Piotr Kaźmierczak, Red Team Leader opowiadał jak ważną rolę w podnoszeniu kompetencji specjalistów od cyberbepieczeństwa pełni redteaming oraz zespół ofensywny. Zaprezentował różne narzędzia oraz przedstawił metody pracy Red Teamu. Prezentację zilustrowały przykłady z ostatnich treningów na poligonie cybernetycznym CDeX.
JDD 2017: Bezpieczny wypoczynek - czyli uwierzytelnianie RESTa (Krzysztof Be...
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
1. Piotr Kaźmierczak (@n0clues)
CDeX CTO, Red Team Leader
piotr.kazmierczak [@] vectorsynergy _._ com
Red Team - najlepszy
przyjaciel Blue Teamu
2. AGENDA
Cyber Defence eXercises
Red Team – Modus Operandi
Narzędzia i Techniki
Tips & Tricks
Red Teaming – wprowadzenie
Dirty Tricks
Red Team vs Blue Team
Obiekcje względem Red Teamingu
Q & A
3. $ whoami
Piotr Kaźmierczak (@n0clues)
• obecnie CDeX CTO i Red Team leader w firmie Vector Synergy
• tester penetracyjny, posiadacz OSCP i gracz CTF – DebugTeam
• wcześniej analityk bezpieczeństwa w SOC w IBM
• jeszcze wcześniej programista i student polityki Wrocławskiej
• prywatnie fan motocykli, entuzjasta sztuk walki (1-sze kyu w Karate Kyokushin,
instruktor samoobrony), survivalu, militariów i astronomii
4. Red Teaming
Wprowadzenie w tematykę
• skąd pomysł na taką prezentację?
• trochę historii…
• pojęcia takie jak Blue Team/Red Team (zwany również Tiger Teamem)
pochodzą z wargamingu i mają swoje początki w militariach
• Blue Team – zespół broniący
• Red Team (Tiger Team) – atakujący zespół technicznych specjalistów,
których zadaniem jest bezlitosne wyśledzenie każdego możliwego źródła
awarii w systemie
5. Blue Team
Charakterystyka
• zespół obrońców
• Hunting Team
• zadania BT:
• ochrona i utwardzanie systemów
• wykrywanie ataków
• reagowanie na incydenty
• wyszukiwanie symptomów włamań (hunting),
• przeprowadzanie śledztw po włamaniowych,
• zabezpieczanie systemów, logów, plików po włamaniu.
6. Red Teaming vs Pentesting
Konfrontacja pojęć
• Test penetracyjny
• nastawiony na weryfikację bezpieczeństwa infrastruktury IT
poprzez analizę możliwych do wykorzystania podatności,
• może być rozszerzony o elementy socjotechniczne,
• często ograniczony do wybranych systemów albo aplikacji (np.
WWW),
• kończy się najczęściej po uzyskaniu dostępu do systemów z
wykorzystaniem znalezionych podatności oraz ewentualnej
eskalacji uprawnień,
• bardzo często przeprowadzany w ścisłej współpracy z działem IT
klienta.
7. Red Teaming vs Pentesting
Konfrontacja pojęć
• Red Teaming
• nastawiony na test umiejętności BT oraz procedur obsługi
incydentów,
• ma za zadanie zwiększenie skuteczności i wydajności operacyjnej
BT,
• można powiedzieć, że zaczyna się tam gdzie test penetracyjny
często się kończy,
• działania RT przeprowadzane są bez wiedzy działu IT atakowanej
infrastruktury,
• wszystkie chwyty dozwolone (z uwzględnieniem odpowiednio
ujętych reguł umownych) .
8. Red Teaming vs Pentesting
Konfrontacja pojęć
RT ma sprawić by BT był silniejszy!
11. Cyber Defence Exercises
Cyber Wojna na sportowo
Najbardziej znane ćwiczenia tego typu:
• Locked Shield – odbywają się raz do roku na Łotwie i nie są niedostępne dla sektora
prywatnego. W manewrach bierze udział wiele zespołów różnego typu (nie tylko RT i BT, a
np. zespół prawny)
• NCCDC (National Collegiate Cyber Defense Competition) – zawody organizowane raz do
roku w USA, skierowane do koledży. Pierwsze etapy to rozgrywki regionalne (RCCDC),
którą kończą się finałem krajowym (NCCDC). Drużyny BT są 8-mio osobowe, na każdy
zespół przypada dwóch RT.
Co wpływa na bardzo wysoką skuteczność tego typu szkoleń?
