Red Teaming – odoláte profesionálne vedenému útoku?
1 Čo je Red Teaming?
V nasledujúcom článku si vysvetlíme, čo presne znamená “Red Teaming”, v čom sa líší od tradičných penetračných testov, v čom je prístup “Red Teamingu” unikátny a prečo najlepšie simuluje reálny koordinovaný útok.
V Nethembe sme “Red Teaming” vykonávali mnoho rokov predtým ako sa v technickej verejnosti ujal tento termín – ide o kombináciu information gatheringu (OSINT), blackbox penetračných testov s cieľom minimalizovať ich detekciu zo strany zákazníka a sociálneho inžinierstva ako vo forme sofistikovaného spear phishingu, tak fyzickej infiltrácie.
Red Team predstavuje profesionálny tím hackerov, sociálnych inžinierov a “intelligence” expertov, ktorí dokáže získavať, analyzovať a následne využívať množstvo dôležitých informácií potrebných na samotnú infiltráciu.
Blue Team predstavuje profesionálny tím ochrancov, obvykle systémových administrátorov zákazníka, ktorých cieľom je detegovať útoky “Red Teamu” a čo najviac ich eliminovať.
White Team predstavuje úzku skupinu koordinátorov jednotlivých tímov (objednávateľ), ako jediní sú informovaní o útoku Red Teamu.
Red Teaming je sofistikovaný, koordinovaný útok, ktorý simuluje reálny hackerský útok, s cieľom vyhnúť sa detekcii (zo strany tzv. “Blue Teamu”). Za normálnych okolností IT oddelenie zákazníka teda (s výnimkou zadávateľa) nie je o útoku informované. Samotný Red Team obvykle tiež nedisponuje žiadnymi informáciami o cieľovej infraštruktúre, systémoch či zamestnancoch danej organizácie. Z tohto hľadiska ide o tzv. “blackbox test”. Jediná informácia, ktorú zákazník schvaľuje, je zoznam odhalených potenciálnych cieľov, ktoré Red Team následne využije k útoku (inak by totiž mohlo dôjsť k nelegálnym útokom na infraštruktúru, ktorú zákazník nevlastní) a zoznam zakázaných metód alebo praktík, ktoré Red Team nemôže použiť (napríklad DoS útoky, vydieranie/vyhrážanie sa v prípade sociálneho inžinierstva apod).
Red Teaming napriek tomu, že nejde do šírky s cieľom identifikovať všetky možné zraniteľnosti, tak využíva viacero vektorov útokov nad rámec bežných penetračných testov (napríklad sociálne inžinierstvo).
Jeho cieľom je dosiahnutie “vlajky” (“flag”) ako napríklad získanie lokálneho doménového administrátora alebo kompromitovanie hraničného smerovača. A toto je možné docieliť akýmkoľvek spôsobom – od technického prieniku na samotné systémy až po psychologickú manipuláciu hlavného admina vo firme.
Cieľom Red Teamingu je otestovať spoločnosť na komplexný hybridný útok, pri ktorom sú využité všetky možné dostupné spôsoby na dosiahnutie tohto cieľa.
Vzťah medzi Red Teamom a Blue Teamom je asymetrický a to na dvoch úrovniach – Red Teamu stačí nájsť len jedna zraniteľnosť, aby sa dokázal pri svojom útoku posunúť dopredu. Blue Team musí ale mať opravené (a neustále opravovať) všetky možné zneužiteľné zraniteľnosti. Súčasne Red Teamu stačí spraviť jednu chybu, aby ho Blue Team dokázal odhaliť (a napríklad úplne zablokovať) a Red Team musí začať odznova.
2 Priebeh Red Teamingu
2.1 Získavanie informácií (information gathering)
Ide o pasívnu, úvodnú fázu Red Teamingu. Cieľom tejto fázy je z verejne dostupných zdrojov (databáz, registrov, vyhľadávačov, sociálnych sietí) získať čo najviac informácií, ktoré môžu byť využité pri ďalšom prieniku. Ide hlavne o:
- IP adresné rozsahy, IP adresy, ktoré budú ďalej predmetom aktívneho testovania (ich zoznam musí byť explicitne schválený zákazníkom)
- Zoznam zamestnancov a ich osobných informácií (e-mailové adresy, telefónne čísla, osobné preferencie, technológie, ktoré používajú, miesta, kde sa vyskytujú, prípadne ľudia, ktorým veria a s ktorými komunikujú). Tieto informácie budú následne využité vo fáze cieleného sociálneho inžinierstva a enumeračných útokoch
- Identifikáciu partnerov zákazníkov (pre prípadnú impersonifikáciu vo fáze sociálneho inžinierstva)
- Identifikáciu fyzických budov, kancelárskych priestorov, popis ich zabezpečenia (pre prípad fyzickej infiltrácie)
2.2 Cielený útok na infraštruktúru a zamestnancov organizácie
Cielený útok na infraštruktúru aj zamestnancov organizácie môže prebiehať paralelne. Členovia Red Teamu sú v neustálom kontakte, informácie navzájom si zdieľajú a využívajú pri samotnom útoku.
