ABD Siber Güvenlik ve Altyapı Güvenliği (CISA) ajansı, operatörlerin komuta ve kontrol (C2) etkinliğini görselleştirmesi ve raporlaması için açık kaynaklı bir analitik araç olan Redeye'yi duyurdu.
Redeye, hem kırmızı hem de mavi takımlar içindir ve pratik kararlara yol açan verileri ölçmek için kolay bir yol sağlar.
CISA ve DOE’nin Pasifik Kuzeybatı Ulusal Laboratuvarı'ndan ortak bir proje olan Redeye, karmaşık verileri daha sindirilebilir bir formatta sunmak için saldırı çerçevelerinden (örneğin kobalt grevi) günlükleri ayrıştırabilir.
Araç, kullanıcıların işaretler ve komutlar gibi ilgili bilgileri görüntülemek için kampanya verilerini yüklemelerine olanak tanır.
Redeye'ye yüklenen her kampanya günlüklerinin geçmiş kayıtları, sunucuları ve ilgili ana bilgisayarları ilişkilendiren grafiksel bir temsilde görüntülenebilir.
Analistler ayrıca, yük etkinliğini keşfetmek ve bir saldırganın yanal hareket etkinliği veya bir makinedeki ayrıcalıkları artırmak için kimlik bilgilerinin kullanımı gibi bir saldırganın penetrasyon yolunu takip etmek için seçilen bir kampanyadaki önemli olayları keşfedebilir.
Redeye'de bulunan özellikler, analistlerin saldırganın etkinliği hakkında daha iyi işbirliği ve saldırı yolunu anlamak için yorum yapmasına izin veriyor.
Analistlerin yorumlarını ve kampanyada kullanılan teknikleri kullanan Redeye, paydaşlar ve müşterilerle paylaşılabilecek sunumlar da oluşturabilir.
Bir kampanyadan toplanan tüm veriler ve analistlerin yorumları dışa aktarılabilir, böylece müşteriler gözden geçirebilir
Mavi ekipler, bir değerlendirmeden alınan ham verileri daha kolay anlamak için Redeye'yi kullanabilir ve saldırı yolunu ve tehlikeye atılan ana bilgisayarları görüntüleyebilir, böylece uygun önlemleri alabilirler.
Şu anda Redeye, Kobalt Strike Framework'ten günlükleri ayrıştırabilir.
Linux (Ubuntu 18 ve üstü, Kali Linux 2020.1 veya daha yeni), macOS (El Capitan ve üstü) ve Windows 7 veya daha yeni üzerinde çalışmak için test edilmiştir.
Araç GitHub'da, CISA’nın deposunda mevcuttur.
CISA ayrıca Redeye'de bulunan ana özelliklerden geçen bir video yayınladı:
Redeye, CISA'nın son birkaç yılda açık kaynaklı projeler olarak yayınladığı bir dizi araçta en son.
Bunlar arasında Malcom - bir ağ trafik analiz aracı, ICS NPP - Endüstriyel Kontrol Sistemleri Ağ Protokolleri, Sparrow - Azure ve Microsoft 365 ortamlarındaki olası uzlaşmış hesapları ve uygulamaları tespit etmek için bir PowerShell komut dosyası.
Fast Company, yönetici yönetim kurulu üyesi bilgilerinin saldırıda çalınmadığını söylüyor
Hacker, Fast Company'nin sitesini nasıl ihlal ettiklerini iddia ediyor
Uber Hack'in bize Gezinme Gezinme Hakkında Ne Öğretebileceği Neler
Adata, Ransomhouse siber saldırısını reddediyor, diyor 2021 ihlalinden sızan veriler
MFA Yorgunluk: Hacker'ların yüksek profilli ihlallerde yeni favori taktiği
Kaynak: Bleeping Computer