Red Teaming - Odoláte profesionálnímu útoku? - Nethemba

BLOG

Red Teaming – Odoláte profesionálnímu útoku?

1 Co je Red Teaming?

V následujícím článku si vysvětlíme, co přesně znamená „Red Teaming“, v čem se liší od tradičních penetračních testů, v čem je přístup „Red Teaming“ unikátní a proč nejlépe simuluje reálný koordinovaný útok.

V Nethemba jsme „Red Teaming“ vykonávali mnoho let předtím než se v technické veřejnosti tento termín ujal – jde o kombinaci information Gathering (OSINT), blackbox penetračních testů s cílem minimalizovat jejich detekci ze strany zákazníka a sociálního inženýrství jak ve formě sofistikovaného spear phishingu,  tak fyzické infiltrace.

Red Team představuje profesionální tým hackerů, sociálních inženýrů a „intelligence“ expertů, kteří dokáží získávat, analyzovat a následně využívat množství důležitých informací potřebných na samotnou infiltraci.

Blue Team představuje profesionální tým ochránců, obvykle systémové administrátory zákazníka, jejichž cílem je detekovat útoky „Red Teamu“ a co nejvíce je eliminovat.

White Team představuje úzkou skupinu koordinátorů jednotlivých týmů (objednatel), jako jediní jsou informováni o útoku Red Teamu.

Red Teaming je sofistikovaný, koordinovaný útok, který simuluje reálný hackerský útok, s cílem vyhnout se detekci (ze strany tzv. „Blue Teamu“).  Za normálních okolností IT oddělení zákazníka (s výjimkou zadavatele) není o útoku informováno.  Samotný Red Team obvykle také nedisponuje žádnými informacemi o cílové infrastruktuře, systémech či zaměstnancích dané organizace.  Z tohoto hlediska jde o tzv.  „Blackbox test“.  Jediná informace, kterou zákazník schvaluje, je seznam odhalených potenciálních cílů, které Red Team následně využije k útoku (jinak by totiž mohlo dojít k nelegálním útokům na infrastrukturu, kterou zákazník nevlastní) a seznam zakázaných metod nebo praktik, které Red Team nemůže použít (například  DoS útoky, vydírání / vyhrožování v případě sociálního inženýrství apod).

Red Teaming přesto, že nejde do šířky, s cílem identifikovat všechny možné zranitelnosti, tak využívá několik vektorů útoků nad rámec běžných penetračních testů (například sociální inženýrství).

Jeho cílem je dosažení „vlajky“ ( „flag“) jako například získání lokálního doménového administrátora nebo kompromitace hraničního směrovače.  A toto je možné docílit jakýmkoliv způsobem – od technického průniku na samotné systémy až po psychologickou manipulaci hlavního administrátora ve firmě.

Cílem Red Teaming je otestovat společnost na komplexní hybridní útok, při kterém jsou využity všechny možné dostupné způsoby k dosažení tohoto cíle.

Vztah mezi Red týmem a Blue týmem je asymetrický a to na dvou úrovních – Red Teamu stačí najít jen jednu zranitelnost, aby se dokázal při svém útoku posunout dopředu.  Blue Team oproti tomu musí mít opravené (a neustále opravovat) všechny možné zneužitelné zranitelnosti.  Současně Red Teamu stačí udělat jednu chybu, aby ho Blue Team dokázal odhalit (a například zcela zablokovat) a Red Team musí začít znovu.

2 Průběh Red Teamingu

2.1 Získávání informací (Information Gathering)

Jde o pasivní, úvodní fázi Red Teaming.  Cílem této fáze je z veřejně dostupných zdrojů (databází, registrů, vyhledávačů, sociálních sítí) získat co nejvíce informací, které mohou být využity při dalším průniku.  Jde zejména o:

  •  IP adresní rozsahy, IP adresy, které budou dále předmětem aktivního testování (jejich seznam musí být explicitně schválen zákazníkem)
  •  Seznam zaměstnanců a jejich osobních informací (e-mailové adresy, telefonní čísla, osobní preference, technologie, které používají, místa, kde se vyskytují, případně lidé, kterým věří a se kterými komunikují).  Tyto informace budou následně využity ve fázi cíleného sociálního inženýrství a enumeračných útocích.
  •  Identifikaci partnerů zákazníků (pro případnou impersonifikaci ve fázi sociálního inženýrství)
  •  Identifikaci fyzických budov, kancelářských prostor, popis jejich zabezpečení (pro případ fyzické infiltrace)

2.2 Cílený útok na infrastrukturu a zaměstnance organizace

 Cílený útok na infrastrukturu i zaměstnance organizace může probíhat paralelně.  Členové Red Teamu jsou v neustálém kontaktu, informace navzájem si sdílejí a využívají je při samotném útoku.

