ブログ(脅威調査)

Commando VM: 初の攻撃用Windowsディストリビューション


ペネトレーション・テスト担当者が、安定かつサポートされたLinuxテスト・プラットフォームを選ぶ場合、業界ではKaliが主力のプラットフォームであるとされています。しかし、オペレーティング・システムとしてWindowsを使用したい場合、適当なプラットフォームがないと思ったことがあるかもしれません。セキュリティ研究者であれば、おそらく誰もが少なくとも1度は、Windowsの作業環境のカスタマイズに何時間も費やしたことがあるでしょう。そして、ペネトレーション・テストの実施期間中はずっと、同じツール、ユーティリティ、および技術を使用します。したがって、すべてのツール・セットを最新の状態に保ちながらカスタマイズした環境を維持するのは、誰にとっても煩わしい作業となります。そのような背景を踏まえて、ペネトレーション・テストやレッドチームの担当者をサポートすることに焦点を当てたWindowsディストリビューションを作成しました。

Complete Mandiant Offensive VM(Commando VM)は、リバース・エンジニアリングとマルウェア解析に注力した、人気のFLARE VMをベースに作成されました。Command VMには自動スクリプトが付属しており、独自のペネトレーション・テスト環境を構築し、VMのプロビジョニングとデプロイを容易にできるようになっています。このブログ記事では、Commando VMの機能、インストール手順、プラットフォームの例示的なユースケースを説明します。Commando VMは、Githubから入手してください。

Commando VMについて

ペネトレーション・テスト担当者は通常、Active Directory環境を評価する際に、独自のWindowsマシンを使用します。Commando VMは、特に、これらの内部ペネトレーション・テストを実施するための主力のプラットフォームとなるように設計されました。Windowsマシンを使用する利点には、WindowsおよびActive Directoryのネイティブ・サポート、C2フレームワークのステージング領域としてVMを使用すること、ファイル共有をより簡単に(かつインタラクティブに)行うこと、クライアントの資産上に出力ファイルを残さずPowerViewBloodHoundなどのツールを使用できること、などがあります。

Commando VMは、BoxstarterChocolatey、およびMyGetパッケージを使用して、すべてのソフトウェアをインストールし、ペネトレーション・テストをサポートする多くのツールおよびユーティリティを提供します。このリストには、以下を含む140以上のツールが含まれています。

このような汎用性を備えたCommando VMは、あらゆるペネトレーション・テスト担当者およびレッドチーム担当者のための、Windowsマシンのデファクト・スタンダードになることを目指しています。これを読んでいるブルーチームの担当者も心配しないでください。ブルーチームも全面的にサポートしています! Commando VMに含まれる汎用性の高いツール・セットは、ブルーチームに対しても、ネットワークの監査や検知機能の向上に必要なツールを提供します。また、一連の攻撃ツールを手に入れることで、ブルーチームが、攻撃ツールや攻撃の傾向を把握するのにも役立ちます。


図1:ブルーチームの全面的サポート

<中略>

最後に

紹介したツールはすべて、デフォルトでVMにインストールされます。ツールの完全なリストおよびインストール・スクリプトについては、Commando VMのGithubレポジトリを参照してください。FireEyeでは、さらに多くのツールや機能の追加、機能強化を目指すため、お客様からのフィードバックをお待ちしています。このディストリビューションがペネトレーション・テスト担当者の標準ツールになれば幸いです。そして、Windows攻撃プラットフォームの改善と開発について引き続き邁進してまいります。

本ブログは、米FireEyeが公開した「Commando VM: The First of Its Kind Windows Offensive Distribution」の要約版です。技術詳細を含むブログ全文(英語)は次のリンクをご参照ください。
https://www.fireeye.com/blog/threat-research/2019/03/commando-vm-windows-offensive-distribution.html