• hands-on
• gamifikacja
• realizm (realne systemy, Gray Team)
• praca zespołowa.
12. RT – Role w zespole
Podział umiejętności i zakres obowiązków
• Dwie możliwości podziału RT:
• RT przypisany do konkretnego BT,
• RT podzielony na specjalizację.
• Podział RT na specjalizacje:
• zespół zarządzający dostępami,
• zespół post exploitacyjny,
• zespół wykonujący ataki zdalne na infrastrukturę,
• zespół odpowiedzialny za ataki na aplikacje webowe,
• zespół przeprowadzający ataki typu client-side,
• zespół wykonujący „zasłonę dymną”.
• Zadanie RT:
• Zaplanowanie scenariuszy ataków,
• Przygotowanie swojej infrastruktury (serwery C&C, serwery WWW, maszyny
pośrednie),
• Przygotowanie informacji zwrotnej dla BT z przeprowadzonych działań.
14. Kill chain
Nie do końca
Rekonesans
Omijanie
AV/IDS
Omijanie White
Listingu
Eskalacja
uprawnień
Persystencja
Lateral
Movements
15. Rekonesans
Skanuj porty dopiero jeśli musisz
• tajemnice Active Directory…
• SPN Scanning – skanowanie portów jest hałaśliwe i niepotrzebne
• polowanie na użytkowników
• pasywny nasłuch tam gdzie to możliwe…
• Windows – netsh
netsh trace start capture=yes overwrite=no tracefile=<FilePath.etl>
default: 250 MB, maxsize=<N>
• LLMNR, NBT-NS
• Responder (https://github.com/SpiderLabs/Responder) – tryb
analizy
16. Techniki omijania zabezpieczeń
Myśl jak BT…
TROJAN HTTP GET Request on port 53 - Very Likely Hostile
WEB_SERVER /bin/bash In URI, Possible Shell Command Execution
Attempt Within Web Exploit
POLICY Possible HTA Application Download
WEB_SERVER Weevely PHP backdoor detected (shell_exec()
function used)
SCAN Nikto Web App Scan in Progress
17. Techniki omijania zabezpieczeń
Omijanie AV/IDS
• Rekonesans!
• msfencode = przeszłość
• pomocny soft:
• Veil–Evasion (https://www.veil-framework.com/framework/veil-
evasion/)
• Shellter (https://www.shellterproject.com/ )
• własny kod:
• autorskie rozwiązania
• własne implementacje szyfrowania
• kod napisany w różnych językach (pyinstaller)
• wspomagany różnego rodzaju technikami omijania AV
(spowalnianie uruchamiania, zwiększenie liczby operacji lub
potrzebnej pamięci, etc…)
18. Techniki omijania zabezpieczeń
Omijanie AV/IDS - Powershell
• BT: „ale my też go używamy… :/„
• dostępny w każdej wspieranej wersji Windows
• NIE DA SIĘ GO WYŁĄCZYĆ
• https://gist.github.com/subTee/68749aa53d7ce0fb02e0a64b8961576
7
• restrykcje na wykonywania skryptów?
v 2.0 Windows 7 Windows 2008 R2
v 3.0 Windows 8 Windows 2012
v 4.0 Windows 8.1 Windows 2012 R2
v 5.0 Windows 10 Windows 2016
więcej np. na: https://blog.netspi.com/15-ways-to-bypass-the-powershell-execution-
policy/
20. Eskalacja uprawnień
Zostawmy jądro w spokoju
• poza tym jest EMET…
• omijanie UAC to funkcjonalność, nie trik
• inne możliwości eskalacji uprawnień:
• podatne usługi
• błędne uprawnienia na pliki wykonywalne usług
• ścieżki usług bez cudzysłowu
• plik autostartu (np. te które już nie istnieją)
• DLL Hijacking
• GPP (groups.xml, <DOMAIN>SYSVOL<DOMAIN>Policies)
• AlwaysInstallElevated
• pliki/skrypty z hasłami
…znowu z pomocą przychodzi powershell
PowerUp!
