The Hacker Playbook 3

1. Красная команда: Симуляция реальных атак

Миссия Красной команды заключается в имитации тактик, техник и процедур (TTP), используемых противниками.

Больше, чем тестирование на проникновение. Красная команда выходит за рамки традиционного тестирования на проникновение, подражая действиям реальных атакующих. Это включает в себя понимание их мотивов, инструментов и методов для комплексной оценки уровня безопасности организации. В отличие от тестов на проникновение, которые часто имеют четко определенные рамки и сроки, упражнения Красной команды могут длиться неделями или месяцами, что позволяет более реалистично смоделировать постоянную угрозу.

Фокус на обнаружении и реагировании. Основная цель Красной команды заключается не только в поиске уязвимостей, но и в оценке того, насколько хорошо организация может обнаруживать, реагировать и восстанавливаться после сложной атаки. Это включает в себя тестирование эффективности средств безопасности, политик и навыков команды безопасности. Красные команды предоставляют ценные сведения о недостатках в программе безопасности, помогая организациям улучшить свою общую устойчивость.

Метрики успеха. Участия Красной команды измеряются по таким метрикам, как Время до Обнаружения (TTD) и Время до Устранения (TTM). TTD измеряет время, необходимое команде безопасности для идентификации инцидента, в то время как TTM измеряет время, необходимое для его локализации и разрешения. Эти метрики дают четкое представление о способности организации справляться с реальными угрозами и подчеркивают области для улучшения.

2. Рекогносцировка: Основы операций Красной команды

Для кампаний Красной команды часто речь идет о возможности атаки.

Сбор разведывательной информации. Рекогносцировка — это начальная фаза любой операции Красной команды, включающая сбор информации о целевой организации. Это включает в себя определение диапазонов IP, поддоменов, адресов электронной почты сотрудников и любой общедоступной информации, которая может быть использована для получения первоначального доступа. Инструменты, такие как Nmap, Shodan и Censys, используются для сканирования открытых портов, служб и уязвимостей.

Мониторинг изменений. Красные команды постоянно отслеживают целевую среду на предмет изменений, которые могут создать новые возможности для атаки. Это включает в себя настройку скриптов для отслеживания изменений в открытых портах, веб-приложениях и конфигурациях облака. Регулярное использование Nmap и скриншотов веб-страниц помогает выявлять новые службы или уязвимости, которые могли быть введены.

Облачная рекогносцировка. С увеличением использования облачных сервисов Красные команды также должны сосредоточиться на выявлении облачных активов и неправильных конфигураций. Это включает в себя сканирование на предмет общедоступных S3-бакетов, учетных записей Azure и других облачных ресурсов, которые могут быть использованы в атаках. Инструменты, такие как sslScrape, могут быть использованы для извлечения имен хостов из SSL-сертификатов, предоставляя ценную информацию о инфраструктуре цели.

3. Эксплуатация веб-приложений: Главная цель

Если мы посмотрим на любые недавние утечки, мы увидим, что многие из них произошли с очень крупными и зрелыми компаниями.

Смена фокуса. Веб-приложения являются распространенной точкой входа для атакующих, что делает их главной целью для Красных команд. Это включает в себя выявление уязвимостей, таких как межсайтовый скриптинг (XSS), инъекции NoSQL и атаки с использованием инъекций шаблонов. Красные команды должны быть в курсе последних уязвимостей веб-приложений и техник, чтобы эффективно симулировать реальные атаки.

Эксплуатация уязвимостей. Уязвимости XSS могут быть использованы для кражи куки, перенаправления пользователей или даже компрометации всей системы. Инъекции NoSQL позволяют атакующим обойти аутентификацию и получить доступ к конфиденциальным данным. Атаки с использованием инъекций шаблонов могут привести к удаленному выполнению кода, позволяя атакующим полностью контролировать сервер.

Эксплуатация NodeJS. С увеличением популярности NodeJS Красные команды также должны сосредоточиться на выявлении и эксплуатации уязвимостей в приложениях NodeJS. Это включает в себя понимание последствий безопасности использования JavaScript в качестве серверного кода и выявление распространенных неправильных конфигураций в фреймворках NodeJS, таких как Express и Pug. Техники, такие как JSF*ck, могут быть использованы для обхода фильтров и выполнения вредоносного JavaScript-кода.

4. Компрометация сети: Движение внутрь

Для сетевых тестов на проникновение нам нравится добираться до администратора домена (DA), чтобы получить доступ к контроллеру домена (DC) и завершать дело.

