用于红蓝匹敌的项目管理工具——Ghostwriter | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

用于红蓝匹敌的项目管理工具——Ghostwriter

申博_安全防护 申博 71次浏览 未收录 0个评论

在过去的一年中,SpecterOps 团队一向致力于处置惩罚一个题目: 项目治理。 这不是一个迥殊吸引人的话题; 然则,它关于安稳的营业操纵和确保高质量的可托付效果是必不可少的。 在没有必要的信息或资源治理的状态下最先一个项目设想,就像在没有设想设想的状态下急急举行一个家庭装修项目。 你能够已制作好了你一向想要的门廊,但在这个历程当中你能够遇到过材料缺少的状态,或许你去五金店跑了很屡次,或许你把一些木板削的太短。SpecterOps 团队很兴奋能够公然宣告我们的研发效果:

Ghostwriter(枪手)是我们团队开辟的东西的一部份。 它辅佐我们在一个应用顺序中治理客户端、项目、报告和基本设施。 它并不庖代一些比较罕见或传统的项目治理东西,如规范项目治理体系(CRM),但它确切兼并了一切相干的项目信息,运用户能够轻松地治理项目的各个方面。

如今能够在 GitHub 上找到 Ghostwriter:

GhostManager/Ghostwriter

经由历程关注我们事变流程中的每一个部份,我们不停的发明能够“光滑车轮”的时机,并对我们的项目治理举行优化调解。 我们愿望找到一个易于进修、易于运用的处置惩罚方案,而且最主要的是——成为一个我们真正想要运用的完整平台。

枪手的主要特点有:

客户端治理

· Ghostwriter 跟踪客户端和相干的信息,为每一个客户端及其相干项目供应学问中间

项目治理

· 建立项目并将其附加到客户端以构造项目使命,个中能够建立和检察项目使命的纪录

基本设施跟踪与治理

· 跟踪和治理域名和效劳器

· 自动看管这些资产发生的任何题目,比方开放给互联网的端口和负面域名种别的变化

报告引擎

· 报告引擎能够输出包含客户端、项目、基本设施的运用状态、资产发明等信息的报告

· 当前的报告花样是 JSON 和 Office docx、 xlsx 和 pptx 文档

自动化

· Ghostwriter 能够扩大为在背景、按需或按时刻表运转恣意使命

· 使命包含: 经由历程 WebHook 发送 Slack 音讯,DNS 和域名分类更新,在项目终了时开释域名和效劳器,在项目终了后归档报告,一切这些功用在 tasks.py中都是可定制的

说到自动化,能够运用单个 Docker 敕令布置全部平台,以供当地开辟、调试和临盆运用。

请继承阅读,进一步相识这些特征以及它们的设想和建立背地的决议计划历程。

Ghostwriter 特征精选

Ghostwriter 是一个功用雄厚的应用顺序,因而很难在这里详细描述每一个功用。 相反,我们将集合议论一些重点、上风和 Ghostwriter 供应的平常事变流程。

用户仪表板

起首,每一个用户都有本身的账户。 这关于跟踪用户操纵和分派的与项目相干的使命是必要的。 当用户登录时,他们会看到他们项目的当前状态的概述,比方他们附加到哪些项目,以及与他们的运动基本设施(比方域名和效劳器)相干的关照。

Ghostwriter 运用 django-allauth 举行身份验证。 默许的身份验证要领是用户名和暗码,然则你能够经由历程林林总总的效劳启用 SSO,包含很多你的团队能够已在运用的效劳(比方 GitHub,Bitbucket,Box,Slack,Trello)。 Django 还能够设置为运用 LDAP、 ADFS 和其他身份验证要领。

客户端治理员

当新事变到来时,用户应当将一个新客户注册到 客户端治理员 应用顺序—— Rolodex。

当用户增加一个新的客户端时,他们只须要输入一个称号和一个“短称号”(这个缩写能够在今后的报告中运用)。 一旦建立了客户端,Ghostwriter 将天生并分派一个唯一的代码名。 代码名关于公然援用项目异常轻易,假如你不喜欢 Ghostwriter 天生的代码,能够从新编写代码。

用户能够依据须要向新客户端增加联系点和申明。 客户端治理员一最先能够以为本身只是 Ghostwriter 的一小部份; 但是,它会逐步变成一个有价值的信息中间。

跟着时刻的推移,客户页面上收集的笔记和项目汗青使得回忆团队与客户的汗青变得简朴,回忆旧项目,检察哪些参谋与客户合作过以及以何种身份合作过。 更好的一点是,这些信息和其他信息一样存在于同一个处所,因而在数据源之间的腾跃就更少了。

项目治理员

在检察客户端页面时,新项目被建立并附加到客户端。 这些项目会自动与客户端关联,并按范例分类(比方,渗入测试、收集评价)。 项目还须要最先和终了日期(能够在任何时刻举行编辑) ,并供应一个 Slack 通道称号选项。