• LLMNR, NBT-NS poisoning
• Responder
• Inveigh
• // zmień challenge
• Invoke-Mimikatz
https://msdn.microsoft.com/en-us/library/cc422924.aspx
22. Lateral Movements
psexec
• narzędzia:
• Sysinternals PsExec: https://technet.microsoft.com/en-
us/sysinternals/bb897553.aspx
• moduł metasploita: exploit/windows/smb/psexec
• smbexec: https://github.com/pentestgeek/smbexec
• po uzyskaniu dostępu do zdalnej maszyny tworzy usługę
• hasło niepotrzebne
• pass the hash
• pass the ticket
CORAZ RZADZIEJ STOSOWANY - NIEZALECANY
23. Lateral Movements
WinRM
•Windows Remote Management
•usługa nie jest włączona domyślnie (TCP 5985)
• pozwala na zdalne zarządzanie maszynami z wykorzystaniem
Powershella
•Powershell v5 (od Windows 10):
• logowanie blokowanych skryptów
• Anti malware scan interface (AMSI)
24. Lateral Movements
WMI
• istnieje w Windowsach od czasów Win98 i NT4
• usługa włączona domyślnie na wszystkich systemach Windows
• pozwala m.in. na:
• odczytywanie informacji z rejestru, systemu plików, etc.
• wykonywać komendy
• odczytywać i reagować na eventy
• podobnie jak powershell nie dotyka systemu plików
• wykorzystuje istniejący, niepodejrzany protokół
• może być wykorzystywany do rekonesansu, wykonywania poleceń, persystencji, komunikacji C2 i
przede wszystkim do lateral movements
• BT często nie znają WMI od strony wektorów ataków
• Przykładowe narzędzia:
• Windows: wmic.exe, winrm.exe
• Linux: wmic, wmis, wmis-pth
• można go obsługiwać z poziomu języków skryptowych: VBScript, Jscript
• oraz z wykorzystaniem modułów platformy .NET
• wykorzystywany przez malware: stuxnet, ghost
25. Narzędzia
RAT
Pożądane cechy:
• mechanizm dostarczenia implantu
• komunikacja low/slow, różne protokoły
• szyfrowany kanał komunikacji
• kontrola persystencji
• mechanizm logowania
• możliwość identyfikacji
• usuwanie.
Komercyjne
• CobaltStrike
• Innuendo
• CoreImpact
Open-Source
• Empire
• meterpreter
• Throwback
• Pupy (https://github.com/n1nj4sec/pupy )
26. Narzędzia
Empire Powershell (1/2)
• łączy w sobie moc narzędzi wykorzystywanych do post-
exploitacji opartych o Powershell takich jak powertools,
powerup, powerview, itp.
• integruje się z metasploitem
• różnego rodzaju stagery:
• makra
• dll
• war
• USB Rubber Ducky
• komunikacja po http/https
• duże możliwości konfiguracji agentów
• DefaultDelay
• WorkingHours
• DefaultJitter
• DefaultProfile
• KillDate
27. Narzędzia
Empire Powershell (2/2)
• od niedawna RESTful server
• Integracja z WebGUI
• Integracja z BEEF
• Multiplayer console
• Powerempire
• wiele modułów
• Rekonesans domeny
• persystencja
• lateral movements
• management
• eskalacja uprawnień
• trolling
29. Narzędzia
Throwback
• HTTP(s) beaconing backdoor
• Dwa komponenty
• Throwback (https://github.com/silentbreaksec/Throwback)
• ThrowbackLP
(https://github.com/silentbreaksec/ThrowbackLP)
• stringi w źródle (w tym adresy) są hex-encodowane
• Integracja z meterpreterem
30. Narzędzia
netcatokształtne
• ncat (brat netcata)
• white/black listing hostów
• SSL
• dnscat
• Musimy edytować źródło w przeciwnym razie wszystkie subdomeny
będą prefixowane „dnscat”
• shell
• przesyłanie plików
• powercat
• https://github.com/besimorhino/powercat - pozwala na łączenie się
zarówno po TCP jak i UDP, ale też DNS (integracja z dnscat serverem)
• https://github.com/secabstraction/PowerCat - ma możliwość
komunikowania się po nazywanych pipe’ach SMB
31. Dirty Tricks
Utrudnijmy sobie życie
• zmiana timestamp plików
• touch –d „data” plik
• touch –r plik_wzorzec plik
• meterpreter: timestomp plik –m „data”
• nieusuwalne pliki
• chattr +i plik
• podmiana poleceń/aliasy ];->
• czyszczenie logów
• find /var/log -name "*log*" -type f | xargs -v
• find /var/log -name "*gz*" -type f | xargs -v
• ruch wychodzący ograniczony? Zeskanuj swoją maszynę
nadsłuchując połączenia przychodzące.
