Red Team Operations

S rozvojom nových typov útokov a zvyšovaním ich sofistikovanosti prestáva penetračné testovanie spĺňať svoj účel. Preto je potrebné začať testovať aplikácie a infraštruktúru komplexnejšie. Štandardné spôsoby testovania odhalia rôzne typy zraniteľností, ale neotestujú schopnosť odhaliť kybernetický útok, reagovať naň a zotaviť sa z neho.

Názov je odvodený od pojmu Red Team, ktorý označuje tím skúsených etických hackerov, ktorí realizujú útok s použitím rovnako sofistikovaných prostriedkov ako skutoční útočníci. Služba Red Teaming teda verne simuluje útočné hrozby s využitím najnovších technológií a taktík a zároveň poskytuje informácie o pripravenosti spoločnosti na odhaľovanie, elimináciu a nápravu týchto útokov.

Získanie prístupu do internej siete metódami sociálneho inžinierstva:

• OSINT - Zhromažďujeme informácie o spoločnosti a jej zamestnancoch z verejných zdrojov, na základe ktorých upravujeme ďalší postup. 
• Malware na mieru - Malware dodávaný v rámci scenárov je prispôsobený podľa zistených informácií o konkrétnych technológiách spoločnosti. Po spustení malware umožní prístup do internej siete spoločnosti našim operátorom, ktorí pokračujú v ďalších scenároch.
• Phishing/Smishing - Zamestnancom doručíme prílohu (malware) prostredníctvom podvodného e-mailu alebo SMS správy.
• Vishing - Voláme zamestnancom z podvrhnutých čísiel patriacich ich kolegom, čím zvyšujeme dôveryhodnosť hovoru. V hovore potom presvedčíme zamestnanca, aby si stiahol a spustil malware.

Získanie prístupu do internej siete prostredníctvom externej infraštruktúry:  

• Prelomenie externého perimetra - Hľadáme zraniteľnosti vo verejne prístupnej externej infraštruktúre spoločnosti. Ak ich nájdeme, využijeme zraniteľnosti na získanie prístupu do internej siete a nadviažeme na ne ďalšími scenármi.
• Credential stuffing - Na základe databáz uniknutých hesiel sa snažíme získať prístup k účtu zamestnanca, ktorý sa dá zneužiť na prístup do internej siete.

Získanie prístupu do internej siete prostredníctvom sietí Wi-Fi (on site):

• Prelomenie siete Wi-Fi pre hostí - Pokúsime sa získať prístup do internej siete prostredníctvom siete Wi-Fi, ktorá je k dispozícii hosťom v pobočkách spoločnosti.
• Odpočúvanie siete Wi-Fi pre zamestnancov - V kanceláriách spoločnosti necháme zariadenie, ktoré zhromažďuje hashe prístupových hesiel. Tieto hashe sa potom pokúsime prelomiť slovníkovým útokom na špecializovanom stroji na lámanie hesiel.
• Podvrhnutie siete Wi-Fi zamestnancov - V kanceláriách spoločnosti necháme zariadenie, ktoré vysiela podvrhnutú sieť s rovnakým názvom ako sieť zamestnancov. Po prihlásení do siete je zamestnanec presmerovaný na falošný captive portál na prihlasovanie do siete, ktorý zhromažďuje mená a heslá zamestnancov.

Získanie prístupu do internej siete prelomením fyzickej ochrany:

• Impersonácia dodávateľa a zamestnancov - Získavame fyzický prístup do kancelárií spoločnosti na základe fiktívneho scenára, napríklad opravy klimatizácie.
• Tailgating - Prístup do kancelárií získame napríklad tak, že sa pri obede zamiešame do skupiny zamestnancov, ktorí nám umožnia prístup k svojim prístupovým kartám.
• Klonovanie prístupových kariet - Pomocou rôznych metód a techník sa pokúšame získať funkčnú falošnú/klonovanú prístupovú kartu.
• LAN Drop Device - Po získaní prístupu zapojíme do internej siete zariadenie, napr. medzi tlačiareň a switch, ktoré nám umožní vzdialený prístup.
• Dumpster diving - Informácie o spoločnosti a jej partneroch získavame z citlivých dokumentov, ktoré sú viditeľne dostupné v priestoroch spoločnosti.
• Falošné zariadenia USB - V priestoroch spoločnosti nechávame rôzne zariadenia USB, ktoré po zapojení umožnia vzdialený prístup do internej siete. Patria sem nabíjacie káble, USB Flash disky, USB sieťové karty a podobne.

Zneužitie prístupu do internej siete:

• Command & Control - Doručený malware nám umožňuje na diaľku vykonávať neautorizované akcie v internej sieti.
• Zabezpečenie perzistencie - Po získaní prístupu zabezpečíme, aby malware pokračoval v činnosti aj po reštarte infikovaného počítača.
• Eskalácia privilégií - V internej sieti sa pokúsime o eskaláciu privilégií na úroveň lokálneho/doménového administrátora.
• Lateral Movement - Pokúsime sa získať prístup do iných segmentov a počítačov v rámci internej siete. 
• Exfiltrácia dát - Budeme prehľadávať internú sieť a pokúsime sa nenápadne exfiltrovať (ukradnúť) citlivé dáta alebo splniť iné ciele stanovené požiadavkami zákazníka.

