Red Team Operations

 

S vývojem nových druhů útoků a s nárůstem jejich sofistikovanosti přestává penetrační testování dostatečně plnit svůj účel. Proto je nutné začít testovat aplikace a infrastrukturu komplexnějším způsobem. Standardní způsoby testování odhalí různé typy zranitelností, ale neprověří schopnost detekce, reakce a  zotavení z kybernetického útoku.

Název je odvozen od pojmu Red Team, jenž označuje tým zkušených etických hackerů, který útok realizuje a využívá při tom stejně sofistikované prostředky jako reální útočníci. Služba Red Teaming tedy věrně simuluje hrozby útoků s pomocí nejmodernějších technologii a taktik, a také poskytuje informace o připravenosti společnosti tyto útoky detekovat, eliminovat a provést nápravná opatření.

Získání přístupu do interní sítě skrze metody sociálního inženýrství: 

• OSINT – Sbíráme informace o společnosti a jejich zaměstnancích z veřejných zdrojů, na základě kterých upravujeme další postup. 
• Malware na míru – Malware doručený v rámci scénářů je upravený na míru dle zjištěných informacích o konkrétních technologiích společnosti. Malware po spuštění umožňuje přístup do interní sítě společnosti našim operátorům, kteří dále pokračují s dalšími scénáři.
• Phishing / Smishing – Zaměstnancům doručíme přílohu (malware) skrze podvodný e-mail či SMS zprávu.
• Vishing – Zaměstnancům voláme z podvržených čísel které patří jejich kolegům, čímž je zvýšena důvěryhodnost hovoru. V hovoru poté zaměstnance přesvědčíme ke stažení a spuštění malware.

Získání přístupu do interní sítě skrze externí infrastrukturu: 

• Prolomení externího perimetru – Hledáme zranitelnosti ve veřejně přístupné externí infrastruktuře společnosti. V případě jejich nalezení zranitelnosti zneužíváme pro přístup do interní sítě a navazujeme dalšími scénáři.
• Credential stuffing – Na základě databází uniklých hesel zkoušíme získat přístup k účtu některého ze zaměstnanců, který je možné zneužít pro přístup do interní sítě.

Získání přístupu do interní sítě skrze (on-site) Wi-Fi sítě:

• Prolomení Wi-Fi sítě pro hosty – Pokusíme se získat přístup do interní sítě skrze Wi-Fi síť dostupnou pro hosty v pobočkách společnosti.
• Odposlech Wi-Fi sítě pro zaměstnance – V kancelářích společnosti zanecháme zařízení, které sbírá hashe přístupových hesel. Tyto hashe poté zkoušíme prolomit slovníkovým útokem na specializovaném stroji pro lámání hesel.
• Podvržení Wi-Fi sítě pro zaměstnance – V kancelářích společnosti zanecháme zařízení, které vysílá podvrženou síť se stejným jménem, jako má sít pro zaměstnance. Po přihlášení k síti je zaměstnanec naveden na falešný captive portál pro přihlášení k síti, který sbírá jména a hesla zaměstnanců.

Získání přístupu do interní sítě prolomením fyzické bezpečnosti:

• Impersonace dodavatele a zaměstnanců – Získáváme fyzický přístup do kanceláří společnosti na základě smyšleného scénáře, jako je například oprava klimatizace.
• Tailgating – Získáváme přístup do kanceláří např. vmíšením do skupiny zaměstnanců při obědě, kteří nám umožní přístup na jejich přístupové karty.
• Klonování přístupových karet – Skrze různé metody a techniky provádíme pokus o získání funkční falešné / naklonované přístupové karty.
• LAN Drop Device – Po získání přístupu zapojujeme zařízení do interní sítě, např. mezi tiskárnu a switch, který nám umožní vzdálený přístup.
• Dumpster diving – Získáváme informace o společnosti a jejich partnerech z citlivých dokumentů, které jsou viditelně dostupné v prostorách společnosti.
• Falešné USB zařízení – Po prostorách společnosti necháváme různá USB zařízení, která po zapojení umožní vzdálený přístup do interní sítě. Jedná se například o nabíjecí kabely, USB Flash Disky, USB síťové karty a podobně.

Zneužití přístupů do interní sítě:

• Command & Control – Doručený malware nám umožňuje vzdáleně provádět neautorizované akce v interní síti.
• Zajištění perzistence – Po získání přístupu zajistíme, aby se malware spustil i po restartování infikovaného počítače.
• Eskalace privilegií – V interní síti se pokusíme eskalovat privilegia na úroveň lokálního/doménového administrátora.
• Lateral Movement – Pokusíme se získat přístup do ostatních segmentů a strojů v rámci interní sítě. 
• Exfiltrace dat – Interní síť prohledáme a pokusíme se nepozorovaně exfiltrovat (ukrást) citlivá data, či splnit jiné cíle specifikované dle požadavků zákazníka.

