28 Mart 2019'da FireEye, 140'tan fazla açık kaynak Windows penetrasyon araç seti içeren bir paket yayınladı.Hem kırmızı takım penetrasyon test edicileri hem de mavi takım savunucuları üst düzey keşif ve istismar programlarına sahip. Araç setine "CommandoVM" adı verilir.
Güvenlik çalışanları, sistem ortamında sızma testleri yaptıklarında genellikle kendi sanal makinelerini yapılandırırlar.Linux ise sorun değil ve Kali Linux kullanılabilir. Ancak Windows ortamıyla karşılaştığınızda kötü bir durumdur ve sanal makine ortamını yapılandırmak genellikle birkaç saat sürer. Özel bir sanal makine ortamını korurken, aynı zamanda entegre araç takımını sık sık yükseltirken, zaman maliyeti oldukça yüksektir. Huoyan kısa süre önce kırmızı ekipler için bir Commando sanal makine sızma testi paketi başlattı. İhtiyacı olanlar göz atabilir. Ücretsiz ve kullanımı kolaydır.
FireEye'ın bir yan kuruluşu olan Mediian Cyber Security danışmanı ve Commando VM Suite'in kurucu ortağı Jake Barteaux şunları söyledi:
Dahili sızma testi yürütürken, çevremdeki sızma testi mühendislerinin çoğu önce bir Windows test ortamı yapılandıracak. Bu ortamın iyi yapılandırılıp yapılandırılamayacağı ve ne kadar hızlı eşleştirilebileceği, sızma testi mühendislerinin beceri düzeyini ölçmek için standart haline geldi. Birçoğu, Commando'da bulunan araçları yapılandırdıkları ortama entegre edecek, ancak Windows'ta sızma testi yaparken standart bir araç seti oluşturmamışlar.
Bu sefer Huoyan tarafından başlatılan standartlaştırılmış araç paketi en kritik iki sorunu çözdü. Birincisi, en iyi sızma testi araçlarının entegrasyonudur, bu nedenle aramaya çok fazla zaman harcamanıza gerek yoktur. İkincisi, 2013'te piyasaya sürülen Kali Linux'un 600'den fazla güvenlik, adli tıp ve keşif aracını devralmasıdır.Komando, çoğu Windows platformu tarafından yerel olarak desteklenen Windows platformu için en iyi araçları seçti.
Sızma test cihazlarının karşılaştığı ikinci sorun, araç setinin bakımıdır. Commando VM, bakımı hızlandırmak ve daha kolay yama ve güncelleme yapmak için tüm araçları bir sürüm sürümünde paketler.
Commando VM hakkında
FireEye tarafından bu kez başlatılan Commando VM paketi, Windows platformu için oluşturulmuştur. Daha önce piyasaya sürülen FLARE VM paketinin yeni bir yinelemeli sürümüdür. İkincisi, tersine mühendislik ve kötü amaçlı yazılım analizinde uzmanlaşmıştır. Commando VM daha kapsamlı işlevlere sahiptir ve Windows ortamında dahili sızma testi için ilk tercihtir. platform.
Windows platformunda oluşturulmuş bir sanal makine ortamını kullanmanın aşağıdaki belirgin avantajları vardır:
1. Windows ve Active Directory için yerel destek;
2. C2 çerçevesinde geçici bir çalışma alanı olarak kullanılabilir;
3. Daha rahat paylaşım ve etkileşimli operasyon desteği;
4. PowerView ve BloodHound gibi destek araçları;
5. Test hedefi üzerinde etkisi yoktur.
Araç listesi (ayrıntılar için makalenin sonundaki GitHub adresine bakın)Commando VM, tüm yazılımları kurmak için Boxstarter, Chocolatey ve MyGet yazılım paketlerini kullanır ve aşağıdaki alanları kapsayan toplam 140'tan fazla penetrasyon testi için çeşitli araçlar ve yardımcı programlar sağlar:
Nmap
Wireshark
Sözleşme
Python
Git
Uzaktan kumanda
Sunucu Yönetim Araçları
Sysinternals
Mimikatz
Burp-Süit
x64dbg
Hashcat
Kırmızı-mavi çatışmada her iki taraf da Commando VM'den yararlanabilir Mavi ekip için, süit yüksek performanslı ağ denetimi ve algılama yetenekleri sağlar.