Ukončenie testu a de-biefing:

• Report - O každom scenári napíšeme podrobný report, ktorý obsahuje časovú os útoku a vykonané akcie spolu s ich výsledkom (úspešný alebo neúspešný). V prípade úspešných scenárov ďalej opisujeme indikácie útokov, ktoré sa dajú použiť na lepšie odhalenie a zastavenie útoku v budúcnosti. 
• Workshop so zamestnancami spoločnosti - Na workshope sa Red Team prvýkrát stretáva so zamestnancami IT security / SoC spoločnosti a porovnáva akcie vykonané Red Teamom s detekciami vykonanými zamestnancami spoločnosti. Diskutuje sa aj o úspešných útokoch s cieľom vyškoliť zamestnancov na ich odhaľovanie.

Tak ako existujú metodiky na realizáciu penetračných testov (OWASP, PTES, OSSTMM, ...), existujú aj frameworky, ktoré možno uchopiť buď z pohľadu Security Operations Center na prevenciu útokov, alebo z pohľadu Red Teamu na popis a realizáciu útokov. Jedným z takýchto frameworkov je Cyber Kill Chain (CKC), ktorý vyvinula spoločnosť Lockheed Martin (https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html). 
CKC opisuje sedem nadväzujúcich činností, ktoré sa musia vykonať, aby bol útok úspešný. Úlohou Blue Teamu je narušiť tento reťazec udalostí, zatiaľ čo Red Team sa snaží doviesť tieto činnosti útoku do úspešného konca. 

Reconnaissance 
Fáza prieskumu, v ktorej Red Team využíva voľne dostupné a neverejné zdroje, aby zistil čo najviac informácií o cieli. Využívajú sa Open-Source intelligence techniky (OSINT), prieskum sociálnych sietí (LinkedIn, Facebook) alebo nástroje ako Maltego, Shoda alebo ZoomEye. Patrí sem zhromažďovanie e-mailových adries, mien zamestnancov, telefónnych čísel a informácií o používaných technológiách a službách vystavených internetu. 

Weaponization 
Prípravná fáza, v ktorej Red Team vytvorí malware prispôsobený cieľu na základe zistení z predchádzajúcej fázy. Na zahmlievanie kódu a použitých exploitov sa používajú vlastné in-house techniky, a to všetko s cieľom minimalizovať odhalenie útočného softwaru prostriedkami proti malwaru cieľovej siete. 
V prípade metód sociálneho inžinierstva sa vytvárajú tzv. návnady - dokumenty (pdf, docx, ...) obsahujúce útočný kód. Používajú sa exploity na známe a neznáme (zero-day) zraniteľnosti, makrá dokumentov alebo dynamická výmena dát (DDE). 

Delivery
Fáza, v ktorej sa uskutočňujú samotné útoky. Útoky sociálneho inžinierstva môžu zahŕňať zasielanie e-mailov s infikovanými prílohami (phishing), komunikáciu so zamestnancami prostredníctvom telefónu (Vishing), interakciu na sociálnych sieťach alebo používanie útočných zariadení USB (RubberDucky, Bash Bunny, Raspberry Pi). 
Zároveň sa uskutočňujú útoky na externú infraštruktúru a vystavené služby, ako sú webové, poštové a DNS servery alebo VPN endpointy. Fáza zahŕňa aj útok na zamestnanecké a návštevnícke siete WiFi. 

Exploitation 
Táto fáza znamená úspešný prienik. Môže ísť o zneužitie technickej chyby vo forme exploitu na externú infraštruktúru alebo WiFi sieť alebo o zneužitie ľudskej chyby v rámci sociálneho inžinierstva, keď zamestnanec cieľovej spoločnosti spustí útočný kód pripravený Red Teamom a doručený v predchádzajúcej fáze. 

Installation
Red Team úspešne kompromitoval server alebo koncový bod (používateľskú stanicu, mobilný telefón alebo tablet) a zabezpečil perzistentný prístup. V prípade kompromitácie napríklad webového servera možno perzistenciu dosiahnuť pomocou webshellu. V prípade koncového bodu ide potom o backdoor, ktorý sa automaticky spustí pri spustení stanice. To možno dosiahnuť spustením backdooru ako systémovej služby alebo modifikáciou kľúčov AutoRun v registri systému Windows. Takýto škodlivý software je v sieti nasadený ako predmostie na podnikanie ďalších útokov v rámci vnútornej siete. 

Command and Control
Malware nainštalovaný v predchádzajúcej fáze nadviaže komunikáciu smerom na Internet so serverom Red teamu. Command and Control (C2) server sa používa na vzdialené ovládanie malwaru v sieti, zvyčajne prostredníctvom protokolov HTTP alebo DNS. 

Actions on Objectives
Keď Red Team získa perzistentný vzdialený prístup do vnútornej siete cieľa, začne vykonávať činnosti na dosiahnutie vopred stanoveného cieľa, ktorým je získanie Flagu. Tieto činnosti zahŕňajú prieskum vnútornej siete, nepozorované šírenie (lateral movement), zhromažďovanie používateľských účtov a hesiel, zvyšovanie oprávnení a napokon exfiltráciu dát.

Keďže techniky útočníkov a metódy prieniku sa zdokonaľujú, samostatné penetračné testy izolovaných systémov ako samostatné overenie odolnosti voči útokom už nepostačujú. Rastie dopyt po komplexnejšej službe, ktorú predstavuje práve opísaný Red Teaming.

Naše predstavenie Red Teamingu zakončíme citátom bývalého generálneho riaditeľa spoločnosti Cisco Johna Chambersa: "Existujú dva druhy spoločností: tie, ktoré boli hacknuté, a tie, ktoré ešte nevedia, že boli hacknuté."