聚焦源代码安全,网罗国内外最新资讯!
编译:360代码卫士团队
Kali Liux 已成为攻击型安全专家使用的标准工具,但对于需要原生 Windows 功能的渗透测试人员而言,尚不存在维护良好的类似工具集。为此火眼公司发布 CommandoVM,旨在填补这一空白。
3月28日,火眼公司发布了由140款开源 Windows 工具组成的工具集,为红队渗透测试人员和蓝队防御人员提供顶级侦察和利用程序集。该工具被命名为“曼迪昂特成套攻击型虚拟机 (Complete Mandiant Offensive Virtual Machine)”或称为“CommandoVM”。火眼旗下曼迪昂特公司的一名顾问兼 CommandoVM 工具集的联合创始人 Jake Barteaux 表示,该工具集为安全研究员提供了开展进攻操作的专业 Windows 环境。
他指出,“与我共事的几乎所有渗透测试人员都有各自的Windows 机器版本供内部渗透测试使用。拥有这类机器是很多渗透测试人员的标配。很多人将安装包含在 Commando 中的许多同样的工具,但尚不存在专为 Windows 测试而存在的标准工具集。”
解决两大问题
CommandoVM 旨在解决渗透测试人员面临的两大主要问题:第一个是找到最佳的渗透测试工具。Kali Linux 发布于2013年,据其认证和培训团队 Offensive Security 介绍,该免费的发行版本中包含约600款安全、侦察和利用工具。CommandoVM 包含很多同样的工具,其中一些工具是在企业网络中 Windows 机器上运作的原生工具。
Barteaux 表示,“渗透测试人员能够将该 VM 当做发动攻击的工具使用。很多时候,获得一个信标或者在自己的虚拟机上获得某种命令和控制权限可让他们更加容易地跳转到网络。”
渗透测试人员面临的第二个问题是工具集的维护问题。将程序打包到一个发行版本中使得维护变得更加快速,打补丁和发布更新也更容易。Kali Linux 始于偶尔接收更新的发行版本,而现在它已发展成为一天之内接收多次更新的滚动版本。
红队或渗透测试可让企业通过员工或顾问来测试网络和系统的安全性。虽然通过自动扫描可以发现很多问题,但渗透测试能够让安全专家更加深入地专注于潜在的漏洞问题研究。另外,渗透测试活动还能够为事件响应人员即蓝队提供帮助,让他们更快地做出响应并了解和威胁相关的更多知识。
新手老手皆易使用
CommandoVM 基于火眼公司的 FLARE VM 平台进行恶意软件分析和应用程序逆向工程。该发行版本中包含很多攻击型安全测试人员常用工具,包括编程语言 Python 和 Go、网络扫描器 Nmap 和 Wireshark、web 安全测试框架如 BurpSuite 和 Windows 安全工具如 Sysinternals 和 Mimikatz。
Barteaux 表示,“我们尝试让红队初级人员能够很快上手使用这些工具。我想要创建一种即便是资深的红队人员也能使用的工具集,它将是一种良好的人员培训方式。”
虽然过去六年来 Kali Linux 已成为渗透测试人员的标配工具,但渗透测试人员也有需要使用 Windows 的时候,“尤其是当你专注红队的时候,你手边可能不会有一台等着你安装 Kali 的 Linux 机器,而是需要和网络中的 Windows 机器打交道”。
例如,常见的攻击使用 CommandoVM 来常见活动目录部署作为进入网络的滩头阵地,以便实施侦察、凭证攻击和其它基于认证的攻陷。火眼公司在一个工具集使用案例中展示了如何识别运行 Jenkins 的 web 服务器、使用 Burp-Suite 暴力攻击登录凭证并获取服务器的权限执行。
GitHub 下载地址:https://github.com/fireeye/commando-vm
火眼工具集使用案例:https://www.fireeye.com/blog/threat-research/2019/03/commando-vm-windows-offensive-distribution.html
推荐阅读
原文链接
https://www.darkreading.com/vulnerabilities---threats/fireeye-creates-free-attack-toolset-for-windows-/d/d-id/1334318
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士 www.codesafe.cn”。
360代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。