Большое спасибо за подробный writeup, особенно интересно читать в таком формате, взгляд со стороны непосредственных участников, тем более команды победителей)
Не сочтите за рекламу, но хотелось бы порекомендовать отличный инструмент для командного взаимодействия и ведения заметок. По личному опыту использования могу сказать, что очень удобно вести проекты на больших скоупах, никаких больше табличек в excel и вездесущих scans.txt) + постоянно развивается и имеет возможности интеграции с большим количеством инструментов, признанных стандартами индустрии (в т.ч Cobalt Strike)
Абсолютно согласен! Более того существует «эзотерический» формат работ по проведению тестирований на проникновение — Black Team, который включает подобную стратегию, в частности для проверки эффективности механизмов противодействия угрозам из cерии Insider Threat. В отличии от Red Team, в основном скоупе работ этого формата приоритет отдан получению физического доступа любыми возможными способами)
Исходя из личного опыта, описанные меры относительно расположения переговорных комнат на отдельном этаже и сопровождение кандидатов на вакансии от входа до выхода, к сожалению далеко не идеальны. Простой пример из практики, после интервью сопровождающий сотрудник «эскортирует» кандидата до выхода из офиса. И практически у самой двери кандидат с выражением лица кота из м/ф Шрек, спрашивает про уборную (стресс на интервью, переволновался, перенервничал, тошнит и пр.) Кто же сможет отказать в такой естественной и невинной просьбе. И на практике никто из сопровождающих, ни разу не ждал у дверей туалета дольше 5 минут)) «Выход сами найдете?» «Конечно, большое спасибо!» А далее наклеиваем накладные усы переодеваем футболку и уже по списку задач))
PS: Спасибо за отличную статью!
Поддерживаю! Особенно обидно написано о «тотальной беспомощности» перед «ужасными хакерами»… у них же «целые форумы, каналы, сообщества»… а специалисты «рассказывают о чем-то, что уже минимум как полгода неактуально».
Мне кажется наоборот, представленное решение неактуально, учитывая что fail2ban реализован, как минимум 15 лет назад, судя по датам ранних коммитов + threat intelligence решения уже давно существуют.
Вопрос относительно CVE-2020-3452, какую именно информацию удавалось получить с помощью эксплуатации данной уязвимости? Имею ввиду именно реальный практический импакт, например конфигурация оборудования или получение сессии пользователя, а не вакуумное описание CVE или просто чтение portal_inc.lua
Благодарю за пояснения! Еще хотелось бы понять момент, каким образом происходит выбор сценариев для проведения, т.е хочется понять факторы определяющие выбор, следует ли отталкиваться от отрасли деятельности организации, либо от конкретных APT, либо выбирать TTPs наугад из методологии MITRE, либо все таки более индивидуально, исходя из пожеланий заказчика? И еще вопрос, что по Вашем мнению более эффективно — аутсорс Blue Team или все таки своя команда?
Спасибо за перевод! Исходя из содержания статьи, не совсем понятно различие между классическим пентестом и red teaming, в приведенном примере: recon --> веб-приложение --> xss -->… Следуя подобной логике, это классический пентест, согласно общепринятой методологии, пусть с элементами соц. инженерии и физ. проникновением, только в х10 раз дороже?) Мне все таки кажется, что основная цель Red Team тестирований — проверить и на практике убедиться, что результаты регулярных пентестов актуальны (типа XSSок нет!) и самое главное это тренировка навыков Blue Team! Поэтому, при выборе типа тестирования, отталкиваться стоит не от зрелости компании, а от уровня подготовки и навыков защитников, чтобы почувствовать реальную пользу и эффективность от тестирований в формате Red Team.
Спасибо за статью! Открыл для себя Email Finder от Snov.io
Рекомендую еще inteltechniques.com от Michael Bazzell. Он считается одним из отцов основателей методологического OSINT на западе, курсы и книги платные, но как говорится было бы желание + у него есть подкаст на английском на тему Privacy и противодействию OSINT. Из бесплатного могу посоветовать канал на youtube OSINT Curious Project от SANS Инструктора Micah Hoffman
Спасибо за познавательную статью! Никогда бы не подумал, что «девайсы» типа We-Vibe оснащаются bluetooth для связи с приложением) Хочется задать вопрос (без)умным производителям этих (без)умных устройств — для чего вообще этот функционал? и не думали тогда уж добавить еще AI, ML и Blockchain до кучи?)
Мне кажется, что «xорошая» APT — это никому не известная APT, для которой не существует отчетов описывающих TTPs и IOCs. А если серьезно, неужели вы думаете, что у них нет интернета и они не читают отчеты и не совершенствуют свой tradecraft?
Описанное в статье, больше подходит, в качестве свободной интерпретации определения формата Purple Team, только при условии что взаимодействие с Blue Team происходит на практике, когда действительно берется определенный сценарий, на его основе составляется killchain план атаки, далее этот план реализуется с возможными вариантами импровизации, а потом обсуждается с защитниками по каждому пункту с рекомендациями относительно мониторинга, противодействия, deception и prevention методик, а потом все это повторяется на другом сценарии)
И на определенном этапе развития организации, когда модель угроз включает даже «нашествие марсиан», IR playbooks отрепетированы и заучены наизусть, Threat Hunting не просто смешное словосочетание, перечень сертификатов CISO не помещается на визитке, SOC имеет постоянный штат и может перечислить всех китайских APT названных в честь панды по убыванию, пентесты и security awarness проводятся регулярно, а во время Purple Team assessments многократно отработана на практике вся матрица MITRE, настроен и проверен мониторинг, реализованы deception методологии. Только тогда имеет смысл проводит Red Team чтобы проверить и убедится что все перечисленное выше эффективно работает.