一个新项目的页面一最先会显得空空如也。 第一步(可选的,然则引荐如许做)包含向这个新项目增加一个团队。 团队成员是从 Ghostwriter 的用户列表中遴选出来的,并被分派到项目角色(比方: 评价主管、项目经理)。 固然,你能够依据须要增加或编辑角色。

你还能够为项目供应一个 Slack 通道。 能够设置 Ghostwriter 经由历程 Slack WebHook 将 Slack 音讯发送到指定的频道。 很轻易向 Ghostwriter 增加新的背景使命来实行一些操纵,比方在最先日期之前向项目团队发送提示,或许宣告与项目相干的基本设施涌现了题目(详见下文)。

关于客户端和项目的设置就是这些基本的内容,如今是时刻最先运用基本设施了。

提取iOS 12.4文件系统的方法

iOS 12.4目前已被已越狱,而Elcomsoft iOS取证工具包就是成功越狱的神奇。将两者结合使用,可以对文件系统进行映像,并解密运行大多数iOS版本的iPhone和iPad设备的钥匙串(除了iOS 12.3和最新的12.4.1,但12.4目前仍在签名)。 这种越狱的情况比表面上看到的要复杂得多,目前市面上只有两种不同的越狱工具:unc0ver和Chimera。这两种越狱工具目前都有几个迭代版本,另外,它

基本设施治理员

关于那些亲昵关注 Shepherd 项目的人来讲,基本设施治理员能够看起来很眼熟。 Ghostwriter 包含了一个带有新功用和革新功用的完整重写的 Shepherd 新版本。

简言之, Shepherd 能够辅佐团队治理域名和效劳器之前,时期和以后的操纵。 这篇文章引见了 Shepherd 已深切到设想和事变流程,所以请参考这篇文章的初期 Ghostwriter 设想(约莫2019年1月)和Shepherd 的细节。 以下将是一个简短的总结。

在域名方面,Shepherd跟踪一切可用域名及其相干数据(比方注册商、购置日期、到期日期、域名运用限期等) ,并应用从 Bluecoat、 McAfee 和 VirusTotal 等泉源收集的分类信息雄厚这些数据。 分类搜检能够依据请求运转,也能够作为设想背景使命运转。 能够依据团队的须要单次更新或一次更新一切域名。 更新域名 DNS 纪录也存在相似的历程。

假如一个域名出如今 VirusTotal 中(比方歹意软件下载行动掷中)或许被标记为一个坏种别(比方垂纶、可疑、欺骗) ,Ghostwriter 将该域名的“康健状态”更新为“销毁” ,关于团队来讲,这是一个明白的指示器,表明域名不应当再被用于隐藏的基本设施。 你能够请求对各个域名或一切域名举行这些搜检,并设置自动搜检的设想使命。

 用于红蓝匹敌的项目管理工具——Ghostwriter

域名信息的展现,包含域名运用限期和种别

Shepherd 还充任你的域名的图书治理员。 团队成员能够“下架”某个项目的域名,该项目从可用域名池中删除该域名,将该域名附加到项目和客户端,并向每一个人显现该域名正在运用。 Shepherd有一个背景使命,这个使命将搜检下架的域名,并在域名行将宣告之前(默许宣告前一天)向 Slack 发送一条音讯,然后在域名宣告当天发送一条音讯。 你能够将这些使命部署在对你的团队最有效的任何时刻表上实行。

效劳器跟踪相似于域名跟踪。 在 Ghostwriter 中追踪的 IP 地点将是用于 Cobalt Strike 和 Covenant 团队效劳器的静态 IP 地点。 这些效劳器不应当将端口和效劳公然给全部互联网。 相反,用于敕令和掌握效劳的端口应当被来自互联网的治理局限和重定向效劳器的白名单划定规矩断绝。 经由历程按期扫描基本设施并在发明开放端口时提示你,Ghostwriter 能够辅佐你确保这一点。

说到重定向,第二个区别是Shepherd跟踪两种范例的效劳器: 具有静态 IP 地点的效劳器和所谓的“暂时效劳器” ,即种种基于云的效劳器,它们将在全部项目历程当中进进出出。 如今,你能够疾速建立这些效劳器并将其附加到项目中,以跟踪它们的 IP 地点、用处、供应顺序和申明。

假如你的团队运用基于云的效劳器处置惩罚一切事变,那末你依然能够运用 Ghostwritre 的基本设施治理器。 事变流程的唯一变化是一切的效劳器都将作为暂时效劳器举行跟踪,而不是在 Ghostwriter 的效劳器库中举行跟踪。

在项目终了时,你能够会获得多个域名、多个静态效劳器和一些附加到项目的暂时效劳器。 这个汗青纪录是永久性的,所以你有一个历久的关于哪一个域名和 IP 地点已与客户机相干联以及在什么时刻由于什么相干联的纪录。

一切这些数据都包含在报告中,以辅佐你相识 C2基本构造的诠释和申明。 在对蓝队举行评审时,这是最有效的信息。 这些信息能够疾速确认 IP 地点、域名以及它们的运用时刻和运用体式格局,关于搜检在练习训练中检测到和未检测到的内容异常有辅佐。 当你须要确认红队的流量状态是不是与蓝队在练习训练中看到的状态符合时,这也有助于处置惩罚争执请求。