Kurulum
Commando VM'yi bir sanal makinede dağıtmanız ve ortamı yeniden yapılandırmak için gereken süreyi azaltmak için sanal makine yazılımının anlık görüntü işlevini kullanmanız önerilir. Sanal makine ortamı aşağıdaki minimum gereksinimleri karşılamalıdır:
60GB disk alanı
2 GB RAM
Sanal makinenin temel yapılandırmasını tamamladıktan sonra, aşağıdakileri desteklemek için Windows görüntüsünü yükleyin:
Windows 7 Hizmet Paketi 1
Windows 10
Daha fazla işlevi desteklemek için Windows 10 yansıtma kullanmanız önerilir.
Sistem kurulduktan sonra, kopyalama / yapıştırma, ekran görüntü ayarı ve diğer ayarları desteklemek için destekleyici sanal makine araçlarının (VMware Tools gibi) eklenmesi önerilir. Sanal makine ortamı başarıyla yapılandırıldıktan sonra, aşağıdaki tüm adımlar ortamda gerçekleştirilir.
1. Sistemin en son sürüme güncellendiğinden emin olmak için Windows Update'i çalıştırın. Güncelleme tamamlandıktan sonra sistemi yeniden başlatmanız ve tekrar kontrol etmeniz önerilir.
2. Sistemin en son sürüm olduğundan emin olun ve bir anlık görüntü oluşturun, yeniden yapılandırmanız gerekirse, sistemi kurma zamanından tasarruf edebilirsiniz.
3. Commando VM dosyasını GitHub'dan indirin ve sıkıştırmasını açın.
4. Açılmış klasör dizinini bulun ve yönetici ayrıcalıklarına sahip bir PowerShell oturumu açın (Commando VM'nin kurulumu, sistem ayarlarının değiştirilmesini gerektirir).
5. PowerShell yürütme politikasını sınırsız olarak değiştirmek için aşağıdaki komutu yazın ve PowerShell tarafından istendiğinde "Y" yanıtını verin: Set-ExecutionPolicy unrestricted
6. install.ps1 kurulum komut dosyasını çalıştırın. Sistem, mevcut kullanıcının şifresini soracaktır. Commando VM, yeniden başlatmanın ardından otomatik olarak oturum açmak için geçerli kullanıcının parolasını gerektirir. Mevcut kullanıcının şifresini "-parola" komut satırı üzerinden belirtebilirsiniz.
7. Yükleme işleminin geri kalanının İnternete bağlanması ve otomatik olarak yürütülmesi gerekir Ağ hızına bağlı olarak tamamlanması 2 ila 3 saat sürebilir. Bu süre zarfında sanal makine sistemi birkaç kez yeniden başlayacaktır. Kurulum tamamlandıktan sonra, PowerShell'i açık tutun, çıkmak için herhangi bir tuşu yazın, tamamlandıktan sonra masaüstü aşağıdaki gibidir:
8. Bu masaüstünü gördükten sonra, tüm yapılandırmaların etkili olduğundan emin olmak için sistemi yeniden başlatın. Yeniden başlattıktan sonra, ara sıra ihtiyaçlar için tekrar bir anlık görüntü oluşturun.
Portal
Commando VM sayfası: https://www.fireeye.com/blog/threat-research/2019/03/commando-vm-windows-offensive-distribution.html
Commando VM proje adresi: https://github.com/fireeye/commando-vm
* Referans kaynağı: FireEye, Freddy tarafından derlenmiş, FreeBuf.COM'dan yeniden basılmıştır.