• TCP: nc -nvw 1 -z 10.114.1.83 20-100
• UDP: nc -nvuw 1 -z 10.114.1.83 20-100
• stawiasz backdoora? Pamiętaj o HA
32. Tips & Tricks
Przydatne informacje (1/3)
• automatyzuj swoją pracę
• wiele adresów IP:
# ifconfig eth0:1 10.10.15.120
• metasploit – LHOST
• Empire – HOST [od nowej wersji]
• nc i ncat [-l LHOST] or [-s addr]
• nmap [-e <iface>]
• curl [--interface INTERFACE]
• ping [-I interface]
• dla wszystkich pozostałych komend:
# route add -host 10.15.40.101 dev eth0:1
33. Tips & Tricks
Przydatne informacje (2/3)
• opcje zaawansowane nie
są opcjonalne!
• metasploit i meterpreter
$ SHOW ADVANCED
• profilowanie Empire
Powershella
• DefaultProfile
• CertPath
Name: ET ATTACK_RESPONSE Metasploit Meterpreter Reverse HTTPS
certificate
Priority: 1
Type: A Network Trojan was detected
IP Info: 10.128.0.67 -> 192.168.11.16
34. Tips & Tricks
Przydatne informacje (3/3)
• DNS + SMTP
• communication/info sharing
• Etherpad (http://etherpad.org/)
• Dradis
• google docs (?)
• file sharing
36. RT vs BT
Jak powinna wyglądać współpraca
Złe Podejście – nie prowadzi do wzajemnego zwiększania swoich umiejętności, poznania nowych technik i technologii.
- ominięcie
zabezpieczeń BT =
sukces
- w przeciwnym razie
porażka
- raportowanie do BT
tylko akcji
zakończonych
sukcesem
- zablokowanie akcji
RT = sukces
- w przeciwnym
przypadku porażka
- brak detekcji akcji RT
= porażka
37. RT vs BT
Jak powinna wyglądać współpraca
Dobre Podejście – prowadzi do zwiększenia własnych umiejętności, poznania nowych technik, ugruntowania
wiedzy, dokładne zrozumienie wykorzystywanych technologii.
+ testowanie nowych
technik – jakich?
Jakie IOC?
+ jeśli udało się
ominąć
zabezpieczenie, jak?
+ wypracowanie
nowych technik
wykrywania ataków
+ ulepszenie technik
huntingu,
monitoringu
+ aktualizacja
procedur obsługi
incydentów
38. RT vs BT
Realizm?
• rekonfiguracje w trakcie treningu – otwarcie portów, zresetowanie danych
uwierzytelniających,
• zablokowanie usług
• inne…
Największe cyber-zagrożenie znajduje się
pomiędzy monitorem a klawiaturą
39. RT vs BT
Realizm?
× wielkość infrastruktury w firmach× liczba pracowników× 24/7/365skala treningu
40. Podsumowanie
Obiekcje względem Red Teamingu
#1 - Jestem atakowany każdego dnia, nie potrzebuję Red
Teamu
#2 – Fajnie to brzmi, ale obawiam się, że mi zdestabilizujecie
sieć
#3 – RT zawsze wygrywa…
41. Podsumowanie
Kilka zdań na koniec
• Red Teaming to nie test penetracyjny. Red teaming testuje umiejętności i
procedury.
• Red Team ma sprawić by BT był silniejszy!
• Customizujmy istniejące narzędzia, rozwijajmy nowe techniki.
• Zawsze miej plan awaryjny, jeśli jedna technika zawodzi, spróbuj czegoś innego.
RT:
mocno rozwijany w USA i trochę Europa
w PL słabo i tematyka nie do końca rozumiana
Ograniczony dostep do materiałów w „polskim internecie” (sporo o bug huntingu, pentestach, owasp, trochę o socjo i RE, ale niewiele o metodyce prowadzenia działań RT)
RT – parafraza artykułu z 1964 w kontekście tworzenia i testowania systemów kosmicznych, może to być różnie interpretowane – marketing, security, …
czyli Red Team = źli chłopcy
RT ma za zadanie sprawić by BT był lepszy, silniejszy, pewien swoich umiejętności w czasie rzeczywistej sytuacji kryzysowej.
RT ma za zadanie sprawić by BT był lepszy, silniejszy, pewien swoich umiejętności w czasie rzeczywistej sytuacji kryzysowej.
