Vermilion es una herramienta CLI simple y ligera diseñada para la recopilación rápida y la exfiltración opcional de información confidencial de sistemas Linux. Su propósito principal es optimizar el proceso de recopilación de datos críticos en escenarios de equipo rojo.
Precaución
Vermilion ha sido diseñada como un recurso para los miembros de equipos rojos e investigadores de seguridad. El autor no asume ninguna responsabilidad por la conversión de esta herramienta en un arma o el manejo incorrecto de los datos confidenciales recopilados a través de su uso.
Cómo funciona
Vermilion es una herramienta centrada en Linux diseñada para la recopilación eficiente de información y la exfiltración de datos confidenciales. Recopila:
Información del sistema: detalles del sistema operativo, nombre de host, configuraciones de red, IPs públicas y locales, conexiones activas, tiempo de actividad del sistema y más.
- Variables de entorno: Captura todas las variables de entorno disponibles.
- Archivos de usuario y sistema: Recopila directorios y archivos confidenciales, incluyendo:
- Archivos específicos del usuario
- Archivos a nivel de sistema
- Registros y archivos temporales: Registros de autenticación, registros del sistema y archivos temporales.
- Enumeración de usuarios: Enumera automáticamente todos los usuarios del sistema y recopila archivos confidenciales de los directorios de inicio accesibles.
La herramienta crea un archivo comprimido de los datos recopilados para facilitar su almacenamiento local o exfiltración a un punto final especificado. Además, ofrece la opción de exfiltrar los datos recopilados a través de una solicitud HTTP POST a un punto final especificado.
La implementación del punto final para la exfiltración está fuera del alcance de esta herramienta; para un ejemplo, consulta este recurso.
Vermilion admite arquitecturas amd64, arm y arm64.
Ejemplo de caso de uso
Imagina que estás participando en una campaña de equipo rojo y has comprometido con éxito a un usuario en una máquina Linux. Los entornos Linux a menudo son un tesoro de datos e información confidenciales debido a su uso como servidores y su integración con otros sistemas y softwares. Por lo tanto, es crucial tener una herramienta automatizada que permita la recopilación y exfiltración rápida de información confidencial, como variables de entorno y directorios estratégicos, en segundos.
¡Aquí es donde Vermilion resulta útil!
Dado que muchos entornos de producción modernos se basan en Linux, Vermilion resulta ser una herramienta muy versátil. Lee este artículo para descubrir cómo Vermilion nos ayudó a identificar una configuración subóptima en los ejecutores en la nube de GitHub Actions.
Para empezar a usar Vermilion, sigue la documentación.
