Snaffler 工具簡介

Snaffler 的功能與特點

1. 快速枚舉共享文件：
• 掃描網絡共享資源（如 SMB 共享）中的文件結構，查找目標文件。
• 支持遞歸掃描子目錄。

2. 目標文件篩選：
• 內置多種過濾規則，幫助快速定位敏感文件，例如：
• 包含關鍵字（如 passwords、credentials）。
• 特定文件類型（如 .txt、.xlsx、.docx、.pfx）。
• 特定文件大小（過大或過小的文件可被忽略）。

3. 權限檢查：
• 檢測文件和文件夾的權限，確定攻擊者是否可以讀取或修改。

4. 靜默模式：
• 支持靜默運行，避免在目標網絡中產生過多的噪音或被防禦系統檢測到。

5. 導出結果：
• 支持導出掃描結果為報告格式（如 CSV），便於進一步分析。

6. 可定制性：
• 可根據需求自定義掃描參數（如目標共享地址、目標文件類型等）。

7. 多平台支持：
• 雖然主要針對 Windows 環境，但也可以在跨平台環境中使用（例如在 Kali Linux 上通過 WINE）。

使用場景

1. 滲透測試和紅隊操作

• 在內部網絡中，掃描文件共享資源，定位敏感數據作為攻擊的起點。

• 配合其他工具（如 PowerView 或 BloodHound）進行橫向移動或信息收集。

2. 敏感數據審核

• 幫助企業和組織在文件共享中檢測潛在的敏感文件是否被錯誤存儲或暴露。

3. 安全研究與培訓

• 教學或研究網絡文件共享的安全問題，模擬真實場景中的攻擊行為。

4. 文件權限審計

• 列出哪些文件和目錄對過多的用戶或組開放了讀取或寫入權限。

典型使用方法

1. 安裝與運行

2. 基本命令

• v：啟用詳細模式，顯示更多執行信息。

• o results.csv：指定輸出文件名稱。

3. 掃描網絡共享

• targets：指定目標共享資源的路徑（如網絡共享目錄）。

• keywords：指定敏感關鍵字，幫助篩選目標文件。

4. 自動掃描域內共享

5. 遞歸掃描文件夾

• recursive：啟用遞歸模式，掃描目標目錄及其子目錄中的所有資源。

6. 篩選特定文件類型

• filetypes：指定目標文件類型。

安全風險與濫用可能

1. 敏感數據泄露：
• 如果攻擊者在企業內部網絡中使用此工具，可能會快速檢索到包含憑據、密鑰或個人信息的文件。

2. 橫向移動：
• 攻擊者可以利用已暴露的憑據或配置文件，進一步進行橫向移動或提權。

3. 難以檢測：
• Snaffler 可以以靜默模式運行，難以被傳統的防禦系統檢測到。

4. 工具濫用：
• 雖然工具主要面向安全研究，但其開源性質也使得惡意攻擊者可以輕鬆獲得並加以濫用。

防禦措施

1. 限制文件共享權限

• 檢查文件共享資源的權限，確保僅授權用戶能夠訪問。

• 使用最小權限原則，避免過多的用戶組對共享資源擁有讀寫權限。

2. 敏感數據分類與加密

• 對所有敏感數據進行分類，並加密存儲，防止被未授權訪問。

• 使用數據丟失防護（DLP）工具檢測並阻止敏感數據的未授權存儲。

3. 監控網絡活動

• 使用網絡流量監控和入侵檢測系統（IDS）來檢測來自內部的異常掃描行為。

• 配置 Windows 事件日誌，記錄對 SMB 共享的訪問。

4. 阻止可疑工具執行

• 使用應用程序控制策略（如 AppLocker 或 WDAC）阻止未授權的工具（如 Snaffler.exe）在環境中運行。

5. 定期審查文件共享

• 使用合法工具（如 PowerShell 或 文件審核工具）定期掃描和審查共享資源中的敏感文件。

6. 教育員工

• 提高員工對敏感數據存儲和共享的安全意識，避免將敏感文件存儲在公共共享資源中。

結論