Red Siege, penetrasyon testi çalışmanıza yardımcı olmak için birçok açık kaynak aracı geliştirdi ve kullanıma sundu.
Şirket, hata düzeltmeleri veya yeni özellikler şeklinde aşağıda listelenen araçları desteklemeye devam etmeyi planlıyor. Bir deneyin, hepsi GitHub’da ücretsiz olarak mevcut.
“Güçlü yazılım araçları oluşturmak için kod yazmaktan ve onu bir mantık bulmacasına dönüştürmekten zevk alıyorum. EyeWitness gibi kreasyonlarımı iş başında görmenin verdiği tatmin gurur duygusu getiriyor ve değerli zamandan tasarruf sağlıyor. Red Siege Kıdemli Güvenlik Danışmanı ve Eğitim Direktörü Chris Truncer, Help Net Security’ye şunları söyledi:
Otomatik işlev
AutoFunkt, Cobalt Strike şekillendirilebilir C2 profillerinden sunucusuz bulut yeniden yönlendiricilerinin oluşturulmasını otomatikleştirmeye yönelik bir Python betiğidir.
C2 kapatıcı
C2concealer, Cobalt Strike’ta kullanılmak üzere rastgele C2 şekillendirilebilir profiller oluşturan bir komut satırı aracıdır.
DigDug
Dig Dug, bir sözlükten çalıştırılabilir bir dosyaya sözcükler ekleyerek çalışır. Yürütülebilir dosyanın istenen son boyutuna ulaşılana kadar bu sözlük tekrar tekrar eklenir. Bazı AV ve EDR motorları, yürütülebilir bir dosyanın yürütme için güvenilir olup olmadığını belirlemek için entropiyi ölçebilir. Diğer satıcılar yürütülebilir dosyaları boş bayt doldurma belirtileri açısından inceler.
döküm kek
dumpCake, parola kimlik doğrulama girişimlerini SSH arka plan programına aktarır. Her SSHD alt işlemi eklenecek ve işlemin sonunda denenen parolalar ve bağlantı günlükleri komut dosyasına dökülecektir.
görgü tanığı
EyeWitness, web sitelerinin ekran görüntülerini alır, sunucu başlığı bilgilerini toplar ve mümkünse varsayılan kimlik bilgilerini belirler. Büyük testlerde web sitelerini önceliklendirmek için çok zaman kazandırır. Bu araç, uzun bir web sitesi listesini taramak isteyen penetrasyon test uzmanları tarafından çok yaygın olarak kullanılır.
EDD – Etki Alanı Verilerini Numaralandır
Enumerate Domain Data, PowerView’a benzer ancak .NET’te olacak şekilde tasarlanmıştır. PowerView, esasen nihai etki alanı numaralandırma aracıdır. Bu araç, büyük ölçüde, çok çeşitli mevcut projelerdeki farklı işlevsellik uygulamalarını görüntüleyerek ve bunları EDD’de birleştirerek bir araya getirildi.
GPDaldatma
Bu betik, etki alanına katılmış bilgisayarlarda yeni bir kullanıcı oluşturmak için gerçek bir GPP’yi taklit eden birgroups.xml dosyası oluşturur. Mavi takımlar bu dosyayı bir bal dosyası olarak kullanabilir. Blue Teams, dosyaya erişimi izleyerek, yanal hareket için kullanıcı adları ve şifreler içeren GPP dosyalarını tarayan kalem testçilerini veya kötü niyetli kişileri tespit edebilir.
Sadece-Meta veriler
Just-Metadata, IP adresleri hakkında meta verileri toplayan ve analiz eden bir araçtır. Büyük bir veri kümesindeki sistemler arasındaki ilişkileri bulmaya çalışır. Çok sayıda IP adresi hakkında pasif olarak istihbarat bilgisi toplamak ve başka türlü görülemeyecek ilişkileri tahmin etmeye çalışmak için kullanılır.
ProxmarkWrapper
ProxmarkWrapper, bir RFID kartı yakalanırsa bir metin uyarısı (ve/veya garanti edilirse e-posta) gönderecek olan Proxmark3 istemcisini çevreleyen bir sarmalayıcıdır.
Wappybird
Wappybird, isteğe bağlı CSV çıktısı ile web teknolojilerini bulmak için çok iş parçacıklı bir Wappalyzer CLI aracıdır. Ayrıca bir dizin de sağlayabilirsiniz ve kazınmış tüm veriler ana bilgisayar başına bir alt klasörle kaydedilir.
WMIimplant
WMImplant, hem hedeflenen makinelere karşı eylemler gerçekleştirmek hem de komutlar vermek ve sonuçları almak için C2 kanalı olarak WMI’dan yararlanan PowerShell tabanlı bir araçtır. WMImplant, hedeflenen makinede yerel yönetici izinleri gerektirir.
WMIOps
WMIOps, bir Windows ortamında yerel veya uzak ana bilgisayarlarda çeşitli eylemler gerçekleştirmek için WMI kullanan bir powershell betiğidir. Öncelikle sızma testlerinde veya kırmızı ekip angajmanlarında kullanılmak üzere tasarlanmıştır.