rosemary — Rosemary: Cross-platform transparent network tunneling over QUIC. No TUN/TAP. No proxychains. No proxy settings.
Rosemary ist ein neues, plattformübergreifendes Tool, das transparentes Netzwerk-Tunneling über QUIC ermöglicht, ohne TUN/TAP-Geräte oder Proxy-Einstellungen zu benötigen. Es richtet sich an Pentester und Netzwerkadministratoren, die eine einfache Lösung für Pivoting und Port-Forwarding suchen. Nutzer sollten sich mit der Go-basierten Anwendung vertraut machen, um ihre Netzwerkaktivitäten effizienter zu gestalten.
Rosemary ist ein neues, plattformübergreifendes Tool, das transparentes Netzwerk-Tunneling über QUIC ermöglicht. Es eliminiert die Notwendigkeit von TUN/TAP-Geräten oder Proxy-Einstellungen. Das Go-basierte Tool vereinfacht Netzwerk-Pivoting und Port-Forwarding für Pentester und Netzwerkadministratoren.
Pentester und Netzwerkadministratoren, die eine einfache Lösung für Pivoting und Port-Forwarding suchen.
Dieses Tool vereinfacht das Erstellen von verdeckten Netzwerkverbindungen und das Umgehen traditioneller Netzwerkbeschränkungen, was die Erkennung von bösartigen Aktivitäten erschweren kann.
Ein Angreifer könnte Rosemary nutzen, um sich unbemerkt innerhalb eines Netzwerks zu bewegen, Daten zu exfiltrieren oder weitere Angriffe zu starten, ohne dass herkömmliche Netzwerküberwachungssysteme dies leicht erkennen.
Überprüfen Sie Ihre Netzwerküberwachung auf QUIC-Verkehr und ungewöhnliche Tunneling-Muster. Schulen Sie Ihr Sicherheitsteam im Umgang mit neuen Tunneling-Techniken.
- ▸Überprüfen Sie Ihre Firewall- und IDS/IPS-Regeln auf die Erkennung und Blockierung von ungewöhnlichem QUIC-Verkehr, insbesondere auf nicht-standardmäßigen Ports.
- ▸Implementieren Sie eine Deep Packet Inspection (DPI), um den Inhalt von QUIC-Verbindungen zu analysieren und potenzielles Tunneling zu identifizieren.
- ▸Überwachen Sie Endpunkte auf die Ausführung unbekannter Go-basierter Anwendungen, die Netzwerkverbindungen herstellen, insbesondere wenn diese keine Proxy-Einstellungen verwenden.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Command and Control | T1090 Proxy | High | transparentes Netzwerk-Tunneling über QUIC ermöglicht, ohne TUN/TAP-Geräte oder Proxy-Einstellungen zu benötigen. |
| Lateral Movement | T1021 Remote Services | Low | vereinfacht Netzwerk-Pivoting und Port-Forwarding |
- Es wird nicht spezifiziert, welche spezifischen Betriebssysteme oder Netzwerkumgebungen anfälliger für die Nutzung von Rosemary sind.
- Es werden keine spezifischen Indikatoren für Kompromittierung (IOCs) oder Erkennungssignaturen für Rosemary genannt.
- Es wird nicht detailliert beschrieben, wie Rosemary die Erkennung durch gängige Sicherheitstools umgeht.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Können wir Command & Control detektieren?