SecBoard
Zurück zur Übersicht

rosemary — Rosemary: Cross-platform transparent network tunneling over QUIC. No TUN/TAP. No proxychains. No proxy settings.

GitHub Trending·
Originalartikel lesen bei GitHub Trending

Rosemary ist ein neues, plattformübergreifendes Tool, das transparentes Netzwerk-Tunneling über QUIC ermöglicht, ohne TUN/TAP-Geräte oder Proxy-Einstellungen zu benötigen. Es richtet sich an Pentester und Netzwerkadministratoren, die eine einfache Lösung für Pivoting und Port-Forwarding suchen. Nutzer sollten sich mit der Go-basierten Anwendung vertraut machen, um ihre Netzwerkaktivitäten effizienter zu gestalten.

Kurzfassung

Rosemary ist ein neues, plattformübergreifendes Tool, das transparentes Netzwerk-Tunneling über QUIC ermöglicht. Es eliminiert die Notwendigkeit von TUN/TAP-Geräten oder Proxy-Einstellungen. Das Go-basierte Tool vereinfacht Netzwerk-Pivoting und Port-Forwarding für Pentester und Netzwerkadministratoren.

Relevanz für Manager / CISOs
Priorität:Mittel
Betroffene

Pentester und Netzwerkadministratoren, die eine einfache Lösung für Pivoting und Port-Forwarding suchen.

Warum relevant

Dieses Tool vereinfacht das Erstellen von verdeckten Netzwerkverbindungen und das Umgehen traditioneller Netzwerkbeschränkungen, was die Erkennung von bösartigen Aktivitäten erschweren kann.

Realistisches Worst Case

Ein Angreifer könnte Rosemary nutzen, um sich unbemerkt innerhalb eines Netzwerks zu bewegen, Daten zu exfiltrieren oder weitere Angriffe zu starten, ohne dass herkömmliche Netzwerküberwachungssysteme dies leicht erkennen.

Handlungsempfehlung

Überprüfen Sie Ihre Netzwerküberwachung auf QUIC-Verkehr und ungewöhnliche Tunneling-Muster. Schulen Sie Ihr Sicherheitsteam im Umgang mit neuen Tunneling-Techniken.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie Ihre Firewall- und IDS/IPS-Regeln auf die Erkennung und Blockierung von ungewöhnlichem QUIC-Verkehr, insbesondere auf nicht-standardmäßigen Ports.
  • Implementieren Sie eine Deep Packet Inspection (DPI), um den Inhalt von QUIC-Verbindungen zu analysieren und potenzielles Tunneling zu identifizieren.
  • Überwachen Sie Endpunkte auf die Ausführung unbekannter Go-basierter Anwendungen, die Netzwerkverbindungen herstellen, insbesondere wenn diese keine Proxy-Einstellungen verwenden.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Command and ControlT1090 ProxyHightransparentes Netzwerk-Tunneling über QUIC ermöglicht, ohne TUN/TAP-Geräte oder Proxy-Einstellungen zu benötigen.
Lateral MovementT1021 Remote ServicesLowvereinfacht Netzwerk-Pivoting und Port-Forwarding
Offene Punkte
  • Es wird nicht spezifiziert, welche spezifischen Betriebssysteme oder Netzwerkumgebungen anfälliger für die Nutzung von Rosemary sind.
  • Es werden keine spezifischen Indikatoren für Kompromittierung (IOCs) oder Erkennungssignaturen für Rosemary genannt.
  • Es wird nicht detailliert beschrieben, wie Rosemary die Erkennung durch gängige Sicherheitstools umgeht.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Können wir Command & Control detektieren?

MITRE ATT&CK Kill Chain (1 Techniken)

Command & Control
Themen
golangnetworkingpentestingpivotingport-forwardingproxyred-teamsocks5transparent-proxytunnel