Purple teaming – mieszanka BT i RT, ścisła współpraca RT z BT nastawiona na określone cele. Cele mogą być np. różne:
BT wdrożył jakąś regułę, która ma wykryć określone akcje i RT w losowym momencie przeprowadzi akcje, które mają ją aktywować, a następnie spróbować obejść
manager zdaje sobie sprawę, że BT może mieć lepsze skille np. Windowsowe i chce przeboksować zespół np. z Linuxów
RAT – np. customowy
Celowo nie podaje poszczególnych etapów, wyróżniamy m.in.. planning, monitoring, wykrywanie zdarzeń, szacowanie ryzyka, tworzenie i wdrażanie polityk, szkolenia, etc… ale o to w tym chodzi, że jednym z tych etapów jest vulnerability assessment, które powinno być rozszerzone o cykliczne testy penetracyjne.
Działania RT powinny odbywać się swoim torem, niezależnie od całego procesu – tak jak działają agresorzy.
Do tej pory starałem się przedstawić idee red teamingu i naznaczyć wyraźne różnice względem innych ofensywnych działań typu testy penetracyjne.
W IT security jest - jak w sztukach walki, praktyka czyni mistrza i tego oczekuje się od specjalistów. Załóżmy, że trenujemy SW dla siebie po to żebyśmy w sytuacji zagrożenia mogli wykorzystać swoje umiejętności w samoobronie lub w obronie bliskich, możemy jednak chodzić ulicami latami i nie będzie to nam nigdy potrzebne – i bardzo dobrze. Żeby jednak być gotowym na sytuację kryzysowa, musimy być w ciągłym treningu, wyćwiczyć odruchy z pełną siłą w stresie i zmęczeniu, po to żeby w odpowiednim momencie zadziałał instynkt. Najlepszą formą weryfikowania swoich umiejętności jest sparing czy zawody i do tego właśnie zmierzam.
Red teaming może przyjmować formę, o której wspominałem, ja jednak chciałbym dzisiaj się skupić na aspektach sparingowych – grach wojennych, gdzie zespoły BT mają szansę stanąć w szranki z RT na specjalnie przygotowanych w tym celu poligonach cybernetycznych gdzie mogą rywalizować z innymi BT.
Założenia pozostają te same – RT ma sprawić by BT był lepszy, ma sprowokować go do intensywnej pracy, podniesienia swoich kompetencji i usprawnić jego pracę zespołową.
Gratulacje dla CERT’u – nie wiem jak w tym roku (wygrali Słowacy), ale w ostatnich latach pokazywali klasę.
Można wymienić inne np. Netwars SANSowe, CyberGym – izraelska wersja.
Hands-on – dygresja nt. OSCP
Gamifikacja – rywalizacja, scoring
Realizm – z jednej strony rzeczywiste systemy i narzędzia, z drugiej symulacja działań zwykłych użytkowników i usług
Praca zespołowa – lepsze poznanie się, wyłonienie się leaderów etc.
Pierwszy zespół:
payload configuration
manage callback infrastructure
survivable access
persistence
Część rzeczy będzie uniwersalnych, które da się analogicznie zaaplikować na Win i Linux. Jednak podczas wielu rozmów rekrutacyjnych, które miałem okazję prowadzić na stanowiska pentesterskie do projektów dla NATO i UE odnotowałem słabą znajomość domeny Windows i nowoczesnych technik opartych o powershell dlatego nie ukrywam, że może być odczuwalny nacisk na te zagadnienia.
Dla każdej usługi w domenie wspierającej kerberosa potrzeba Service Principal Name połączonego z tym kontem. Wszystko to info jest w AD.
netsh może też zostać użyty do przekierowania portów, warto to sobie też sprawdzić.
LLMNR, NBT-NS:
Oba protokoły pozwalają hostom identyfikować się nawzajem jeśli padnie DNS.
Responder powoli również zmapować AD, dowiedzieć się jakie maszyny są odpytywane, z jakimi innymi podsieciami możemy się komunikować, etc. Jak będziemy chcieli przejść do aktywnych akcji mamy możliwość WPAD spoofingu czy SMB relaying.
Jakie zabezpieczenia wdrożyłbym na tym środowisku?
Co na jakim poziomie działań może mnie zablokować?
Jakie ślady pozostawiają moje działania?
Dlaczego zainstalowali EMET’a? ;>
Naszego RAT’a nie wysłałem na VT z wiadomych powodów, testujemy go we własnym labie na najpopularniejszych vendorach AV, ale co ciekawe kod robiący to samo napisany w Pythonie i C++ jest inaczej identyfikowany.
C++ często wykrywane jest przez heurystyki przez co trzeba podejmować dodatkowe kroki „zaradcze”.
