Importancia de Tool-Stealth para Red Team Internal Audit

5

Cuando llegue el momento de la fase interna de una caja blanca o una auditoría del equipo rojo, donde se haya encerrado en un fregadero en un edificio de oficinas de una compañía de Fortune 500, creo que lo último No es necesario que Burp Suite intente conectarse a portswiggerDOTcom para verificar si hay una nueva versión o el tráfico ruidoso generado por un navegador web, como el ruido de "navegación segura" y "reparación automática" ...

¿Qué hacen los pen-testers para mitigar este tipo de ruido? Algunos de los aspectos mencionados se pueden resolver con facilidad, otras cosas, como el ejemplo Burp, no se pueden filtrar por sí mismas (ese tráfico no puede ser atrapado por el proxy y agregar el dominio a un archivo HOSTS no hace nada). / p>     

pregunta russ6100 01.08.2016 - 08:23
fuente

3 respuestas

1

Si bien es muy útil poder obtener las últimas actualizaciones, etc., tienes razón en que esto no es lo que funciona en varios tipos de pruebas. Los dos más probables son las pruebas 'sigilosas', como usted menciona, y las pruebas en las que no tiene una conexión fuera de la red.

La solución es venir con todo lo que necesita: todas las herramientas y scripts en su computadora portátil de prueba, o para aquellas pruebas en las que no se le permite llevar su propio kit físico en el sitio, la entrega de las herramientas a la seguridad interna. Equipo para revisión e instalación en la máquina de prueba.

La lista de herramientas que deseará se desarrollará con la experiencia; aprenderá las que normalmente necesita para un tipo específico de prueba, pero siempre encontré que más era mejor, como si tomara un conjunto de herramientas reducido I ¡Siempre necesitaría uno que no había traído!

Y para estar tranquilo en la red, debe configurar todas las herramientas en modo oculto. Eliminar la funcionalidad 'call-home'. Reducir los límites de velocidad cuando sea posible. Desactive las pruebas 'ruidosas'.

Si la prueba le permite tener un teléfono inteligente, usarlo para buscar actualizaciones de secuencias de comandos, etc. es muy útil para mantener las cosas fuera de la LAN.

    
respondido por el Rory Alsop 10.10.2016 - 11:28
fuente
1

Burp Suite Professional es una herramienta para pruebas aprobadas o para laboratorios, no para compromisos de equipo rojo o ejercicios cibernéticos. Por lo general, un ejercicio cibernético incluirá un código de solo explotación en el que la vulnerabilidad de cada vulnerabilidad es bien conocida y probada previamente.

Cuando observa el código de explotación, como dirigidos a las plataformas Cisco PIX y ASA firewall : los nombres de código y la modularización se centran completamente en explotaciones conocidas y categorizadas como armas especializadas para el ciclo de ataque tardío, no como herramientas de calidad de software multipropósito de prueba temprana

Incluso el metasploit-framework está perdiendo su relevancia , incluido su evolving Meterpreter implant . Es raro oír hablar de actores de amenazas reales que utilizan componentes del marco de metasploit: solo he oído hablar de las comunidades de amenazas basadas en la India que lo utilizan para ataques de alto perfil.

Probablemente, la herramienta de participación del equipo rojo más común para el sigilo es PowerSploit . En lugar de omitir o utilizar una política de ejecución PowerShell sin restricciones, normalmente se firmarán los módulos y ensamblajes. Usando un enfoque de codificación o compresión personalizado o ligeramente modificado, PowerShell se puede ofuscar fácilmente e incluso Límite restringido y AMSI omitido . Posh-SecMod tiene algunos ejemplos de compresión de scripts a través de Compress-PostScript y New-PostDownloadExecuteScript .

PowerShell y C # proporcionan muchas rutas de ataque de bajo perfil. Si está interesado en ataques XSS, SQLi o similares de estos marcos fáciles de ofuscar, asegúrese de consultar el libro, Gray Hat C # . Muchas de las técnicas de ataque de orientación sigilosa están disponibles en PowerView porque la tecnología del Bosque de Microsoft Windows Server no está ampliamente supervisada por orgs tampoco lo es ninguno de los elementos de Active Directory, especialmente objetos AD que se relacionan con el DNS de Microsoft o identificadores de SPN .

Si un exploit puede alcanzar la memoria (por ejemplo, del lado del cliente o la capa de proceso de servicio), como a través de un exploit de Flash, Internet Explorer o documento de oficina, un equipo rojo puede aprovechar la técnica ReflectivePick que se describe en los enlaces en el tercer párrafo de esta respuesta (NB, especialmente ver el de las alternativas al Meterpreter).

Muchos ataques pueden aprovechar el protocolo TLS para el sigilo, incluido SQLi. Si desea hacer un túnel a través de un marco web como ASP.NET o Java Enterprise, asegúrese de consultar APBTTS , que proporcionará las capacidades de capa de transporte de un shell web sin escribir un shell web en el disco.

Específicamente, otros bypasses de tecnología defensiva (o teorías que sin duda podrían conducir a nuevas técnicas) pueden encontrarse en libros como The Anti-Virus Hacker´s Handbook.

    
respondido por el atdre 10.10.2016 - 18:45
fuente
1

Usa la tabla de enrutamiento. Dedique una interfaz de red a la red bajo ataque y defina solo la ruta 10.0.0.0 (o la ruta 192.168.0.0, o lo que sea) para usar esa interfaz. Configure una interfaz diferente para que sea la puerta de enlace predeterminada. De esta manera, no puede hacer que una herramienta ruidosa cometa un error accidental que lo delataría a un IDS.

Puede conectar el adaptador predeterminado a su teléfono móvil si necesita acceso a Internet durante la prueba.

    
respondido por el John Deters 10.10.2016 - 20:14
fuente

Lea otras preguntas en las etiquetas