egress0r wurde mit der Absicht entwickelt, kontinuierlich oder selektiv synthetische Sicherheitsvorfälle im Netzwerk zu produzieren und damit die Einstellungen von DLP- und Firewall-Lösungen zu überprüfen. Dies beinhaltet die vollständige Prüfung von sowohl IPv4, wie auch für IPv6 basierte Verbindungen, auf allen TCP- und UDP Ports.
egress0r automatisiert die Übertragung von scheinbar sensiblen Daten. Unter Verwendung synthetischer Daten, die dem Muster bekannter sensibler Daten (z. B. SSN#, CC#) entsprechen, ist egress0r darauf ausgelegt, diese Daten außerhalb Ihrer eigenen Netzwerk-Perimeter zu senden (Exfiltration von Daten).
egress0r kann nicht nur einmal ausgeführt werden, sondern kann auch so konfiguriert werden, dass er regelmäßig ausgeführt wird. Dadurch wird sichergestellt, dass Ihre Security-Dienste (DLP, Firewall) kontinuierlich wie erwartet agieren. Wenn während des normalen Betriebs keine DLP/FW-Vorfälle auftreten, bedeutet dies nicht dass alles in Ordnung ist, vielleicht agieren die entsprechenden Dienste (DLP/FW) grundsätzlich nicht korrekt.
Ihnen stehen zwei Möglichkeiten zur Auswahl, entweder Sie führen egress0r von Ihrem eigenen (Linux basierten) Rechner aus, oder führen ihn per Docker-Container aus. Wie Sie egress0r anwenden möchten, liegt ganz bei Ihnen. Weitere Informationen zum freien Gebrauch finden Sie auf egress0r.io, in diesem Blogpost oder auch im egress0r GitHub-Repository auf Github
The name “egress0r” originates from it’s aggressive exfiltating & egress-traffic generating behaviour, blended with a touch of oldsch00l.
Der FTP-Check führt eine einfache Prüfung durch, nämlich die Exfiltration von Beispieldaten durch Hochladen auf unseren FTP-Server ftp.egress0r.io. Um sicherzustellen, dass die Daten nicht von anderen Parteien eingesehen werden können, entfernen wir regelmäßig hochgeladene Daten und beschränken den Zugriff auf das Upload-Verzeichnis. egress0r geht davon aus, dass die FTP-Exfiltration erfolgreich war, wenn die Beispieldaten ohne Fehler hochgeladen wurden.
Während der SMTP-Prüfung senden wir eine E-Mail mit Beispieldaten an echo@egress0r.io. egress0r geht davon aus, dass der Exfiltrationsversuch erfolgreich war, wenn beim Senden der E-Mail keine Fehler auftreten. Um zu überprüfen, ob der Exfiltrationsversuch tatsächlich funktioniert hat, sollten Sie den Posteingang Ihrer konfigurierten E-Mail-Adresse überprüfen. Sie sollte eine exakte Kopie der Nachricht erhalten, die mit dem egress0r-Client gesendet wurde.
Bei der HTTP-Exfil-Prüfung werden standardmäßig die folgenden HTTP-Methoden verwendet:
Die Anfragen werden an services.egress0r.io gesendet. Wenn die exfiltrierten Daten in der Antwort vorhanden sind, war der Exfiltrationsversuch erfolgreich und wird entsprechend angezeigt.
Während der DNS-Prüfungen führen wir verschiedene DNS-Abfragen durch, die sowohl IPv4 als auch IPv6 (falls verfügbar) verwenden. Sowohl lokal konfigurierte DNS-Server als auch externe DNS-Server werden für die Auflösung der genannten Abfragen verwendet. Diese Prüfungen werden durchgeführt, um festzustellen, ob der lokale Benutzer eine Art von DNS-Filterung umgehen kann, indem er einfach einen nicht standardmäßigen DNS-Server verwendet.
Außerdem führt egress0r eine DNS-Exfiltration mit gegebenen Beispieldaten durch. Er kodiert einen Teil der Daten in eine Subdomain und versieht sie mit einem Suffix einer vom Angreifer kontrollierten Domain und löst die Anfrage über einen vom Angreifer kontrollierten DNS-Server auf.
Die ICMP-Prüfroutine konzentriert sich hauptsächlich auf das Anpingen externer Hosts. Wenn dies ohne Störungen funktioniert, haben wir vielleicht Glück und können auch Daten über ICMP exfiltrieren. Bei der letzten Prüfung in dieser Kategorie wird versucht, einige Stücke von Beispieldaten zu egress0r.io zu exfiltrieren, indem die Daten direkt in die Nutzlast des ICMP-Pakets eingebettet werden.
Eine sehr raffinierte Funktion von egress0r ist unserer Meinung nach der Egress-Port-Checker. Er prüft die ausgehenden Ports von IPv4, IPv6, TCP und UDP in drei verschiedenen Modi. Die Modi sind Top 10, Top 100 oder Alle. Der gewählte Modus bestimmt, wie viele und welche Ports während der Prüfung für jede Kombination von IP-Version und Netzwerkprotokoll gescannt werden.
