近日，火眼發(fā)布了一個(gè)包含超過140個(gè)開源Windows滲透工具包，紅隊(duì)滲透測(cè)試員和藍(lán)隊(duì)防御人員均擁有了頂級(jí)偵察與漏洞利用程序集。該工具集名為“CommandoVM”。

安全工作者在對(duì)系統(tǒng)環(huán)境進(jìn)行滲透測(cè)試時(shí)常常會(huì)自己配置虛擬機(jī)，如果是Linux的話還好，還有Kali Linux可以用。但是碰上Windows環(huán)境就慘了，往往配置虛擬機(jī)環(huán)境就要好幾個(gè)小時(shí)。一邊要維護(hù)自定義的虛擬機(jī)環(huán)境，一邊還要時(shí)常升級(jí)集成的工具套件，花費(fèi)的時(shí)間成本頗高。最近火眼推出了一款面向紅隊(duì)的Commando VM滲透測(cè)試套件，有需要的小伙伴可以看一看，免費(fèi)又好用。

這一次火眼推出的標(biāo)準(zhǔn)化工具套件解決了兩個(gè)最關(guān)鍵的問題。其一是整合了最優(yōu)秀的滲透測(cè)試工具，無需再花很多時(shí)間去尋覓。其二則是2013年發(fā)布的Kali Linux繼承了超過600款安全、取證和探索工具，Commando選取了其中適用于Windows平臺(tái)的精華工具，其中很多還是Windows平臺(tái)原生支持的。

而滲透測(cè)試人員面臨的第二個(gè)問題就是工具集的維護(hù)。Commando VM將所有工具打包到一個(gè)發(fā)行版中可以加快維護(hù)速度，修補(bǔ)和更新都更加簡(jiǎn)單。

關(guān)于Commando VM

火眼本次推出的Commando VM套件面向Windows平臺(tái)構(gòu)建，屬于此前發(fā)布的FLARE VM套件的全新迭代版本，后者專攻逆向工程和惡意軟件分析，Commando VM功能更加全面，是Windows環(huán)境中內(nèi)部滲透測(cè)試的選平臺(tái)。

使用基于Windows平臺(tái)構(gòu)建的虛擬機(jī)環(huán)境有以下幾點(diǎn)明顯優(yōu)勢(shì)：

1、原生支持Windows和Active Directory;

2、可作為C2框架的臨時(shí)工作區(qū);

3、更便捷的共享和交互式操作支持;

4、支持PowerView和BloodHound等工具;

5、對(duì)測(cè)試目標(biāo)不產(chǎn)生任何影響。

Commando VM使用Boxstarter、Chocolatey和MyGet軟件包來安裝所有軟件，并提供多種用于滲透測(cè)試的工具和實(shí)用程序，共計(jì)140多款，涵蓋以下領(lǐng)域：

Nmap

Wireshark

Covenant

Python

Go

Remote

Server Administration Tools

Sysinternals

Mimikatz

Burp-Suite

x64dbg

Hashcat

紅藍(lán)對(duì)抗中的雙方都可以從Commando VM獲益，對(duì)于藍(lán)隊(duì)而言該套件提供了高性能的網(wǎng)絡(luò)審計(jì)和檢測(cè)能力。

安裝

建議在虛擬機(jī)中部署Commando VM，使用虛擬機(jī)軟件的快照功能減少重新配置環(huán)境所需的時(shí)間，虛擬機(jī)環(huán)境要滿足以下最低要求：

60GB磁盤空間

2GB內(nèi)存

在完成虛擬機(jī)的基本配置后安裝Windows鏡像，支持：

Windows 7 Service Pack 1

Windows 10

建議使用Windows 10鏡像以支持更多功能。

系統(tǒng)安裝完成后建議添加配套的虛擬機(jī)工具(例如VMware Tools)以支持復(fù)制/粘貼、屏幕顯示調(diào)整等其他設(shè)置。虛擬機(jī)環(huán)境配置成功后，以下所有的步驟均在該環(huán)境中操作。

1、運(yùn)行Windows Update確保系統(tǒng)已更新至最新版。建議更新完成后重啟系統(tǒng)再次檢查。

2、確保系統(tǒng)為最新版本后建立快照，萬一需要重新配置的話可省去安裝系統(tǒng)的時(shí)間。

3、下載GitHub上的Commando VM文件并解壓縮。

4、找到解壓縮后的文件夾目錄，使用管理員權(quán)限打開PowerShell會(huì)話(安裝Commando VM需要修改系統(tǒng)設(shè)置)。

5、鍵入以下命令將PowerShell的執(zhí)行策略更改為不受限制，并在PowerShell提示時(shí)回答“ Y ”：Set-ExecutionPolicy unrestricted

6、執(zhí)行install.ps1安裝腳本。系統(tǒng)將提示輸入當(dāng)前用戶的密碼。Commando VM需要當(dāng)前用戶的密碼才能在重啟后自動(dòng)登錄?？梢酝ㄟ^命令行“-password ”來指定當(dāng)前用戶的密碼。

7、剩下的安裝過程需要聯(lián)網(wǎng)并自動(dòng)執(zhí)行，根據(jù)網(wǎng)絡(luò)速度可能需要2至3小時(shí)完成。期間虛擬機(jī)系統(tǒng)會(huì)重啟多次。安裝完成后，PowerShell保持打開狀態(tài)，鍵入任意鍵可退出，完成后的桌面如下：

8、看到這個(gè)桌面后再次重啟系統(tǒng)保證所有配置生效。重啟后再次建立快照以便不時(shí)之需。

傳送門：

Commando VM 頁面：https://www.fireeye.com/blog/threat-research/2019/03/commando-vm-windows-offensive-distribution.html

Commando VM 項(xiàng)目地址：https://github.com/fireeye/commando-vm