Получение первоначального доступа. После того как Красная команда получила первоначальный доступ, следующим шагом является перемещение по сети к целевому объекту. Это включает в себя выявление и эксплуатацию уязвимостей во внутренних системах, повышение привилегий и кражу учетных данных. Инструменты, такие как Responder и CrackMapExec, используются для захвата учетных данных и выявления уязвимых систем.

Использование встроенных средств. Красные команды часто используют встроенные инструменты и функции Windows, чтобы избежать обнаружения. Это включает в себя использование PowerShell для запроса Active Directory, перечисления пользователей и групп, а также выполнения команд на удаленных системах. Техники, такие как Pass-the-Hash и Kerberoasting, используются для получения доступа к привилегированным учетным записям без взлома паролей.

Bloodhound для анализа путей атаки. Bloodhound — это мощный инструмент для визуализации и анализа путей атаки в средах Active Directory. Он использует теорию графов для выявления скрытых взаимосвязей и непреднамеренных привилегий, позволяя Красным командам быстро определить наиболее эффективный способ достижения своей цели. Импортируя данные ACL в Bloodhound, Красные команды могут выявлять пользователей, имеющих возможность сбрасывать пароли или изменять разрешения ACE, создавая возможности для повышения привилегий и бокового перемещения.

5. Социальная инженерия: Использование человеческого фактора

Многие упражнения по социальной инженерии требуют от вас преодоления нервозности и выхода за пределы своей зоны комфорта.

Целевое воздействие на человеческие слабости. Социальная инженерия — это мощная техника, которая использует человеческую психологию для получения доступа к системам или информации. Это включает в себя создание правдоподобных фишинговых писем, создание поддельных веб-сайтов и выдачу себя за доверенных лиц. Красные команды должны понимать принципы социальной инженерии, чтобы эффективно манипулировать сотрудниками, заставляя их раскрывать конфиденциальную информацию или выполнять действия, которые ставят под угрозу безопасность.

Домен-дублеры и сбор учетных данных. Домен-дублеры, которые похожи на легитимные доменные имена, используются для обмана пользователей, чтобы они ввели свои учетные данные на поддельных страницах входа. Эти страницы созданы так, чтобы выглядеть идентично настоящим, что затрудняет пользователям их различение. Инструменты, такие как ReelPhish, могут быть использованы для обхода двухфакторной аутентификации, позволяя атакующим получить доступ к учетным записям даже при наличии усиленных мер безопасности.

Использование доверия. Красные команды часто используют существующие отношения и доверие для повышения эффективности своих атак социальной инженерии. Это включает в себя выдачу себя за коллег, поставщиков или даже членов семьи, чтобы завоевать доверие жертвы. Создавая высоко целенаправленные и персонализированные атаки, Красные команды могут значительно увеличить свои шансы на успех.

6. Физические атаки: Обход физической безопасности

"Притворяться, что не боишься, так же хорошо, как и не бояться."

За пределами цифровой сферы. Физическая безопасность — это часто упускаемый аспект общей безопасности организации. Красные команды проводят физические оценки, чтобы выявить уязвимости в системах контроля доступа, системах наблюдения и среди охранного персонала. Это включает в себя попытки обойти ворота, двери и другие физические барьеры для получения несанкционированного доступа к объекту.

Инструменты для работы. Красные команды используют различные инструменты для обхода физических мер безопасности, включая отмычки, устройства для обхода ворот и клонирование карт. Эти инструменты позволяют им получить доступ к ограниченным зонам и потенциально скомпрометировать конфиденциальные данные или системы. LAN Turtle и Packet Squirrel используются для установления скрытых сетевых соединений, позволяя атакующим удаленно получать доступ и контролировать системы внутри объекта.

Тестирование времени реакции. Ключевой задачей физических оценок является оценка времени реакции охранного персонала. Это включает в себя срабатывание сигнализаций, наблюдение за патрулями безопасности и документирование любых слабых мест в процедурах физической безопасности организации. Выявляя эти слабости, Красные команды могут помочь организациям улучшить свою физическую безопасность и предотвратить несанкционированный доступ.

7. Избежание обнаружения: Оставаться незамеченным

Как Красная команда, нам не так важны источники атаки. Вместо этого мы хотим учиться на TTP.

Обфускация и шифрование. Избежание обнаружения — это критически важный аспект операций Красной команды. Это включает в себя использование техник для обфускации кода, шифрования коммуникаций и обхода средств безопасности. Красные команды должны понимать, как работают антивирусное программное обеспечение, системы обнаружения вторжений и другие средства безопасности, чтобы эффективно избегать обнаружения.

Пользовательские полезные нагрузки и дропперы. Красные команды часто разрабатывают пользовательские полезные нагрузки и дропперы, чтобы избежать обнаружения сигнатурными средствами безопасности. Эти пользовательские инструменты предназначены для того, чтобы быть маленькими, незаметными и трудными для обратной разработки. Техники, такие как кодовые пещеры и инъекция отраженных DLL, используются для скрытия вредоносного кода в легитимных процессах.

