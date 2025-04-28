大型机是众多行业 IT 基础设施的核心组件，以高可靠性和多重安全机制支撑海量交易处理。银行、航空公司、酒店及保险公司均依赖主机处理银行转账、信用卡消费、预订创建和保险理赔等交易。
尽管具备高级安全特性，大型机仍可能像任何计算机系统那样出现配置错误。鉴于这些设备处理信息的重要性，必须由渗透测试人员定期谨慎评估其安全性。每台大型机都针对特定使用场景专门定制，因此测试人员需要时间理解所评估的环境。在完成初步侦察阶段后，测试人员将搜寻大型机运行软件与应用程序中的漏洞及配置缺陷。
现有数款大型机渗透测试工具，但均为独立脚本而非多功能工具组件。测试人员必须花费时间确定适用脚本及寻找最适合其环境的脚本。为弥补这一缺口，我和 Elizabeth Christensen——两人均为 IBM X-Force Red 实习生——联合开发了 m-RAY，这款针对运行 z/OS 操作系统的 IBM 大型机的自动化漏洞扫描器。该工具旨在通过识别常见配置缺陷与漏洞，协助渗透测试人员开展初期评估工作。使用此工具可大幅减少测试人员手动执行命令与实施侦察的时间消耗，从而增加其追踪潜在攻击路径或渗透节点的时间，抢在攻击者之前识别系统隐患。
m-RAY 被设计为一个易于扩展的框架，可检查各种服务配置中的漏洞，并简化在 z/OS 环境中运行脚本的流程。由于大型机的高度定制化特性，测试人员可以配置他们希望使用的功能，以最适配其工作环境。
待检查的配置缺陷清单基于《z/OS RACF 安全技术实施指南》(STIG) 编制。STIG 是美国国防部用于保护其系统的配置要求，其依据是 NIST 的建议。无论企业是否被要求遵守这些规定，STIG 都为各类软件产品提供了行业最佳实践参考，并构成了此安全工具的基础。团队确定了能为测试人员带来最大价值、且对客户认知最为重要的前 25 项配置缺陷，并将其实现为漏洞检查项。
例如，m-RAY 会检查 Unix 和 TSO 环境中的用户权限级别是否一致，SSH 是否配置为使用安全的加密算法，以及不活跃账户是否会被自动撤销。目前，m-RAY 提供有关 Unix 系统服务环境以及 RACF（z/OS 上处理用户访问控制的安全软件）中大型机配置缺陷的信息。部分检查项能明确判定系统中是否存在特定配置缺陷，而另一些则提供系统信息，例如可访问特定资源的用户账户列表。渗透测试人员随后可与客户协作，判定访问权限是否受到恰当限制。
除了检查系统配置外，m-RAY 的另一项目标是整合现有大型机工具的功能。这些枚举工具通常以 REXX（一种主机脚本语言）编写。在渗透测试中使用此类脚本时，测试人员必须找到开源工具，将其下载至本地计算机，再上传至主机系统，运行并解析结果。为简化此流程，m-RAY 内置了两款最流行的开源 REXX 脚本，并实现了脚本上传、运行及事后环境清理的自动化。测试人员还可向工具添加自定义的 REXX 脚本。
总体而言，通过使用 m-RAY，渗透测试人员能够自动化执行许多原本需要手动操作的漏洞检查，并减少获取系统初步概览所需的时间。
现代大型机存在多种交互方式。传统方法是 TSO，它允许用户连接至交互会话并发出命令。这通常需要使用基于 IBM 3270 协议运行的专用终端模拟器。大多数现代大型机也运行 SSH——一种可在所有平台上操作的远程连接协议。这提供了同时执行 TSO 和 UNIX 命令的能力，并能将操作自动化集成到脚本中。m-RAY 通过 SSH 连接与大型机通信，以利用 SSH 提供的额外功能并避免平台特定依赖。
大型机上的 SSH 使用 Unix 系统服务，这是 z/OS 的一项允许运行为 Unix 系统编写程序的功能。通过该协议，m-RAY 建立与大型机的连接并运行命令以收集信息，执行配置缺陷检查。SCP 用于安全地将 REXX 脚本复制至大型机。身份验证可通过密码或密钥对实现，以适应不同的系统配置。
该主应用程序提供命令行用户界面，负责建立连接并启动漏洞检查。渗透测试人员需输入大型机 IP 地址，选择待检查的配置缺陷类型，并提供一组低权限凭据。随后 m-RAY 与大型机之间将建立连接，确保能够向系统发送命令并接收返回结果。
漏洞检查分为三类：Unix 系统服务检查、通过 TSO 执行的检查以及通用侦察。选择其中任一类后，测试人员可选择运行全部检查项或自行配置检查范围。收集扫描结果后，m-RAY 会生成一份包含发现结果和部分系统信息的报告，为渗透测试人员后续的评估工作提供方向。运行 REXX 脚本的操作方式与此类似。测试人员在选择脚本选项后可指定需要执行的脚本。
该应用程序设计中最重要的特性是其模块化架构。随着安全最佳实践的持续演进，未来必须增加对新配置缺陷的检查并修改现有检查项。通过修改内置模板即可添加新检查项和脚本，仅需了解收集相关信息所需执行的命令。若渗透测试人员想添加涉及运行 TSO 命令的新检查项，则无需了解如何连接大型机，只需知道 TSO 命令及其（可选的）预期结果即可。新增检查项的操作耗时通常不超过十分钟。该框架同样支持添加新的连接协议。m-RAY 选择 SSH 是因为其最契合现有功能需求，但通过连接类实现标准化接口的方式，添加其他连接协议的操作也得以简化。
m-RAY 是一款开源工具，可在此处获取。
该项目的愿景是，在目前已实现的 25 项检查之外，能持续扩展新的配置缺陷与漏洞检查项。现有检查项经过精心筛选，旨在为渗透测试人员及其评估系统的客户提供最大价值。结合现有开源工具的功能，这使其成为目前最全面的主机渗透测试工具。