报告撰写人

基本设施治理器很棒,但 Ghostwriter (中文名:枪手,望文生义)在辅佐你举行报告事变方面真的很精彩。 报告引擎治理发明、视察效果、项目报告、证据文件和报告天生(docx、xlsx、pptx 和 JSON)。

用于红蓝匹敌的项目管理工具——Ghostwriter

天生报告

到目前为止议论的一切内容终究都使得报告引擎能够接见大批数据。 当 Ghostwriter 建立一个报告时,它能够挪用任何东西,从客户的名字到项目的实行窗口,运用的基本设施,以及调查效果。

报表天生从向项目增加报表最先。 这许可依据须要为项目建立多个零丁的报表。 然后用户能够阅读调查效果数据库,并将调查效果和视察效果增加到他们当前的报告中。

一旦发明附加到报告中,对该发明举行的任何编辑都只影响该报告。 用户能够为所欲为地增加证据和定制他们以为适宜的调查效果,而不必忧郁会影响其他报告。 当谈到编辑,Ghostwriter 支撑种种关键字,并可用于模板。

用于红蓝匹敌的项目管理工具——Ghostwriter

为调查效果和报告天生供应的Ghostwriter 关键字选项

关键字是大括号中的字符串(比方e.g. {{.bulleted_list}})。或许最风趣(也是最酷的)的关键词是你让本身自定义。 用户能够上传和附加证据文件的调查效果。 Ghostwriter 支撑图片(jpg、 jpeg、 png)和文本(log、 ps1、 py、 txt、 md)文件,并将这些文件存储在效劳器上。 经由历程这类体式格局,一切其他用户都能够看到证据并举行合作。 作为这个上传历程的一部份,用户被请求供应一个“友爱的名字”和一个题目。 这个友爱的称号成为能够在查找内部运用的关键字。

用于红蓝匹敌的项目管理工具——Ghostwriter

Ghostwriter 的证据上传表格

比方,上传一个 BloodHound 图并命名为“ Attack Path 1 Graph”会建立一个新的{{.Attack Path 1 Graph }} 关键词。 不管在搜刮效果的文本中运用了哪一种体式格局,Ghostwriter 都会把图片和下面的题目一同放进去。 关于文本证据也是云云,然则在模板中运用 Ghostwriter 的“代码块”款式时,它将被删除。

用于红蓝匹敌的项目管理工具——Ghostwriter

Ghostwriter 的查找编辑表单

这些模板运用户能够轻松地定制报告,而无需打仗代码库。 像字体和色彩如许的款式转变的细节在 template.docx 和 .pptx 文件中都有很好的支撑。 经由历程这类体式格局,用户能够操纵一切的 Office 报告,以至不须要明白 Python。 更深切的变动将须要编辑代码,但我们已尝试经由历程将一切报告天生函数放在一个文档完整的 Python 文件中,使这个历程尽量简朴。

关于那些愿望能够做一些真正差别的事变的人,有一个直接的 JSON 输出。 我们已将 Ghostwriter 的 JSON 输出显现为报告范例,因而用户能够运用它并将其与其他报告引擎一同运用,或许编写本身的剧本以轻易地建立自定义报告。 JSON 报告包含关于客户机、项目和评价效果的一切信息。

 用于红蓝匹敌的项目管理工具——Ghostwriter

Ghostwriter 的 JSON 输出示例

一旦项目终了,Ghostwriter 能够清算项目及其相干报告。 假如你设置了设想使命,Ghostwriter 将守候一段时刻(默许是90天) ,然后归档项目。 这会将天生的一切报告范例、收集一切证据文件以及将一切内容压缩到 zip 文件中。 这个归档文件被移动到一个零丁的归档目次中,并在它本身的数据库模子中与客户机和项目相干联。 这个历程还会删除证据文件和报表目次,如许旧文件就不会逐步堆积在效劳器上。

然后你能够依据构造的数据保存战略下载和处置惩罚归档文件。

总结

我们很兴奋能够终究公然议论这个项目,我们愿望其他团队能够发明它是有效的。 项目治理和报告撰写不一定是一项困难的使命! Ghostwriter 不能让你享用写报告的兴趣,但它能够绕过尖利的边沿,消弭一些磨擦,使报告撰写有更兴奋的体验。

定义1.0发行版所需的特征另有很长的路要走; 但是,这还不是终了! 在可预感的将来, Ghostwriter 将处于主动的开辟阶段。 我们设想的一些特征包含:

· 告警和检测战略文件的治理和天生

· 运用时刻戳、输出和进击使命的证据跟踪完整的运动日记跟踪

· Ghostwriter增加了其他报告花样,比方 PDF,而且在 Ghostwriter 中举行更直接的编辑以支撑这些花样

· 加强报告编辑才能,在 Ghostwriter 中构建更多的报告片断

本文翻译自:https://posts.specterops.io/introducing-ghostwriter-part-1-61e7bd014aff


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明用于红蓝匹敌的项目管理工具——Ghostwriter
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址