最后更新于2020年3月31日星期二13:36:04 GMT
在Rapid7最近一期的播客中, 安全的国家, 我们采访了乔纳森·克兰, 肯纳安全公司的研究主管. 以下是乔纳森对他的副业项目的看法, Intrigue, 以及安全专业人员在冠状病毒封锁期间是如何打发时间的.
Intrigue
阴谋是一个面向发现组织攻击面和资产情报的框架. 在Jon的渗透测试生涯早期,他就有了“阴谋”的想法. At the time, 渗透测试人员有他们可以使用的自动化平台, like Maltego, 他们也经常自己写剧本. 但是缺少一个框架来封装所有不同的OSINT工具.
《pg电子》的愿景始于Jon关于数据驱动OSINT平台的想法, 类似于Maltego,但具有Metasploit框架的可插拔性和开放性. 从那里,它进化了. 今天,阴谋使用超过130个不同的OSINT来源. 只要输入一个域名,然后按一个按钮, 你会得到一个围绕一个组织的图表,上面有攻击者感兴趣的所有攻击面, 例如应用程序, hosts, people, 电子邮件地址, 而且,自动化使一切变得简单.
它是完全开放的,可以在 GitHub,并且很容易使用Docker进行部署.
应用指纹识别
在阴谋的早期, 乔纳森独自工作, 偶尔会有其他人从项目中进出. Recently, 阴谋在某种程度上被商业化了, 导致一个托管版本和一个承包商团队的工作和帮助建立指纹.
名为Ident的指纹库是独立的,而且 open source. 虽然许多人认为应用程序指纹识别是一个“已解决的问题”,乔纳森发现没有好的BSD, Apache, 或者麻省理工学院授权的软件,很容易为其写指纹.
Ident是用Ruby编写的,并且尽可能多地在第一页抓取. 你可以用一个页面抓取运行500张支票——换句话说,它很快. 除了独立运行, Ident是内置到阴谋引擎,所以每当你扫描一个web服务器, 它会自动指纹的
COVID-19诈骗域名
该播客还深入探讨了由于当前新型冠状病毒的情况,安全领域正在发生的一些事情.
利用新型冠状病毒感染症(COVID-19),每天都有新的诈骗网站出现. Jonathan谈到了安全社区内寻找这些域的倡议.
当Slack频道上的人们共享冠状病毒或covid相关域名时, 乔纳森会把它们拉下来,装进引擎里. 自动化管道扫描它们并获取任何应用程序或应用程序端点的屏幕截图. 它发现服务,对其进行指纹识别,并返回一组信息. 然后可以将其与阴谋预先收集的信息联系起来,以确定给定的端点是否可能与给定的威胁行为者相关联.
缓慢的修补
阴谋有能力扫描某些漏洞, 包括最近针对Microsoft Exchange的远程代码执行漏洞CVE-2020-0688. 远程攻击者可以利用此漏洞控制未打补丁的受影响系统. 乔纳森说,根据他的数据, 在记录时,这些漏洞中只有大约15%被修补. 这个补丁已经发布了几个月了,所以远远落后于计划.
组织可能不愿意给Exchange打补丁,因为这可能会导致中断. 即使是几分钟的停机时间对电子邮件来说也很长. 但是微软补丁的部署速度通常比我们看到的Exchange补丁要快得多. In fact, 微软服务器补丁往往是最快的供应商之一——在30天内, 通常至少有50%打过补丁.
其中一些涉及桌面补丁,这些补丁速度更快,而且通常是自动的. 但乔纳森和主持人也讨论了在大流行期间的可能性, 许多人都在为如何在家工作而苦苦挣扎, 交换补丁可能不是优先考虑的, 避免电子邮件停机可能导致走到数据中心手动重新启动,这比以前更加重要.
开源的黄金时代
乔纳森还谈到了《pg电子》的下一步计划. 他研究的是轻度预扫描组织. 他还添加了Crunchbase数据库和其他一些大型公司数据库, 这有助于改进阴谋引擎. 乔纳森希望有更多的人使用和贡献阴谋. 指纹识别是开始项目的一种简单方法.
他补充说,开放引擎一开始会相对不准确. 它需要一些引导. 托管服务更准确, 因为扫描已经完成,以了解哪些领域属于哪些公司.
播客主持人托德·比尔兹利建议道, 随着“全球书呆子的封锁”,“这可能是开源的黄金时代. Jonathan谈到了开源项目对于学习和实验的价值. 他建议从Golang或Python开始. 学会解决自己的问题,并为他人的项目做出贡献.
“这是一个很好的建议,”乔纳森说. “如果你帮助别人完成他们的项目,他们也会帮助你.”
想知道更多乔纳森和勾心斗角的事? 点击这里收听我们的播客.