Red Team на практике — никаких сценариев, никаких правил и ограничений, за исключением разве что заранее оговоренных границ за которые нельзя переходить (например не использовать эмоционально негативные SE pretexts и тд.) Существуют только цели, отражающие модель угроз, которые необходимо выполнить «любыми средствами» в определенный срок, именно как military training как вы правильно отметили.
Спасибо за статью, но у меня сложилось впечатление, что все описанное — слишком «творческое» видение теории проведения red team мероприятий. По крайней мере «table top red teaming и „имитация симуляции модели атакующих“ в соответствии с заранее согласованным сценарием очень уж напоминает армейские учения времен СССР, когда противник атакует „неожиданно“ в 5.48 утра с юго-востока, как в прошлом году) А „сценарий для банка или софтверной компании“ это вообще из серии APT Attribution по IP адресу. Просто у заказчиков складывается неверное понимание ценности этой услуги, когда получается зрелищно, но дорого и бестолково. Тем более что APT действуют не по playbooks, скоупом, моделью злоумышленника и MITRE TTPs совсем не ограниченны и от недостатка творчества тоже не страдают. А если заказчику нужен „table top red teaming“, то скорее всего он сам не понимает зачем и соответственно скорее всего будет не доволен результатом. Не сочтите за offensive комментарий, не хотел никого обидеть, это просто мнение по-поводу видения и подхода к проведению Red teaming.
"… бэкдор загружает и выполняет на компьютере жертвы тест Cobalt Strike на проникновение и специальный набор утилит для последующей эксплуатации данной машины..."
Я понимаю, что это буквально дословный перевод, но в данном контексте звучит совсем некорректно. Загружается Beacon — это payload, который обеспечивает взаимодействие с С2-сервером Cobalt Strike
Большое спасибо за подробный writeup, особенно интересно читать в таком формате, взгляд со стороны непосредственных участников, тем более команды победителей)
Не сочтите за рекламу, но хотелось бы порекомендовать отличный инструмент для командного взаимодействия и ведения заметок. По личному опыту использования могу сказать, что очень удобно вести проекты на больших скоупах, никаких больше табличек в excel и вездесущих scans.txt) + постоянно развивается и имеет возможности интеграции с большим количеством инструментов, признанных стандартами индустрии (в т.ч Cobalt Strike)
Cпасибо за интересную статью! Для порядка стоит исправить наименование города - Оденсе не склоняется и в любом случае будет звучат именно так.
наклеиваем накладные усыпереодеваем футболку и уже по списку задач))PS: Спасибо за отличную статью!
Мне кажется наоборот, представленное решение неактуально, учитывая что fail2ban реализован, как минимум 15 лет назад, судя по датам ранних коммитов + threat intelligence решения уже давно существуют.
Поэтому хотелось бы уточнить, почему выбран подобный способ, почему не воспользоваться общепринятой методикой responsible disclosure, как стандартом индустрии и наиболее надежным способом — сделать «мир более безопасным» и избежать проблем для себя любимого?
Рекомендую еще inteltechniques.com от Michael Bazzell. Он считается одним из отцов основателей методологического OSINT на западе, курсы и книги платные, но как говорится было бы желание + у него есть подкаст на английском на тему Privacy и противодействию OSINT. Из бесплатного могу посоветовать канал на youtube OSINT Curious Project от SANS Инструктора Micah Hoffman
Описанное в статье, больше подходит, в качестве свободной интерпретации определения формата Purple Team, только при условии что взаимодействие с Blue Team происходит на практике, когда действительно берется определенный сценарий, на его основе составляется killchain план атаки, далее этот план реализуется с возможными вариантами импровизации, а потом обсуждается с защитниками по каждому пункту с рекомендациями относительно мониторинга, противодействия, deception и prevention методик, а потом все это повторяется на другом сценарии)
И на определенном этапе развития организации, когда модель угроз включает даже «нашествие марсиан», IR playbooks отрепетированы и заучены наизусть, Threat Hunting не просто смешное словосочетание, перечень сертификатов CISO не помещается на визитке, SOC имеет постоянный штат и может перечислить всех китайских APT названных в честь панды по убыванию, пентесты и security awarness проводятся регулярно, а во время Purple Team assessments многократно отработана на практике вся матрица MITRE, настроен и проверен мониторинг, реализованы deception методологии. Только тогда имеет смысл проводит Red Team чтобы проверить и убедится что все перечисленное выше эффективно работает.
Red Team на практике — никаких сценариев, никаких правил и ограничений, за исключением разве что заранее оговоренных границ за которые нельзя переходить (например не использовать эмоционально негативные SE pretexts и тд.) Существуют только цели, отражающие модель угроз, которые необходимо выполнить «любыми средствами» в определенный срок, именно как military training как вы правильно отметили.
Я понимаю, что это буквально дословный перевод, но в данном контексте звучит совсем некорректно. Загружается Beacon — это payload, который обеспечивает взаимодействие с С2-сервером Cobalt Strike