用程序的產品搜索功能來測試SQL注入漏洞(CVE-2019-12384)。滲透測試人員可以通過搜索表單注入惡意SQL查詢,以檢索付款詳細信息等敏感的客戶數據。此外,內置API使其成為借助API測試和利用不適當的授權或輸入驗證的理想平臺。
傳送門:https://hackazon.org/