2.2.1 Blackbox penetrační test externí infrastruktury

Blackbox penetrační test externí infrastruktury je možné provést hned poté  jak zadavatel (White Team) schválí seznam odhalených cílů útoku (s cílem znemožnit útoky na nepovolené adresní rozsahy).

Na rozdíl od běžného blackbox penetračního testu, tento probíhá v maximálním utajení (tzv. „Stealth režimu“), buď z unikátních VPN nebo Tor uzlů, které jsou podle potřeby měněny.  Standardním cílem je získat přístup do interní sítě (získání VPN přístupů, kompromitovaných serverů v DMZ, cílené útoky na klienty – viz níže „sociální inženýrství).

2.2.2 Sociální inženýrství

Sociální inženýrství (ve formě spear phishingu či fyzické infiltrace) má podobně jako penetrační test vytyčený konkrétní cíl ( „flag“) a využívá všechny metody (které nejsou explicitně zakázány zákazníkem) k jeho dosažení.  Tam patří cílený phishing (spear phishing), častokrát se speciálně upraveným malwarem, jehož cílem je kompromitovat koncového mailového klienta nebo prohlížeč a získat přístup do interní sítě.  Často se na toto využívají důvěryhodně vypadající podvržené internetové domény, falešné certifikáty atd.

2.3 Eskalace privilegií a další infiltrace

V případě, že útok na infrastrukturu nebo zaměstnance organizace je úspěšný a Red Team získá přístupové údaje do interních systémů nebo se mu podaří fyzicky dostat do budovy, tak pokračuje v eskalaci oprávnění a další infiltraci.

2.3.1 Útok v interní síti

Získání VPN uživatele nebo jakéhokoli interního přístupu (z externích penetračních testů nebo sociálního inženýrství) znamená, že Red Team pokračuje útoky v interní síti.  Toto mohou být útoky na L2 / L3 vrstvě (například ARP poisoning) s cílem získat kontrolu nad komunikací interních stanic nebo serverů (použité techniky jsou podobné internímu penetračnímu testu).

Pokud cílová vlajka není definována jinak, cílem je eskalace oprávnění na doménového administrátora / root uživatele klíčových serverů či plné kontrola nad hlavní síťovou bránou.

Útok v interní síti může znamenat pro Red Team také nasazení zadních vrátek (tzv. „backdoors“), v případě, že Blue Team dané zneužití zranitelnosti opraví.

2.3.2 Pokračování fyzické infiltrace

Pokud se Red Team fyzicky dostane do budovy organizace tak pokračuje v infiltraci.  Pokud cílová vlajka není definována jinak, tak obvykle je důležité získat fyzický přístup do serverovny či fyzického archivu citlivých dokumentů (pracovna CEO).  Pro tento účel členové Red Teamu používají specializovaný hardware (mini kamery, portabilní wifi hotspoty, klonovací zařízení na čipové karty atd).  Disponují také tzv.  „Get out of jail letter“, tedy oficiálním dokumentem, kterým se prokáží v případě, že budou přistiženi s cílem zabránit případnému násilí.

3 Výsledná zpráva

Výsledná zpráva kromě manažerského shrnutí obsahuje seznam všech cest (většina je slepých), které Red Team vyzkoušel.  Dokumentuje přesný průběh jak se Red Team získal k danému cíli a jakým nástrahám během tohoto procesu musel čelit.  Součástí je seznam zneužitých zranitelností včetně toho jak uvedenou zranitelnost, buď zcela nebo alespoň částečně, opravit.

Odoláte profesionálnímu útoku? S naší Red Teaming službou se to můžete dozvědět během pár týdnů. Vyzkoušejte ji a nechte se překvapit.

V Nethemba máme 14-leté zkušenosti se všemi fázemi Red Teaming, realizovali jsme je nesčetněkrát při komplexních, koordinovaných útocích.  Současně máme mnoho zkušenosti se školením systémových administrátorů (Blue Team) a vývojářů aplikací (Red Team).