我们回顾过去三个月推出的一些最新的进攻安全工具
黑客夏令营主导新的黑客工具在过去的一个季度中,尽管冠状病毒大流行都在线强迫这两个事件。
黑帽美国看到了大量的进攻工具,其中包括一个开源项目,旨在扫描Kubernetes漏洞,以及对毫无戒心的Windows设备的无声远程代码执行(RCE)攻击自动化的实用程序。
同时,DEF CON看到其通常的黑客攻击爱好者试图妥协在汽车黑客村中的特斯拉。
这是我们最新的综述黑客工具在2020年第三季度。
Vimeo的诗篇安全工具扩展了以支持污点分析
诗篇,Vimeo的开源用于PHP应用的静态分析工具扩展了以支持污染分析。
污点分析使开发人员能够检查应用程序代码中用户输入的流程,并确定“污染”输入是否会损害程序。
该工具寻找可能跨站脚本((XSS) 和SQL注入与用户输入源有关的错误。用户还可以定义自己的自定义污点来源。
此外,在Vimeo的安全团队发现此类商业工具产生的商业工具太多之后,它的配置为减少误报数量。
Pwning Machine - 来自YesWehack的新型Bounty测试环境
是的,欧洲最大的错误赏金平台启动了一个基于Docker的PWNNing环境,配备了“多合一,可定制和可扩展的工具套件”。
配音Pwning Machine,它包括一个DNS服务器,HTTP路由器,Web服务器和管道beplay体育能用吗跑步者。
YesWehack说,该环境旨在由Bug Bounty Hunters使用,并为简化寻找漏洞的过程而开发。
Kubiscan:开源Kubernetes安全工具在Black Hat 2020展示
开源工具Kubiscan可以启用与Kubernetes协调集装箱环境的集群管理员,以缩小其攻击表面。
Kubiscan在今年的虚拟Black Hat USA会议上揭幕。它可以扫描包含特权服务帐户令牌的POD,可以滥用该令牌以发射特权升级攻击或损害集群。
埃文·盖兹(Eviatar Gerzi)解释说,管理员通常会管理拥有一千多个容器的大型环境,这意味着很容易失去对每个容器的控制。
他解释说:“像kubiscan这样的工具可以很好地了解最脆弱的特定容器。”
ATTPWN:对手仿真工具允许笔测试人员在攻击者之前发现安全孔
美国黑帽子揭幕的另一个工具旨在模拟对手的指示恶意软件广告系列或探索秘密网络。
attpwn旨在使渗透测试人员能够根据MITER ATT&CK框架中规定的技术和策略来确定影响组织的潜在弱点。
用于使用视窗机器,它可以模仿众所周知的攻击,例如WannaCry和NotPetya勒索软件活动。
该工具的创建者表示,它也可以用于测试网络针对既定漏洞。
开源后开发后框架自动化Windows设备上的无声RCE攻击
autordpwn是一个爆炸后框架,允许安全专业人员重新创建针对Microsoft Windows系统的影子攻击。
一个影子攻击在美国Black Hat USA上建造PowerShell工具的JoelGàmez解释说,这是滥用滥用阴影会议的术语。
它可以允许远程演员使用操作系统本身的本机工具来查看受害者的桌面,甚至可以按需控制它。
没有明显的警告信号表明已经部署了AutordPWN - 它不会消耗可疑的计算机资源,受害者无法分辨某人是否在实时观看,这意味着RCE攻击可能会引起人们的注意。
Xgitguard使用AI在GitHub上无意间暴露数据来检测
在Black Hat在线活动中,还证明了一种在GitHub上意外暴露在Github上意外暴露的凭证和其他秘密的工具。
配音Xgitguard, 它用人工智能(AI)要挖出API令牌或用户凭据,通常会错误地在开源平台上留下代码。
它的创建者说,该公用事业公司通过利用机器学习提供了一种快速,可扩展的方式来扫描此类信息。
低悬挂的“禁止”水果:后弹力工具的目标无保护的Magento侧翼
安全研究人员发现了副业后工具攻击洋红色驱动beplay体育能用吗可以使攻击者能够查看订单,获得管理访问并创建其他后门的网站。
叫禁止,它也有效地隐藏了妥协的讲述指标,这意味着受害者可能不会引起攻击。
转储功能将获取配置文件和数据库配置信息,包括管理用户名,电子邮件地址和密码哈希。攻击者也可以访问加密Magento使用的密钥用于加密存储数据。
禁止可以在Magento 1和Magento 2环境中使用。
本月其他黑客工具新闻
本月还看到了许多防御工具,旨在改善组织和计算机用户的安全性:
- 新的开源浏览器扩展名配音表现!旨在通过检测端口扫描,访问私人IPS以及Chrome和Firefox的DNS重新启动来改善用户的安全性和隐私。
- 微软研究推出了一项免费服务Project Freta旨在检测LINE Linux系统的存储器快照中的Rootkits和Advanced恶意软件的存在。
- 亚马逊Web服beplay体育能用吗务(AWS)推出了一个新工具 -HTTP Desync Guardian- 旨在“分析HTTP请求,以防止HTTP DESYNC攻击,平衡安全性和可用性”。
- 爱荷华大学,莫兹拉大学和加利福尼亚大学揭幕FP检查员,它使用基于静态和动态JavaScript分析的机器学习模型来使用句法语义方法来检测指纹脚本。
- 和SANS研究所整理了其讲师开发的所有免费工具的清单,通过Twitter发布。