关于CloudGrappler

CloudGrappler是一款专为云端环境安全设计的强大工具，该工具作为一款专用工具，可以帮助广大研究人员轻松检测AWS和Azure等流行云环境中与知名威胁行为者相关的威胁行为和安全事件。

为了优化CloudGrappler的使用率，我们建议在查询结果时使用较短的时间范围。这种方法可以提高效率并加快信息检索速度，从而确保获得更好的工具使用体验度。

工具要求

botocore>=1.24.46

boto3>=1.28.0

boto3-stubs>=1.20.49

python-dateutil==2.8.1

types-python-dateutil==2.8.13

pytest==7.2.0

moto==4.2.2

timeout-decorator==0.5.0

black==23.9.1

pip-audit==2.6.1

azure-storage-blob==12.18.3

azure-core==1.29.4

azure-identity==1.14.1

google-cloud-storage==2.12.0

setuptools==68.2.2

yara-python-wheel==4.4.0

工具安装

由于该工具基于Python 3开发，因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。

接下来，广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

https://github.com/Permiso-io-tools/CloudGrappler.git

然后切换到项目目录中，使用pip命令和项目提供的requirements.txt安装该工具所需的其他依赖组件：

cd CloudGrappler

pip3 install -r requirements

工具使用

该工具是一个基于命令行的工具，因此我们需要通过CLI来使用CloudGrappler。

使用样例一：使用默认查询文件运行CloudGrappler

根据我们的云基础架构配置，在data_sources.json文件中定义扫描范围。以下示例展示了适用于AWS和Azure环境的结构化data_sources.json 文件。需要注意的是，我们要将queries.json 文件中的源修改为通配符（*），这样就可以同时在AWS和Azure环境中扫描相应的查询：

{

  "AWS": [

    {

      "bucket": "cloudtrail-logs-00000000-ffffff",

      "prefix": [

        "testTrails/AWSLogs/00000000/CloudTrail/eu-east-1/2024/03/03",

        "testTrails/AWSLogs/00000000/CloudTrail/us-west-1/2024/03/04"

      ]

    },

    {

      "bucket": "aws-kosova-us-east-1-00000000"

    }

 

  ],

  "AZURE": [

    {

      "accountname": "logs",

      "container": [

        "cloudgrappler"

      ]

    }

  ]

}

然后运行下列命令即可：

python3 main.py

使用样例二：Permiso Intel 用例

python3 main.py -p

[+] Running GetFileDownloadUrls.*secrets_ for AWS

[+] Threat Actor: LUCR3

[+] Severity: MEDIUM

[+] Description: Review use of CloudShell. Permiso seldom witnesses use of CloudShell outside of known attackers.This however may be a part of your normal business use case.

使用样例三：生成报告

python3 main.py -p -jo

reports

└── json

    ├── AWS

    │   └── 2024-03-04 01:01 AM

    │       └── cloudtrail-logs-00000000-ffffff--

    │           └── testTrails/AWSLogs/00000000/CloudTrail/eu-east-1/2024/03/03

    │               └── GetFileDownloadUrls.*secrets_.json

    └── AZURE

        └── 2024-03-04 01:01 AM

            └── logs

                └── cloudgrappler

                    └── okta_key.json

使用样例四：根据日期或时间过滤日志

python3 main.py  -p  -sd 2024-02-15  -ed  2024-02-16

使用样例五：手动添加查询和数据源类型

python3 main.py  -q “GetFileDownloadUrls.*secret”, ”UpdateAccessKey”  -s '*'

使用样例六：使用自己的查询文件运行CloudGrappler

python3 main.py -f new_file.json

许可证协议

本项目的开发与发布遵循Apache-2.0开源许可协议。

项目地址

CloudGrappler：【GitHub传送门】

参考资料

https://permiso.io/

https://permiso.io/blog/cloudgrappler-a-powerful-open-source-threat-detection-tool-for-cloud-environments