パープルチーム向け無料セキュリティ・ツール

セキュリティの世界にはレッドチーム、ブルーチーム、パープルチームという概念が存在する。

レッドチーム:

レッドチームは、攻撃者の役割を担うチームです。彼らは、システムやネットワークに対する潜在的な攻撃手法を模倣し、セキュリティの脆弱性や欠陥を発見するために活動します。レッドチームは、ペネトレーションテストや攻撃シミュレーションなどの手法を使用して、実際の攻撃者が使用するであろう手法を模倣します。

ブルーチーム:

ブルーチームは、防御側の役割を担うチームです。彼らは、システムやネットワークを保護し、攻撃から守るためのセキュリティ対策を実装および維持します。ブルーチームは、脆弱性の管理、侵入検知システムの運用、セキュリティポリシーの策定など、防御的なセキュリティ対策に焦点を当てます。

パープルチーム:

パープルチームは、レッドチームとブルーチームの活動を統合し、相互作用を促進するチームです。彼らは、攻撃側の視点と防御側の視点の両方を理解し、セキュリティ対策の改善や脅威への対応を行います。パープルチームは、レッドチームとブルーチームの間で情報共有や訓練を行い、より効果的なセキュリティ対策を実現します。

今回はパープルチーム向けのセキュリティツールを紹介する。

Defender-Pretender

Windows Defender のエンドポイント検出と対応 (EDR) アーキテクチャを乗っ取るために開発されたオープンソースツール「Defender-Pretender」は、特権を持たないユーザーに Defender の管理データを削除する権限を与えます。

SafeBreachの研究者たちは、Black Hat USAでDefender-Pretenderをデモンストレーションし、このツールを使ってOSやドライバファイルを削除したり、検出と軽減ロジックを改ざんすることでWindows Defenderの動作を変更する方法を示しました。

PyRDP

PyRDP自体は目新しいツールではありませんが、このオープンソースの Remote Desktop Protocol (RDP)傍受ツールの開発者が、過去3年間にわたって取得した膨大なハニーポット研究成果をBlack Hat USAで発表しました。

GoSecureチームは、PyRDPを「Python用のモンスター・イン・ザ・ミドル」ツールおよびライブラリと呼び、RDP接続をリアルタイムまたは事後に監視することができます。このツールはハニーポット研究だけでなく、悪名高いリビング・オフ・ザ・ランド攻撃を仕掛けるためのRDP接続を使った攻撃セキュリティ作業にも幅広い可能性を提供します。

BTD

今後、セキュリティ研究者たちが敵対的なAI攻撃の可能性を探るにつれて、モデル抽出がますます注目されるようになるでしょう。これらの攻撃は、モデルに対する体系的なブラックボックスクエリを行う方法や、モデルについて多少の知識がある場合やそれに関連するアーティファクトにアクセスできるホワイトボックス攻撃などを通して、AI/MLモデルの詳細を盗むことを可能にします。

Black Hat で注目されたユニークなツールの一つが、BTD です。これは、最初の深層ニューラルネットワーク (DNN) 実行ファイルデコンパイラです。このツールは、x86 CPU 上で動作する DNN 実行ファイルを入力とし、完全なモデル仕様を出力することができます。

HARry Parser

HARry Parserは、オープンソースの Python 製 .har ファイル解析ツールです。Web ページ上にどのようなトラッカーが存在するかを詳細に把握することを目的として、Agelius Labs によって開発されました。Black Hat USA では、このツールを使って現在のオンライントラッキングの深淵を解き明かすデモンストレーションが行われました。サーバーサイドトラッキング、コンテンツデリバリーネットワーク (CDN)、デバイスフィンガープリンティングなどの追跡方法に加え、電子メールピクセル、支払い取引データ、アクティビティトラッカーがどのように個人情報漏洩を引き起こす可能性があるかも解説されました。

また、HARry Parserは、ユーザーが望まない情報をオンライン閲覧中に共有することを防ぐための具体的な手段を学ぶのにも役立ちます。

PowerGuest

PowerGuest は攻撃セキュリティ評価ツールであり、Azure AD で限定されたゲストアクセスから、権限のないアクセス、さらに企業の SQL サーバー、SharePoint サイト、KeyVault アクセスなど機密性の高いビジネスデータやシステムへのアクセスに至るまで、アクセス権限をエスカレートすることができます。このツールは、Microsoft のローコード/ノーコードプラットフォームである PowerPlatform を介して共有された資格情報を利用してこれを実現します。

このツールの手法と設計上の弱点は、マイケル・バーギュリー氏によるブリーフィングセッションで詳しく説明されました。また、PowerGuest 自体も別の Black Hat Arsenal セッションで注目され、デモンストレーションが行われました。

出典：10 Free Purple Team Security Tools to Check Out