Operatörlerin C2 iletişimi ile ilgili faaliyetleri görselleştirmesini ve raporlamasını kolaylaştırmak için tasarlanan RedEye adlı yeni bir açık kaynaklı analitik araç CISA tarafından piyasaya sürüldü.
Hem kırmızı hem de mavi ekipler, verileri ölçmek için kolay bir yol sağladığı ve güvenle alınabilecek belirli kararlara yol açtığı için RedEye’den yararlanabilir.
RedEye
CISA ve DOE’nin Pasifik Kuzeybatı Ulusal Laboratuvarı arasındaki ortak çalışma, bu analitik aracı doğurmuştur.
Her kampanyayla ilişkili tüm sunucuların ve ana bilgisayarların grafik olarak görüntülenen bir günlüğü, RedEye kullanıcıları tarafından her bir kampanya günlüğünün geçmiş kayıtları ilişkilendirilerek alınabilir.
Bir kampanyayla ilgili bilgileri görüntülemek için kullanıcılar, aşağıdaki gibi bilgileri görüntülemek için RedEye aracılığıyla kampanya verilerini yükleyebilir:-
Cobalt Strike tarafından oluşturulanlar gibi günlük dosyalarını ayrıştırma işlemi sırasında araç, bilgileri kolayca anlaşılabilecek bir biçimde sunar.
Sonuç olarak, kullanıcılar araç içinde görüntülenen etkinlikleri etiketleyebilir ve bunlar hakkında yorum yapabilir. Operatörler, RedEye uygulamasında bulunan sunum modunu kullanarak bulguları ve iş akışını paydaşlara sunabilir.
Yük etkinliği analistlerini keşfetmek için, seçilen bir kampanyadaki tüm önemli olayları da analiz edebilirler. Bir değerlendirmeden sonra alınan ham verileri kontrol etmek için RedEye kullanmaya ek olarak, mavi ekipler onu daha iyi anlamak için de kullanabilir.
Bu veriler, onlar tarafından saldırı yolunu görmek ve güvenliği ihlal edilmiş ana bilgisayarları öğrendiklerine dayalı olarak uygun eylemi gerçekleştirmek için kullanılabilir.
RedEye çok çeşitli özellikler sunar ve tüm temel özellikleri CISA tarafından hazırlanan aşağıdaki videoda sunulmaktadır:-
RedEye dışında, CISA ayrıca aşağıdakiler gibi birkaç açık kaynaklı araç daha yayınladı: –
Aşağıdaki ana platformlar test edilmiş ve RedEye ile uyumlu oldukları kanıtlanmıştır: –
- Linux (Ubuntu 18 ve üzeri, Kali Linux 2020.1 veya üzeri)
- macOS (El Capitan ve üstü)
- Windows 7 veya daha yenisi
Ayrıca, CISA’nın GitHub’daki deposu, aracı barındırır ve depo aracılığıyla indirilebilir.
Ayrıca Okuyun: Güvenli Web Filtrelemeyi İndirin – Ücretsiz E-kitap