Обфускация PowerShell. PowerShell — это мощный инструмент для Красных команд, но его широкое использование сделало его целью для средств безопасности. Красные команды используют различные техники для обфускации кода PowerShell, включая шифрование строк, переименование переменных и разделение кода. Инструменты, такие как Invoke-Obfuscation и HideMyPS, используются для автоматизации процесса обфускации скриптов PowerShell.

8. Автоматизация и взлом паролей: Скорость и эффективность

С Красными командами нам нужно показать ценность для компании.

Автоматизация задач. Красные команды автоматизируют повторяющиеся задачи, чтобы повысить эффективность и снизить риск обнаружения. Это включает в себя использование скриптов для сканирования открытых портов, перечисления пользователей и групп, а также выполнения команд на удаленных системах. Автоматизация позволяет Красным командам быстро собирать информацию и выявлять потенциальные векторы атак.

Распространение паролей. Распространение паролей включает в себя попытки входа в несколько учетных записей с небольшим набором распространенных паролей. Эта техника используется для избежания блокировок учетных записей и увеличения шансов на получение доступа хотя бы к одной учетной записи. Инструменты, такие как Spray и Ruler, используются для автоматизации процесса распространения паролей.

Взлом паролей. Взлом паролей — это важный навык для Красных команд, позволяющий им получать доступ к системам и информации, защищенным слабыми или стандартными паролями. Красные команды используют мощные системы для взлома паролей на базе GPU и специализированные списки паролей для быстрого и эффективного взлома хешей. Инструменты, такие как Hashcat, используются для выполнения атак на взлом паролей.

9. Эксплуатация уязвимостей облака

Поскольку все больше компаний переходят на использование различных облачных инфраструктур, многие новые и старые атаки становятся очевидными.

Неправильные конфигурации облака. Облачные среды часто представляют собой уникальные проблемы безопасности из-за неправильных конфигураций и недостатка понимания лучших практик безопасности облака. Красные команды сосредотачиваются на выявлении и эксплуатации этих неправильных конфигураций для получения несанкционированного доступа к облачным ресурсам. Это включает в себя сканирование на предмет общедоступных S3-бакетов, учетных записей Azure и других облачных сервисов.

Перечисление S3-бакетов. Amazon S3-бакеты являются распространенной целью для атакующих из-за часто неправильных разрешений. Красные команды используют инструменты, такие как Slurp и Bucket Finder, для перечисления S3-бакетов и выявления тех, которые являются общедоступными. После нахождения уязвимого бакета атакующие могут скачать конфиденциальные данные, загрузить вредоносные файлы или даже изменить параметры доступа, чтобы получить полный контроль над бакетом.

Захват поддоменов. Захват поддоменов происходит, когда компания указывает поддомен на сторонний сервис, но не правильно настраивает или удаляет сервис. Это позволяет атакующим захватить поддомен и использовать его в злонамеренных целях, таких как размещение фишинговых сайтов или распространение вредоносного ПО. Инструменты, такие как tko-subs, используются для выявления уязвимых поддоменов.

10. Постэксплуатация: Жизнь на земле

Бросьте вызов системе… Предоставьте реальные данные, чтобы доказать наличие пробелов в безопасности.

Слияние с окружением. Оказавшись внутри сети, Красные команды стремятся слиться с легитимным трафиком и избежать обнаружения. Это включает в себя использование встроенных инструментов и функций Windows, таких как PowerShell и WMI, для проведения рекогносцировки, бокового перемещения и поддержания постоянного доступа. "Живя на земле", Красные команды могут снизить свою зависимость от пользовательских инструментов и избежать срабатывания сигналов безопасности.

Сбор учетных данных. Красные команды используют различные техники для сбора учетных данных с скомпрометированных систем, включая дамп памяти, извлечение паролей из хранилища учетных данных Windows и кражу куки браузера. Эти учетные данные затем могут быть использованы для получения доступа к дополнительным системам и ресурсам. Инструменты, такие как Mimikatz и SessionGopher, используются для автоматизации процесса сбора учетных данных.

Поддержание постоянного доступа. Красные команды устанавливают постоянный доступ, чтобы гарантировать, что они могут поддерживать доступ к скомпрометированным системам даже после их перезагрузки или патчей. Это включает в себя создание запланированных задач, изменение ключей реестра и установку "черных ходов". Установив несколько механизмов постоянного доступа, Красные команды могут увеличить свои шансы на поддержание доступа к целевой среде.

Последнее обновление: April 4, 2025