Nemesis - offensive data enrichment pipeline and operator support system

На Red Teaming проектах приходится анализировать большое количество неструктурированных данных, полученных в ходе работ и использования различных инструментов.😎 Обычно эта аналитика сводилась к загрузке лута и логов в Hive с небольшими заметками и гипотезами как можно использовать полученную информацию в ходе дальнейшего развития атак. Поэтому мне всегда хотелось использовать подходы к аналитике аля Big Data, чтобы иметь под рукой всю доступную информацию проиндексированную для быстрого поиска в режиме реального времени.

Крутые ребята - @tifkin_, @harmj0y, @Max_Harley, @themightyshiv из SpecterOps создали Nemesis - инструмент позволяющий успешно решать подобные задачи:

✅ Извлекать метаданные (file types, hashes) всех загруженных файлов
✅ Структурировать данные полученные из различных источников (GPP files, web.config files, PE files)
✅ Анализировать лут в виде найденных .NET assemblies с помощью кастомной версии InspectAssembly, в целях пост эксплуатации и повышения привилегий
✅ Извлекать и индексировать метаданные и содержание офисных документов, конвертить в pdf в изолированной среде для ручного анализа (привет CanaryTokens) c помощью Gotenberg
✅ DPAPI лут (History/Downloads, Cookies, Logins, Local State files from Chromium browsers) для последующей расшифровки при наличии DPAPI masterkey
✅ Автоматизированный перебор паролей для зашифрованных файлов (PDFs, office documents, zips/7zs) с помощью John-the-Ripper
✅ Nemesis API для автоматизации, C2 Connectors для интеграции с другими инструментами, функциональность аlert'ов и многое другое

Я уже в течение нескольких месяцев тестирую возможности этого фреймворка в лабораторной среде. Мнение на данном этапе - 🔥 впечатляющие возможности, продуманный дизайн архитектуры (схема простая - объясняю один раз на скрине), CLI/Web UI, RAGnarok - LLM чат бот для удобного поиска по индексам и многое-многое другое.

Лайк, если интересен лонгрид с картинками про возможности и опыт использования Nemesis.