Red teaming and war stories

1. RED TEAMING AND WAR STORIES

2. ODDVAR MOE GPEN, MCITP, MVP, MCP, MCSE, MCSA Red Teamer @TrustedSec Blog / Speak / Research

3. MÅL Typisk oppdrag for meg Litt metodikk (og litt demo) Historier

4. HOVEDFORSKJELL RED TEAM OG PENTEST Hastighet og støy

5. HOVEDFORSKJELL RED TEAM OG PENTEST Hastighet og støy

6. MÅLGRUPPE RED TEAM Thanks Matt Swan (MS) TRACK HUNT BEHAVIORS THREATS TRIAGE DETECTION TELEMETRY INVENTORY ACT “During incident response, I operate at the same tempo as the adversary to protect my business assets.” “When my red team emulates a real-world adversary, I detect their intrusion at multiple points along the kill chain.” “I detect hygiene issues and operator activity that does not follow best practices.”

7. MÅLGRUPPE RED TEAM Thanks Matt Swan (MS) TRACK HUNT BEHAVIORS THREATS TRIAGE DETECTION TELEMETRY INVENTORY ACT “During incident response, I operate at the same tempo as the adversary to protect my business assets.” “When my red team emulates a real-world adversary, I detect their intrusion at multiple points along the kill chain.” “I detect hygiene issues and operator activity that does not follow best practices.”

8. TYPISK OPPSTART Kickoff Call Definere mål Definere scope Snakke igjennom og planlegge

9. TYPISKE MÅL PÅ RED TEAM OPPDRAG Stjele spesifik database eller patent Få kontroll på CEO konto Få tilgang inn I segmentert nettverk Endre kode base Se hvor mye tilgang kan oppnåes

10. RED TEAM INFRASTRUKTUR Avhengig av oppdrag 1-2 OSINT servere 2-4 C2 server 2-4 Proxy / Payload Servere 4-10+ Domene Navn / Service Domain

11. DOMENE NAVN Alder (60-90 dager ++) Kategori (Veldig viktig) -PaloAlto, BlueCoat ++ C2 og Phish SKAL være forskjellig Domain Hijack?

14. SERVICE DOMENE

15. TILPASSE C2

16. BENYTTE DOMAIN FRONTING (CDN)?

17. BENYTTE DOMAIN FRONTING (CDN)?

18. FRONTING DEMO – A QUICK ONE

20. KARTLEGGING DNS DNS DNS LinkedIn er en gullgruve Github OMFG Password dumps NTLM endpoints Google Dorking Metadata

21. KARTLEGGING Fysisk I scope? Google Maps -Sikkerhets kameraer -Bakdører Lete etter nøkkelkort

22. AKTIV KARTLEGGING / ENKLE ANGREP Timing Attack / Bruker enum Credential Stuffing Default Service Passord Passord spraying Enkle webapp teknikker

23. TYPISKE VERKTØY Crt.sh / crtsh.py Amass Hardcidr.py NTLM Recon O365 Enum Onedrive User Enum Aquatone HTTPx Dehashed / Whoxy / Hunter Ffuf.py Massdns.py Gobuster OSINTFramework +++ Internal tools

24. ROTATING PUBLIC IP

25. ROTATING PUBLIC IP https://github.com/proxycannon/proxycannon-ng https://github.com/ustayready/fireprox

26. PHISHING Email (PHISHING) SMS (SMISHING) Voice (VISHING) RED TEAM == SPEAR PHISHING Keying av payload er viktig

27. SPOOFE EPOST Skal være – og ikke ~

28. SPOOFE EPOST DMARC – Hva skal skje dersom SPF mislykkes? Burde være Quarantine eller Reject Også sp= parameter (Subdomener) Bra foredrag med mer detaljer 👇 (Vincent Yiu) https://www.youtube.com/watch?v=w1fNGOKkeSg

29. SPOOFE EPOST

30. SPOOFE EPOST • Ikke 100%, kan havne I spam – Avhengig av mange faktorer

31. • https://www.trustedsec.com/blog/next-gen-phishing-leveraging- azure-information-protection/ • https://www.youtube.com/watch?v=EYUp_MNtJIk

32. FYSISK Plante 4g enhet Kjøre payload på ulåste maskiner Trådløse keyboard og mus Passord lapper andre notater Ta med laptop (Dersom I scope)

33. INTERN TILGANG – HVA NÅ? Finne ut normal bruker oppførsel (DEMO) Enumerere lokalt Tilganger, Oppsett og data Finne EDR og tilpasse angrep Etablere persistence (COM Hijack? Dll hijack? Startup?)

34. INTERN TILGANG – HVA NÅ? Enumerere mot domenet LDAP / AD Delte mapper / data Cisco phones / Tomcat / Printere ++ Cookies/Bookmarks til bruker Intranett / Sharepoint Jobbe strategisk mot definerte mål

35. INTERN TILGANG – HVA NÅ? Cisco Phones - https://github.com/trustedsec/ SeeYouCM-Thief Hente lagrede SSH passord på telefoner !uautentisert! Bruker enumerering

36. INTERN TILGANG – HVA NÅ? Verktøy jeg aldri bruker: CrackmapExec, Intern passord spraying, PowerSploit Verktøy jeg bruker noen ganger(som oftest tilpasset versjoner): Impacket, Mimikatz, Bloodhound, Metasploit moduler, Rubeus Tips om tilpassing – Søk etter cmd /c

37. DEMO USER BEHAVIOR

39. %LOCALAPPDATA%ConnectedDevicesPlatformActivitiesCache.db

43. USER BEHAVIOR MAPPING TOOL https://github.com/trustedsec/ User-Behavior-Mapping-Tool BLOG: https://www.trustedsec.com/bl og/oh-behave-figuring-out- user-behavior/

44. WAR STORIES FRA RED TEAMS

45. RED TEAMING – STJELE SPESIFIK DATABASE Ekstern SQL Injection Local Privilege Escalation Hashdump Lateral forflyttning til annen server Database Passord funnet i konfig på Share Eksfiltrering av database

53. RED TEAMING – KONTROLER ISOLERT MASKIN Phishet bruker Bruker Lokal Admin på test server Domene Admin innlogget – Passord dumpet fra lsass Forflyttet lateralt til domene kontrollere Group Policy pushet til isolerte maskiner Isolerte maskiner kommuniserte til C2 gjennom DC

59. RED TEAMING – SE HVOR MYE TILGANG KAN OPPNÅES Device Drop Fant Passord og servernavn på Github Kompromitterte server Fant glemt data på filshare Bruteforcet passord database Benyttet informasjon funnet I database

65. HVORFOR GJØRE RED TEAM ØVELSE? •Hendelses håndtering •Få oppleve et “ekte” angrep •Verifisere miljø / sikkerhetsoppsett / deteksjoner

66. RAPPORT Oversender rapport Gjennomgang i eget møte

67. HUSK! ANGRIPEREN LEKER I DIN SANDKASSE DU BESTEMMER REGLENE

69. TAKK FOR MEG! Twitter: @oddvarmoe

Red teaming and war stories

Recomendados

Recomendados

Más contenido relacionado

Destacado

Destacado (20)

Red teaming and war stories

Notas del editor