工具给使用它的人提供便利,武器库亦然。在黑客手中,甚至堪比核武器,可以对企业机构乃至国家基础设施造成严重破坏,直接威胁网络安全,而在网络安全人员手中,武器库又能是一把防御攻击、对抗攻击的利刃。
随着攻击手段层出不穷,在安防这场日渐艰苦的战斗中,安全人员需要对武器库有更多的掌握,及时了解武器库发展前沿、工具更新,才能在网络安全维护中再添一份保障。
8月3日-8月8日,全球领先的信息安全大会Black hat USA 2019将在拉斯维加斯如期举行。这次大会围绕武器库提出了诸多议题,涵盖数据取证/事件响应、网络防御、网络攻击、物联网、网络钓鱼、恶意软件防范等多主题。以下精选部分议题,让大家抢先了解:
ACT:半自动网络威胁情报平台
ACT是一个开源的威胁情报平台,支持高级威胁增强、威胁分析、可视化、流程自动化,无损信息共享和强大的图形分析。而其模块化设计和API也有助于新手快速进行分析、信息共享和决策。
在这个议题中,将着重分享如何使用GUI进行威胁分析,演示ACT是如何帮助SOC分析师,事件响应者和威胁分析师、研究人员等群体。
AttackForge:适用于所有人的Pentest协作平台
AttackForge.com是一个免费使用的协作平台,用于测试项目管理。AttackForge允许项目团队在一个地方轻松协作,减少业务、技术和Pentest团队之间的管理费用和痛苦。
AttackForge.com旨在帮助Pentest将时间和精力集中在渗透测试上,减少干扰和不必要的任务(一些不必要的电子邮件等)。同时,它还提供了一个安全的在线环境,可以创建一系列测试,并通过行业标准的方式反映测试人员的技能,知识和沟通能力水平。
CQForensic:高效的取证工具包
CQForensic Toolkit可以帮助执行详细的计算机取证检查,指导完成信息收集的过程,提供分析和取证的数据。CQForensic也可以构建攻击时间线,从USN日志中提取信息,从MFT恢复文件,解密用户和系统存储的信息。此外,它还包含了用于内存分析的工具包。
总的来说,这是非常实用的工具包。注:在Black Hat Europe期间,将宣布5种新工具,包括CQKawaii。
JSShell:交互式XSS管理和浏览器调试工具
JSShell是一个基于Web的多用户交互式的javascript shell,帮助用户调试浏览器并管理XSS(跨站点脚本)攻击。此外,还可用于轻松附加到XSS payload,实现浏览器远程代码执行(类似于BeeF框架)并管理漏洞。
目前,2.0版重新创建,不仅引入了有趣的新功能,在稳定性和可维护性上也有所提升。
King Phisher:网络钓鱼活动工具包
King Phisher是一个网络钓鱼工具包,旨在满足以攻击为重点的安全测试人员所需的高度定制化和灵活性的需求。具有广泛的功能,可以在攻击演练、用户意识培训等活动中使用。
在这个武器库演示中,将展示近年来KingPhisher的新增功能。你可以看到工具的系列演进:从模板选择过程到收集MFA令牌,还有验证凭证和Let的加密集成,用户可以轻松快速地为其网络钓鱼站点颁发凭证并启用HTTPS。最后,你还将看到最新插件的演示:用于数据管理,各种警报服务的使用以及垃圾邮件规避。
Trash Taxi:取出基础设施中的垃圾
我们常常希望很少有人能拥有不受限制的管理员访问权限。然而,这很难,因为开发人员和操作人员就经常需要调试复杂事件。
那么,如何平衡出于配置管理更改的需求而偶尔授予的访问权限,同时降低配置偏差带来的风险?Trash Taxi起到了很好的作用,它帮助我们理解为什么要使用“sudo -i”,还能够通过“取出垃圾”来清理已经在运行任意命令的主机,比如:终止运行。
RedHunt-OS v2:用于对手仿真和威胁狩猎的虚拟机
任何安全演习不论是攻击型还是防御型的,其最终目的是使组织更具弹性并适应现代对手。RedHunt实验室的RedHunt OS(虚拟机)就为防御者提供了一个平台,其中包含模拟对手的工具集以及高级日志记录和监视设置,便于主动捕获此类攻击者。
通过提供一站式服务,防御者可以在现场没有活跃的攻击者的情况下快速启动和进行蓝队练习,另一方面,红队可以利用该平台识别和复盘他们的练习过程。
Fudge:紫队的C2协作框架
紫队的诞生是出于攻防守两队更紧密整合的需要,而Fudge就是围绕团队使用而设计的。Fudge是一个基于Python3 / Flask网络的C2框架和Powershell植入物。它的建立主要基于3个方面:
1、为蓝队创建一个合适的环境来审查红队活动的时间顺序,从而评估是否错过了关键警报。
2、提高检测率,让蓝队有效识别入侵。如未发现入侵,也可以提供技能和目标区域的指标。
3、为初级测试人员提供体验红队攻击的机会,同时不会增加OpSec和客户端网络的风险。
此外,Fudge还支持不同级别和类型的混淆,允许在攻防期间产生不同程度的干扰,帮助完成SoC基准测试。
云安全套件:AWS/ GCP / Azure安全审计的一站式工具
如今,云基础设施几乎是大小型公司都在使用的服务,而随着越来越多的公司迁移到云,云的安全性成为一个主要问题。
虽然AWS,GCP和Azure都提供了安全保护,并且具有完整的配置结构,但企业采用云服务的规模巨大,一旦出现人为错误,往往导致企业灾难性受损。
CS Suite是一站式工具,用于审核AWS / GCP /Azure基础架构的安全状态以及服务器审计功能。通过采用当前已有开源工具的一些功能,并对工具做了大量自定义检查,从而能一站式运行所有功能,提高云审计效率。
TALR:SIEM规则的提取和共享自动化
许多组织使用SIEM来执行日志关联和分析,而保持规则是当前最大的挑战。为了解决与攻击性社区保持同步的问题,这个议题中将详细介绍威胁警报逻辑存储库(TALR)。
TALR是精选的SIEM规则的存储库,能够快速轻松地提取到用户选择的SIEM工具中。TALR存储库是一个公开可用的TAXII服务器,让SIEM工程师和分析师了解最新和最优质的逻辑检测。通过分享,与会者将全面了解TALR,并掌握如何将其纳入其环境中,从而制定更多知情响应的手段。
RWDD:远程Web污点检测工具
RWDD是一种应用程序,通过IoT(物联网)保护网络安全,在网站的源代码发生变化时(因为程序员或攻击者),可以通过各种通信机制通知用户。
最后,除了上述提及的部分武器库,在即将到来的Black hat USA 2019,大佬们还带来了很多有趣的工具:JTAGulator、Dolos Cloak、TROMMEL、ICS评估框架工具、Router Exploit Shovel等等。而更多精彩大会内容,可以持续关注FreeBuf的后续报道。