skycenter
canyoleri/skycenter-claudeClaude-скилл для анализа безопасности AWS, Azure и GCP: выстраивает цепочки атак из разрозненных мисконфигураций, строит карты компрометации и покрывает MITRE ATT&CK. Для команд безопасности и пентестеров.
Установка
git clone https://github.com/canyoleri/skycenter-claude.gitREADME
🎯 Проблема
Облачные сканеры безопасности генерируют сотни изолированных находок. Этот бакет публичный. У этой роли wildcard-разрешения. MFA не включён. Каждая находка верна сама по себе, но ни одна из них не отвечает на вопрос, который действительно важен: что злоумышленник может сделать с этим?
Команды безопасности тонут в находках, руководство игнорирует отчёты, а реальные пути атак скрываются в пробелах между отдельными мисконфигурациями, которые ни один сканер не связывает воедино.
⚡ Что делает skycenter
skycenter — не сканер: он никогда не подключается к вашему облачному аккаунту, не делает API-вызовов, не перечисляет ресурсы. Вы вставляете облачную конфигурацию — IAM-политику, Terraform-файл, GCP IAM binding, Kubernetes-манифест — и skycenter выполняет рассуждение о цепочках атак на пяти уровнях:
Уровень 1 — Анализ поверхности. Разбор входных данных, выявление отдельных мисконфигураций, оценка серьёзности в изоляции.
Уровень 2 — Картирование связей. Отображение того, как ресурсы связаны между собой. IAM-роль, прикреплённая к Lambda-функции, которая читает из S3-бакета с Terraform state-файлами, содержащими учётные данные базы данных в открытом виде. Именно в этих связях живёт реальный риск.
Уровень 3 — Синтез путей атак. Объединение находок в эксплуатируемые цепочки. Каждый путь включает точку входа, пошаговую эксплуатацию, маппинг на MITRE ATT&CK, радиус поражения, вероятность, пробелы в обнаружении и конкретные меры по устранению.
Уровень 4 — Горизонтальное перемещение и закрепление. Оценка того, куда атакующий может попасть после первоначальной компрометации. Цепочки ролей между аккаунтами, SSM SendCommand, pivoting через managed identity, доступ к CI/CD-пайплайнам. Выявление всех доступных механизмов закрепления.
Уровень 5 — Анализ пробелов в обнаружении и уклонении. Оценка того, вызовет ли каждый путь атаки оповещения. Выявление слепых зон CloudTrail, отсутствующих конфигураций GuardDuty, отключённых по умолчанию логов доступа к данным и конкретных техник уклонения.
Предсказуемая поверхность атаки. Для каждой критической находки skycenter генерирует три вещи, которые не предоставляет ни один сканер: конкретный класс уязвимости, создаваемой конфигурацией; реальный случай взлома, где использовался точно такой же паттерн (с названием жертвы, количеством записей и финансовым ущербом); реалистичный сценарий атаки, специфичный для вашей среды, написанный так, как его планировал бы злоумышленник.
📥 Поддерживаемые форматы входных данных
skycenter вызывается явно. Введите /skycenter или напишите «use skycenter to analyze this». После активации он автоматически определяет формат входных данных и выбирает подходящую методологию анализа.
AWS — IAM Policy JSON, политики S3-бакетов, Security Groups, шаблоны CloudFormation/SAM, логи CloudTrail, вывод AWS CLI (describe-*, list-*, get-*)
Azure — шаблоны ARM/Bicep, назначения RBAC, правила NSG, конфигурации Entra ID (App Registrations, Service Principals, Conditional Access), Azure Activity Logs
GCP — IAM Policy bindings, конфигурации Service Account, GCP Audit Logs, конфигурации Deployment Manager, правила Firewall
Кросс-платформенные — Terraform HCL (все три провайдера с обнаружением специфичных паттернов мисконфигураций), Kubernetes-манифесты (EKS/AKS/GKE — pod security, RBAC, сетевые политики), определения CI/CD-пайплайнов (GitHub Actions YAML, Azure Pipelines, buildspec.yml, cloudbuild.yaml), OIDC trust policies, конфигурации Workload Identity Federation
🧠 База знаний
Курированные знания по наступательной безопасности в 14 справочных файлах, загружаемых по требованию:
| Справочный файл | Покрытие |
|---|---|
aws-attack-paths.md | 58 валидированных путей эскалации привилегий IAM, включая PassRole + 12 путей эксплуатации, Organizations (SCPs, RCPs, delegated admin), SSO/Identity Center, Bedrock/GenAI (отравление KB, инъекция агентов, обход guardrail), OIDC federation, ECScape, EKS Pod Identity, whoAMI, IAM Roles Anywhere |
gcp-attack-paths.md | 39 валидированных путей эскалации IAM, Deployment Manager, класс Jenga (ConfusedFunction/ConfusedComposer/ImageRunner/CloudImposer), эксплуатация Vertex AI (ModeLeak/Agent Engine/Ray), обход Org Policy, отравление Pub/Sub + Dataflow, эскалация на основе тегов (Mitiga 2025), DeleFriend DWD, Sys:All GKE |
azure-attack-paths.md | Эскалация RBAC, злоупотребление SP по SpecterOps, эксплуатация first-party приложений (UnOAuthorized 2024, I SPy 2025), обход PIM (eligible/active, манипуляция политиками), расширенный обход Conditional Access (соответствие устройств, именованные местоположения, CAE, время жизни токена), Workload Identity Federation, Managed Identity, nOAuth, Storage/Key Vault |
real-world-breaches.md | 30+ уникальных кейсов взломов, сопоставленных с паттернами мисконфигураций: Capital One, BlueBleed, SolarWinds, Midnight Blizzard, Uber, Codefinger, IngressNightmare, Sys:All GKE, DeleFriend, ConfusedFunction и другие |
identity-federation.md | Golden/Silver SAML, эксплуатация OIDC trust (GitHub/GitLab/Terraform Cloud), GCP Domain-Wide Delegation, GCP Workload Identity Federation, Azure Workload Identity Federation, уязвимость Actor Token в Entra ID |
persistence-evasion-exfil.md | Арсеналы закрепления AWS/Azure/GCP, неаудируемость HMAC-ключей (Vectra), иерархия уклонения от CloudTrail, обход GuardDuty, криминалистическая неотличимость GCS (Mitiga), программы-вымогатели S3 (5 вариантов), эксфильтрация GCP (GCS/BigQuery/DWD/Pub-Sub/Serial C2), перехват DNS/поддоменов |
container-serverless-cicd.md | Bad Pods по Bishop Fox (8 уровней), векторы EKS/AKS/GKE, ECScape, IngressNightmare, злоупотребление Lambda/Cloud Functions/Cloud Run, эксплуатация CI/CD-пайплайнов, тренды цепочки поставок |
lateral-movement.md | AWS SSM SendCommand, EC2 Instance Connect, Azure Pass-the-PRT, выполнение кода через Intune, кросс-тенантная синхронизация, цепочки имперсонации SA в GCP, инъекция SSH через метаданные, инъекция кода в Cloud Functions, pivot через DWD Workspace, кросс-облачный pivot через WIF, злоупотребление OS Patch, Dataproc |