RedEye by CISA

Hace unos días, CISA (Cybersecuity & Infrastructure Security Agency) liberó una herramienta denominada RedEye, la cual fue desarrollada en conjunto con el Pacific Northwest National Laboratory del DOE (Departament of Energy).

El objetivo de esta herramienta es asistir a los “Red Teams” para visualizar y ver reporteo de las actividades de “Command & control” durante los ejercicios ofensivos de ciberseguridad. Esta herramienta permite a un operador evaluar y mostrar datos complejos de una manera digerible, permite la evaluación para estrategias de mitigación y facilita la toma de decisiones estratégicas en las evaluaciones hechas por un “red team”.

La herramienta parsea logs como aquellso de “Cobalt Strike”.

La herramienta permite dos modos:

• Modalidad “Red Team”. Ofrece la habilidad de cargar logs de campaña, explorar y crear presentaciones. Para iniciar esta modalidad se inicia la herramienta redeye con la variable de entorno “SERVER_BLUE_TEAM=false” o el argumento “-redTeam”.
• Modalidad “Blue Team”. Este es el modo predeterminado. Permite revisar, en solo lectura, una campaña expotada por un red team.

La herramienta es presentada como OpenSource y se puede descargar de Github.

Puedes ver el documento de presentación en CISA.GOV.