Nemesis, saldırgan güvenlik değerlendirme verilerini (yani sızma testleri ve kırmızı ekip çalışmaları sırasında toplanan veriler) alan, zenginleştiren ve bunlar üzerinde analizler gerçekleştiren merkezi bir veri işleme platformudur. Nemesis, her ikisi de güvenlik alanında çalışan Lee Chagolla-Christensen ve Will Schroeder tarafından oluşturulmuştur. SpectreOps’taki araştırmacılar.
Tek bir dosyanın ayrıntılarını analiz etme
Nemesis ile merkezi veri işleme
Çözüm üç ana sorunu çözmeye çalışıyor:
- Yeni tekniklerin piyasaya sürülmesindeki hızlı ilerleme, şirketlerin kullandığı çok çeşitli teknolojiler ve yeni zanaatları öğrenmek için gereken zaman nedeniyle, saldırı amaçlı ticarete ilişkin bilginin ölçeklendirilmesi zordur.
- Saldırgan veriler birleşik değildir: bütünsel olarak modellenip analiz edilmek yerine belirli araç ve makinelerin içinde saklanır.
- Dosya ve araç çıktı önceliklendirmesi, farklı düzeylerde deneyim, eğitim, bilgi, can sıkıntısı ve zaman kısıtlamaları nedeniyle tutarsızdır.
Siber güvenlik analizi
Chagolla-Christensen bize Nemesis’in çeşitli C2 platformlarından (örneğin, Cobalt Strike, Mythic, Sliver, vb.) verileri merkezi bir konumda topladığını, ardından verileri analiz ettiğini, zenginleştirdiğini ve veriler için işbirlikçi kullanıcı arayüzü arayüzleri sağladığını söyledi. Nemesis şu anda öncelikle indirilen dosyaları analiz etmeye odaklanıyor ve dikkate değer özellikleri arasında şunlar yer alıyor:
Belge oluşturuluyor: Tüm belgeleri tarayıcıdan erişilebilen bir PDF’ye dönüştürür, belgelerden metin çıkarır ve bunları aranabilir hale getirir, tüm belgelerdeki/dosyalardaki tüm metni kimlik bilgileri için tarar ve parola korumalı belgeleri kırmaya çalışır.
Yazılım güvenlik açığı analizi: Yürütülebilir dosyalardan ortak özellikleri çıkarır ve saklar (örneğin, PE içe aktarma ve dışa aktarma, sürüm/imza ayrıntıları, .NET meta verileri, bölüm bilgileri), .NET kodunu kaynak koda dönüştürür, .NET yürütülebilir dosyalarını potansiyel güvenlik açıklarına karşı tarar ve kaynak kodunu kolayca aranabilecek şekilde indeksler/ görüntülenebilir.
Hassas verilerin otomatik şifresinin çözülmesi: Windows’un veri koruma API’si (kaydedilmiş Wi-Fi şifreleri veya Chrome veya Edge’deki şifreler/çerezler gibi verileri içerir) kullanılarak şifrelenmiş veriler için tüm dosyaları tarar, bu verileri korumak için kullanılan şifreleme anahtarlarını izler ve kırar ve verileri ortaya çıkarmak için otomatik olarak verilerin şifresini çözer. hassas veri.
Dosya önceliklendirme görünümü
İlginç bulgular
SpecterOps ekibi Nemesis’i şirket içinde kullanıyor ve Chagolla-Christensen bize bazı harika kazanımların dahil olduğunu söyledi:
- Gizli tarama, indirilen dosyaların önceliklendirilmesini büyük ölçüde hızlandırır (örneğin, bash geçmişlerindeki ve uzun bash/PowerShell/VBS komut dosyalarındaki kimlik bilgilerini anında tanımlar) ve üçüncü taraf bir ürüne gömülü çeşitli API anahtarlarını keşfeder (ürünün tüm ikili dosyalarını içeren bir .zip, Nemesis’e yüklendi ve zip’i çıkardı ve API anahtarlarını keşfetti).
- Otomatik dosya işleme, daha önce bilinmeyen DPAPI bloblarını içeren dosyaları ve kayıt defteri anahtarı değerlerini keşfeder.
- Değerlendirme ekiplerimizden, dosyaları hızlı bir şekilde analiz etmelerine (örneğin, yerleşik metin düzenleyicide veya dönüştürülmüş Microsoft Office belgelerini tarayıcıda görüntüleme) ve dosya önceliklendirme çabalarını işbirliği içinde takip etmelerine olanak tanıyan, dosya önceliklendirme kullanıcı arayüzüyle ilgili harika geri bildirimler.
Nemesis için sırada ne var?
“Nemesis’e eklemeyi planladığımız bir sonraki büyük şey, ana bilgisayar veri modellemesidir. Yerel ayrıcalık yükseltme fırsatları ve/veya daha iyi ana bilgisayar ve ağ durum farkındalığı gibi, hedef ağda (şimdiye kadar) toplanan verilerden elde edilen iş akışına özgü ticari zanaat önerilerini vurgulamamıza olanak tanıyacağından bu konuda heyecan duyuyoruz. Ana bilgisayar veri modellemesine ek olarak, önümüzdeki yıl çok daha fazla dosya işleme yeteneği eklemeyi, ortaya çıkan bazı hataları gidermeyi ve bazı dağıtım yüklerini hafifletmeyi planlıyoruz” dedi Chagolla-Christensen Help Net Security’ye.
Nemesis GitHub’dan indirilebilir.
Göz önünde bulundurulması gereken daha fazla açık kaynak araç: