大柚子

这世界不过如此

概述

CF 是一个云环境利用框架,适用于在红队场景中对云上内网进行横向、SRC 场景中对 Access Key 即访问凭证的影响程度进行判定、企业场景中对自己的云上资产进行自检等等。

使用

CF 下载地址:github.com/teamssix/cf/releases

更多使用可以参考:https://wiki.teamssix.com/CF/

一些痕迹

在被攻击者获取到AccessKey并使用CF利用后,会留下什么痕迹呢,这里收集了一些可以参考的排查项。

阿里云

AccessKey审计

在阿里云的访问凭证管理中,是可以查看所有AccessKey的操作记录的

点击后会 跳转至AccessKey审计界面(目前在公测),在这里面可以看到操作的IP信息,访问的云服务,设计的事件列表,资源列表。

RAM访问控制–身份管理–用户信息

使用CF接管控制台的时候,是会创建一个RAM用户,如果没有删除,是可以 在RAM访问控制界面查看有无异常的用户。

腾讯云

云审计

针对腾讯云上的监测,在控制台有个云审计的功能,里面可以看到相关的操作信息(有点不友好,太多太杂)

访问管理–用户列表

同阿里云一样,当接管控制台的时候,会生成一个默认用户“crossfire”,可以在访问管理中查看是否有可疑用户。

Print Friendly, PDF & Email

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注