EvilMistは、クラウドセキュリティ設定監査、クラウドペネトレーションテスト、クラウドレッドティーミングをサポートするために設計されたスクリプトとユーティリティのコレクションです。このツールキットは、設定の誤りを特定し、特権昇格経路を評価し、攻撃技術をシミュレートするのに役立ちます。EvilMistは、クラウド中心のレッドティームワークフローを効率化し、クラウドインフラストラクチャ全体のセキュリティ態勢を向上させることを目的としています
ツール
認証されていない Entra ID 列挙
認証されていない Azure/Entra ID 列挙および偵察ツール。認証トークンを必要とせずに、公開されているAPI と DNS クエリを使用してパッシブ/セミパッシブな列挙を実行します。
主な機能:
- 認証不要 – Azure トークンまたは認証情報なしで動作
- テナント発見 – azmap.dev および OpenID 構成経由でテナント ID、名前、地域を取得
- ドメイン領域分析 – マネージド認証とフェデレーション認証を識別
- ユーザー存在確認 – GetCredentialType API 経由でメールアドレスを確認
- DNS 偵察 – MX、SPF、TXT、CNAME、SRV、Autodiscover レコードを列挙
- ポートスキャン – 一般的な Azure ポート (HTTPS、LDAP、Kerberos、RDP) をチェック
- ステルスモード – レート制限を回避するための設定可能な遅延とジッター
- エクスポートオプション – JSON および CSV エクスポート形式
Enumerate-EntraUsers
包括的な Azure Entra ID (Azure AD) ユーザー列挙およびセキュリティ評価ツールで、PowerShell および Python バージョンの両方で利用可能です。
主な機能:
- 15 以上のユーザー列挙方法 – 直接
/usersアクセスがブロックされている場合でも動作 - セキュリティ評価 – MFA ステータス、特権ロール、古いアカウント、ゲストユーザー
- 認証情報の攻撃面 – SSPR、レガシー認証、アプリケーションパスワード分析
- 条件付きアクセス分析 – ポリシー列挙とギャップ検出
- デバイス&Intune 列挙 – マネージドデバイス、コンプライアンスポリシー
- 攻撃経路分析 – 特権昇格経路とサイドウェイ移動
- Power Platform – Power Apps および Power Automate フロー列挙
- エクスポートオプション – BloodHound/AzureHound JSON、HTML レポート、CSV/JSON
- ステルスモード – 検出を回避するための設定可能な遅延とジッター
MFA セキュリティ確認
Azure Entra ID ユーザーのうち、多要素認証 (MFA) が有効になっていないユーザーを特定するための、焦点を絞ったセキュリティ評価ツール。共有メールボックス検出とサインイン活動分析の高度な機能が含まれています。
主な機能:
- MFA 検出 – 強力な認証方法を持たないユーザーを特定
- 最後のサインイン追跡 – 最後のログイン日時とアクティビティパターンを表示
- 共有メールボックス検出 – 共有メールボックスアカウントを自動的に識別およびフィルター
- サインイン機能チェック – アカウントが実際に認証できるかどうかを判定
- リスク評価 – ユーザーをリスクレベル (HIGH/MEDIUM/LOW) で分類
- アクティビティ分析 – サインイン統計、部門別の内訳、古いアカウント
- マトリックスビュー – 迅速な視覚スキャン用のコンパクトなテーブル形式
- エクスポートオプション – ユーザー詳細情報を含む CSV/JSON
- ステルスモード – 検出を回避するための設定可能な遅延とジッター
ゲストアカウント列挙
Azure Entra ID の外部ユーザーのセキュリティ態勢を特定、分析、評価するための包括的なゲストアカウント分析ツール。ゲストアクセスガバナンスとセキュリティ監査に必須です。
主な機能:
- ゲストアカウント発見 – テナント内のすべてのゲストユーザーを列挙
- MFA ステータス検出 – 多要素認証 (MFA) を持たないゲストを特定
- 最後のサインイン追跡 – ゲストのログイン日時とアクティビティパターンを表示
- ゲストドメイン抽出 – ゲストユーザーの出所組織を特定
- 招待ステータス追跡 – 受け入れられた、保留中、または期限切れの招待状を表示
- リスク評価 – ゲストをリスクレベル (HIGH/MEDIUM/LOW) で分類
- アクティビティ分析 – サインイン統計、古いアカウント、使用されていない招待
- マトリックスビュー – 迅速な視覚スキャン用のコンパクトなテーブル形式
- フィルターオプション – MFA のないゲストのみを表示するか、無効なアカウントを含める
- エクスポートオプション – ゲスト詳細情報を含む CSV/JSON
- ステルスモード – 検出を回避するための設定可能な遅延とジッター
重大な管理アクセス確認
PowerShell ツール、管理ポータル、主要 Microsoft 365 サービス、特権 ID 管理を含む 10 の重大な管理アプリケーションへのアクセス権を持つ Azure Entra ID ユーザーを特定するための包括的なセキュリティ評価ツール。特権アクセスガバナンスと管理ツール監査に必須です。
主な機能:
- 重大なアクセス発見 – すべてのティアで管理アプリケーションアクセス権を持つユーザーを列挙
- 明示的割り当てフォーカス – 昇格/管理アクセス権を持つユーザーを表示 (基本的なユーザーアクセスではなく)
- デフォルトアクセス検出 – デフォルトアクセスを持つアプリを自動的に検出および警告
- セキュリティ重視の結果 – 基本的なユーザーアクセスからノイズをフィルターして、特権ユーザーに焦点を合わせる
- 複数アプリケーションカバレッジ – 10 の重大なアプリを追跡: Azure/AD PowerShell、Azure CLI、Graph Tools、M365/Azure ポータル、Exchange/SharePoint Online、PIM
- MFA ステータス検出 – 多要素認証 (MFA) を持たない特権ユーザーを特定
- 最後のサインイン追跡 – ログイン日時とアクティビティパターンを表示
- 割り当て追跡 – ユーザーが管理アクセス権を付与された時期を表示
- リスク評価 – ユーザーをリスクレベル (HIGH/MEDIUM/LOW) で分類
- アクティビティ分析 – サインイン統計、古いアカウント、非アクティブなユーザー
- マトリックスビュー – 迅速な視覚スキャン用のコンパクトなテーブル形式
- フィルターオプション – MFA のないユーザーのみを表示するか、無効なアカウントを含める
- エクスポートオプション – アクセス詳細情報を含む CSV/JSON
- ステルスモード – 検出を回避するための設定可能な遅延とジッター
インストール&使用方法
翻訳元: https://meterpreter.org/evilmist-cloud-red-teaming-entra-id-security-audit-toolkit/
