关于FalconHound
FalconHound是一款专为蓝队研究人员设计的多功能安全测试工具,该工具允许广大研究人员以更加自动化的形式增强BloodHound的能力,并将其整合进渗透测试活动中。除此之外,该工具还可以跟SIEM或其他日志聚合工具一起使用。
FalconHound支持在图中查看目标环境的最新状态,这种功能对于不断变化的场景环境非常有用。BloodHound最难收集的关系之一是本地组成员和会话信息。作为蓝队队员,我们在日志中随时可以获得这些信息。同样的,FalconHound也可以收集这些信息并将其添加到图中,以便让BloodHound使用它们。
除此之外,图还可以用来触发警报或生成数据更加丰富的列表。FalconHound还可以用于查询图数据库,以查找访问到敏感或高特权组的最短路径。如果有路径,则可以将其记录到SIEM或用于触发警报。
工具使用场景
1、根据登录和注销事件在图中添加、删除或超时会话;
2、当用户和计算机在Sentinel或MDE中被记录下事件时,在图中标记为已渗透;
3、添加CVE信息以及是否存在可用的公共漏洞;
4、各种Azure活动;
5、将用户添加到组或赋予新角色时,重新计算敏感组的最短路径;
6、将新用户、组和计算机添加到图中。
7、为Sentinel和Splunk生成丰富的数据列表,例如Kerberoastable用户或拥有某些实体所有权的用户;
8、当前版本的FalconHound仅支持Neo4j数据库和BH CE即BHE的API;
工具要求
1、BloodHound;
2、最新版本Neo4j数据库;
3、一个SIEM或其他日志聚合工具,当前支持Azure Sentinel和Splunk;
4、需要交互的终端凭证信息;
支持的平台
Windows
Linux
macOS
工具安装
由于该工具基于Go语言开发,因此我们首先需要在本地设备上安装并配置好最新版本的Go语言环境。
接下来,广大研究人员可以直接访问该项目的【Releases页面】以下载对应操作系统平台的预编译FalconHound。
工具使用
运行FalconHound时添加-go参数即可在活动目录中执行所有查询:
./falconhound -go
-actionlist参数可以枚举所有已启动的活动,需与-go参数结合使用:
./falconhound -actionlist -go
-ids参数可以选择一组活动,后跟逗号分隔的活动ID,需与-go参数结合使用:
./falconhound -ids action1,action2,action3 -go
默认配置下,FalconHound会在当前目录下寻找配置文件,我们也可以使用-config参数指定一个配置文件:
./falconhound -go -config /path/to/config.yml
默认配置下,FalconHound会在当前目录下寻找活动(actions)目录,我们还可以使用-actions-dir参数指定一个不同的目录:
./falconhound -go -actions-dir /path/to/actions
默认配置下,FalconHound会使用config.yml中的凭证信息,-keyvault参数可以从指定配置文件中获取keyvault和所有的敏感凭证信息:
./falconhound -go -keyvault
许可证协议
本项目的开发与发布遵循BSD-3-Clause开源许可证协议。
项目地址
FalconHound:【GitHub传送门】
参考资料
https://azure.microsoft.com/en-us/pricing/details/key-vault/
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)
