Kubesploit-Golang编写的跨平台C2

Kubesploit是一个跨平台的利用后的HTTP / 2命令和控制服务器和代理，专用于用Golang编写的容器化环境。

在研究Docker和Kubernetes时，我们注意到当今可用的大多数工具都旨在被动扫描集群中的漏洞，并且缺乏更复杂的攻击媒介覆盖范围。 他们可能会让您看到问题，但不能加以利用。运行漏洞利用程序来模拟现实世界的攻击，这一攻击很重要，它将用来确定整个网络的企业弹性。运行漏洞利用程序时，它将练习组织的网络事件管理，而在扫描群集问题时则不会发生。

它可以帮助组织学习在发生实际攻击时如何进行操作，查看其其他检测系统是否按预期工作以及应该进行哪些更改。

主要目标是帮助提高人们对容器化环境的安全性的认识，并改善各种网络中实施的缓解措施。所有这些都是通过一个框架捕获的，该框架为PT团队和Red Teamers在这些环境中的活动提供了适当的工具。使用这些工具将帮助您估计这些环境的优势并进行必要的更改以保护它们。

由于C＆C和代理基础结构已经由Merlin完成，因此我们集成了Go解释器（“ Yaegi”），以便能够从服务器到代理运行Golang代码。

它使我们能够用Golang编写模块，为模块提供更大的灵活性，并动态加载新模块。这是一个正在进行的项目，我们计划在将来添加更多与Docker和Kubernetes相关的模块。

当前可用的模块是：

• 使用安装容器突破
• 使用docker.sock的容器突破
• 使用CVE-2019-5736漏洞的容器突破
• 扫描Kubernetes集群已知的CVE
• 专注于Kubernetes服务的端口扫描
• 从容器内部扫描Kubernetes服务
• 轻型kubeletctl包含以下选项：
  • 使用RCE扫描容器
  • 扫描豆荚和容器
  • 扫描所有可用容器中的令牌
  • 使用多个选项运行命令

建造

要构建此项目，请make从根文件夹运行命令。

快速构建

要为Linux运行快速构建，可以运行以下命令：

export PATH=$PATH:/usr/local/go/bin
go build -o agent cmd/merlinagent/main.go
go build -o server cmd/merlinserver/main.go

YARA规则

YARA规则，将有助于捕获Kubesploit二进制文件。规则写在文件中kubesploit.yara

Kubesploit使用的媒介攻击的MITER图。

对于创建的每个模块，都编写了其描述以及如何防御它。 其总结在MITIGATION.md文件中。

项目地址：

https://github.com/cyberark/kubesploit