2.2.1 Blackbox penetračný test externej infraštruktúry
Blacbox penetračný test externej infraštruktúry je možné vykonať hneď po tom ako zadávateľ (White Team) schváli zoznam odhalených cieľov útoku (s cieľom znemožniť útoky na nepovolené adresné rozsahy).
Na rozdiel od bežného blackbox penetračného testu, tento prebieha v maximálnom utajení (tzv. “stealth režime”), buď z unikátnych VPN alebo Tor uzlov, ktoré sú podľa potreby menené. Štandardným cieľom je získať prístup do internej siete (získanie VPN prístupov, kompromitovanie serverov v DMZ, cielené útoky na klientov – viď nižšie “sociálne inžinierstvo).
2.2.2 Sociálne inžinierstvo
Sociálne inžinierstvo (vo forme spear phishingu či fyzickej infiltrácie) má podobne ako penetračný test vytýčený konkrétny cieľ (“flag”) a využíva všetky metódy (ktoré nie sú explicitne zakázané zákazníkom) na jeho dosiahnutie. Tam patrí cielený phishing (spear phishing), častokrát so špeciálne upraveným malvérom, ktorého cieľom je kompromitovať koncového mailového klienta alebo prehliadač a získať prístup do internej siete. Častokrát sa na to využívajú dôveryhodne vyzerajúce podvrhnuté internetové domény, falošné certifikáty atď.
2.3 Eskalácia oprávnení a ďalšia infiltrácia
V prípade, že útok na infraštruktúru alebo zamestnancov organizácie je úspešný a Red Team získa prístupové údaje do interných systémov alebo sa mu podarí fyzicky dostať do budovy, tak pokračuje v eskalácii oprávnení a ďalšej infiltrácii.
2.3.1 Útok v internej sieti
Získanie VPN používateľa alebo akéhokoľvek interného prístupu (z externých penetračných testov alebo sociálneho inžinierstva) znamená, že Red Team pokračuje útokmi v internej sieti. Toto môžu byť útoky na L2/L3 vrstve (napríklad ARP poisoning) s cieľom získať kontrolu nad komunikáciou interných staníc alebo serverov (použité techniky sú podobné internému penetračnému testu).
Ak cieľová vlajka nie je definovaná inak, cieľom je eskalácia oprávnení na doménového administrátora/ root používateľa kľúčových serverov či plnej kontrole nad hlavnou sieťovou bránou.
Útok v internej sieti môže znamenať pre Red Team tiež nasadenie zadných vrátok (tzv. “backdoors”), v prípade, že Blue Team dané zneužité zraniteľnosti opraví.
2.3.2 Pokračovanie fyzickej infiltrácie
Ak sa Red Team fyzicky dostane do budovy organizácie, tak pokračuje v infiltrácii. Ak cieľová vlajka nie je definovaná inak, tak obvykle je dôležité získať fyzický prístup do serverovne či fyzického archívu citlivých dokumentov (pracovňa CEO). Na tento účel členovia Red Teamu používajú špecializovaný hardvér (mini kamery, portabilné wifi hotspoty, klonovacie zariadenia na čipové karty atď). Disponujú tiež tzv. “Get out of jail letter”, teda oficiálnym dokumentom, ktorým sa preukážu v prípade, že budú prichytení s cieľom predísť prípadnému násiliu.
3 Výsledná správa
Výsledná správa okrem manažérskeho zhrnutia obsahuje zoznam všetkých ciest (väčšina je slepých), ktoré Red Team vyskúšal. Dokumentuje presný priebeh ako sa Red Team získal k danému cieľu a akým nástrahám počas tohto procesu musel čeliť. Súčasťou je zoznam zneužitých zraniteľností vrátane toho ako uvedenú zraniteľnosť buď úplne alebo aspoň čiastočne opraviť.
Odoláte profesionálne vedenému útoku?
S našou Red Teaming službou sa to môžete dozvedieť behom pár týždňov. Vyskúšajte ju a nechajte sa prekvapiť.
V Nethembe máme 14-ročné skúsenosti so všetkými fázami Red Teamingu, realizovali sme ich nespočetne veľakrát pri komplexných, koordinovaných útokoch. Súčasne máme veľa skúsenosti so školením systémových administrátorov (Blue Team) a vyvojárov aplikácie (Red Team).