Ukončení testu a de-biefing:

• Report – Z každého scénáře sepíšeme detailní report, který obsahuje časovou osu útoku a prováděné akce spolu s jejich výsledkem (úspěšný či neúspěšný). U úspěšných scénářů dále popisujeme indikace útoků, na základě kterých je v budoucnosti možné útok lépe detekovat a zastavit. 
• Workshop se zaměstnanci společnosti – V rámci workshopu se Red Team poprvé setká s IT security / SoC zaměstnanci společnosti, a porovnají se akce provedené Red Teamem s detekcemi zaměstnanců společnosti. U úspěšně provedených útoků také proběhne diskuze s cílem proškolit zaměstnance na jejich detekci.

Tak jako existují metodiky pro realizaci penetračních testů (OWASP, PTES, OSSTMM, …), existují frameworky, které lze uchopit buď z pohledu Security Operations Center pro prevenci útoků, tak z pohledu Red Teamu pro popis a realizaci útoků. Jedním z takových frameworků je Cyber Kill Chain (CKC) vyvinutý společnostní Lockheed Martin (https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html). 
CKC popisuje sedm navazujících aktivit, které musí být vykonány, aby byl útok úspěšný. Úkolem Blue Teamu je tento řetězec událostí narušit, zatímco Red Team se snaží tyto útočné aktivity dotáhnout do úspěšného konce. 

Reconnaissance 
Fáze průzkumu, kdy Red Team využívá volně dostupné i neveřejné zdroje pro zjištění co největšího množství informací o cíli. Jsou využity techniky Open-source intelligence (OSINT), průzkum sociálních sítí (LinkedIn, Facebook) či nástroje jako Maltego, Shoda nebo ZoomEye. Součástí je sběr emailových adres, jmen zaměstnanců, telefonních čísel a informací o použitých technologiích a službách vystavených do Internetu. 

Weaponization 
Přípravná fáze, kdy Red team na základě zjištění z předchozí fáze vytvoří malware na míru danému cíli. Jsou použity vlastní in-house techniky pro obfuskaci kódu a použitých exploitů, to vše s cílem minimalizace toho, že bude útočný software detekován antimalwarovými prostředky cílové sítě. 
Pro metody sociálního inženýrství jsou vytvořeny tzv. návnady – dokumenty (pdf, docx, …) obsahující útočný kód. Jsou využívány exploity na známé i neznámé (zero-day) zranitelnosti, Makra dokumentů či Dynamic Data Exchange (DDE). 

Delivery 
Fáze, ve které jsou zahájeny samotné útoky. Útoky prostřednictvím sociálního inženýrství mohou zahrnovat zasílání emailů s infikovanými přílohami (phishing), interakce se zaměstnanci prostřednictvím telefonu (Vishing), interakce se na sociálních sítích či využití útočných USB zařízení (RubberDucky, Bash Bunny, Raspberry Pi). 
Zároveň jsou zahájeny útoky na externí infrastrukturu a vystavené služby, jakými jsou například webové, poštovní a DNS servery či VPN endopinty. Součástí fáze je i útok na zaměstnanecké i návštěvnické WiFi sítě. 

Exploitation 
Tato fáze značí úspěšný průnik. Může se jednat o zneužití technické chyby formou exploitu vůči externí infrastruktuře či WiFi síti nebo zneužití lidské chyby v rámci sociálního inženýrství, kdy zaměstnanec cílové společnosti spustí útočný kód připravený Red Teamem a doručený v předchozí fázi. 

Installation 
Red Team úspěšně kompromitoval server či koncový bod (uživatelská stanice, mobilní telefon nebo tablet) a zajišťuje si perzistentní přístup. V případě kompromitace například webového serveru může být perzistence dosaženo využitím webshellu. V případě koncové stanice se potom jedná o backdoor, který je automaticky spouštěn při staru stanice. Toho může být docíleno tím, že je backdoor spouštěn jako systémová služba či modifikací AutoRun klíčů v rámci Windows registrů. Takovýto malware je v síti nasazen jako předmostí pro podnikání dalších útoku v rámci interní sítě. 

Command and Control 
Malware nainstalovaný v předchozí fázi naváže komunikaci směrem do Internetu na server Red teamu. Comand and Control (C2) server slouží k vzdálenému ovládání malware v síti a to obvykle skrze protokoly HTTP či DNS. 

Actions on Objectives 
Jakmile Red Team získá persistentní vzdálený přístup do cílové interní sítě, započne aktivity k dosažení předem stanového cíle – získání Flagu. Tyto aktivity zahrnují interní průzkum sítě, nepozorované šíření (lateral movement), sběr uživatelských účtů a hesel, eskalaci privilegií a ve finální fázi potom exfiltraci dat.

Tak jak se zdokonalují techniky útočníků a jejich metody průniku, přestávají samostatné penetrační testy izolovaných systémů, jakožto samospasné ověření odolnosti vůči útoku, stačit. Roste poptávka po komplexnější službě, kterou představuje právě popsaný Red Teaming.

Naše představení Red Teamingu zakončíme citátem bývalého CEO společnosti Cisco Johna Chamberse: “Existují dva druhy společností: ty které byly hacknuty a ty, které ještě neví, že byly hacknuty.”