Wersja 5 Powershella wprowadza szereg dodatkowych funkcji, które dają nowe możliwości, ale jest to też dobra wiadomość dla BT, ale o tym później.
Wykorzystanie natywnych technik i narzędzi podpisanych cyfrowo przez Microsoft.
NTLM challenge-response
Kekeo Tool: DCSync – Jestem DC, daj mi hasla!
Golden Ticket Ticket-Granting Tickets i SID History
Silver Ticket Ticket-Granting Services
MS wprowadził możliwość zmiany danych lokalnego admina z użyciem Group Policy Preferences, MS14-025 to poprawka, ale blokuje tylko tę funkcjonalność (nie usuwa haseł)
MS14-068 – brak prawidłowej walidacji checksumy PAC co pozwala na nadpisanie ticketu użytkownika i eskalacje do poziomu admina domeny
Zrzut haseł z pliku zrzutu pamięci:
Dump LSASS proces memory
securlsa::minidump sciezka
5 x shift, ctrl + U
Installs a security support provider (SSP) dll.
passthehash/passtheticket
Nie wykorzystywany już (głośny, blokowany przez AV)
Jest to po prostu wykorzystanie Powershella na zdalnych maszynach.
Wyjaśnienie pojęcia implantu
Wyjaśnienie pojęcia stager
Wyjaśnienie pojęcia stager
Na zrzucie ekranu widać ominięcie UAC – (spatchowany Windows 10) dlatego mówiłem, że to nie jest żaden wyczyn eskalacyjny
Type, Length, Value
Generate the TLV packet as per usual.
Generate 4 separate non-NULL bytes, and combine them into a single 32-bit XOR key.
XOR the entire TLV packet with the 4-byte XOR key (cycled to match the entire payload length).
Write the XOR key to the socket first.
Finally write the XOR-ed packet to the socket.
Dobry przykład automatyzacji: Cobalt Strike i Cortana…
256 aliasów per interfejs
impersonate_ssl – wygenerowanie certa na podstawie innego i dodanie go do meterpretera
Etherpad – też można pobrać i zainstalować lokalnie
Dradis – poprawione ostatnio GUI
Google docs (w zależności od rodzaju współdzielonej informacji)
Możemy sprawić BT łomot czy odnosząc się do testu penetracyjnego – pokazać, że da się włamać. Dana ścieżka włamu zostanie zabezpieczona, ale BT pozostaje na określonym poziomie wtajemniczenia.
Nie udało nam się włamać do BT więc porażka? Jak się zabezpieczyli, co moglibyśmy zmienić w przyszłości?
A co z akcjami, które zakończyły się niepowodzeniem? BT wiedział, że się przed nimi zabezpiecza? Czy „samo” się zabezpieczyło?
Nie udało nam się zabezpieczyć przed atakami RT? Super! Jak to się przełożyło na naszą reakcję? Co gdyby to się wydarzyło na naszej infrastrukturze?
Czy nasze procedury i umiejętności konfiguracji systemów monitorujących zawiodły? Gdzie popełniliśmy błąd?
Dzielenie się wiedzą z BT – jakie techniki są wykorzystywane, jak są wykonywane ataki? Jakie IOC mogą powodować?
Udało się ominąć zabezpieczenie BT? Super! W jaki sposób? Jak można to monitorować? Jak się zabezpieczyć?
Odpieramy ataki RT? Ok. Przetestujmy jakieś nowe techniki? Nie odpieramy? OK. Wypracujmy z RT odpowiednie metody pracy.
Znamy ataki RT, znamy IOC jakie pozostawiają. Czy nasze metody huntingu sa wystarczające? Czy powinniśmy coś poprawić? Czy znamy nowe technologie ataków?
#1 – pozostawiony przez BT skrypt zawierający hasło domain admina
#2 – uruchomiony przez członka BT dokument office na drugi dzień po wysłaniu
Podczas treningu można zauważyć wzorce, z którymi spotykamy się na co dzień. Wystarczy przemnożyć to przez skalę – wielkość infrastruktury w firmach i czas – 24/7/365.
Wnioski wydają się być oczywiste.
#1 – Skąd wiesz, że odpierasz wszystkie ataki? Czy Twój BT jest gotowy na dzień, w którym rzeczywiście ktoś się do Ciebie włamie?
#2 – Jest ryzyko, ale co jeśli zrobi to ktoś inny?
#3 – RT nie bierze udziału w bezpośredniej rywalizacji