Reducir el ruido cuando se realizan pruebas de penetración

24

Recientemente participé en una competencia de captura de bandera que se adjuntó con los equipos de análisis de SOC que monitorean nuestro tráfico.

Allí nos dijeron que muchas herramientas eran muy ruidosas. Por ejemplo, Sqlmap que tiene su encabezado completo.

Como todos nosotros éramos nuevos, no pudimos tener la comprensión además de realizar exploraciones nmap -sS. ¿Qué más podría ser menos ruidoso en el proceso de pruebas de penetración? O para ser más específico, qué herramientas y enfoques deberían preferirse para lograr este objetivo de ser menos detectable.

    
pregunta Khopcha 26.08.2017 - 22:02
fuente

4 respuestas

17

¿Desea aumentar la señal y reducir el ruido durante una prueba de lápiz?

¡Genial! Aquí hay algunas cosas para reflexionar sobre:

  1. Para las respuestas a las preguntas que tiene, ¿ya se han respondido en otra parte? Por ejemplo, ¿los datos de Nmap de una prueba de lápiz anterior proporcionan una visión lo suficientemente precisa de lo que esperaría hoy? ¿ csrecon o similar proporcionaría esa información? Si está en la red local, ¿la proporciona ARP? ¿Puede acelerar el descubrimiento de ARP (detección de redes, arp-scan, arping, etc.) y la captura de paquetes / MITM (por ejemplo, bettercap ) técnicas o combinarlas con Nmap a través de xerosploit ?
  2. ¿Puede escanear desde una fuente confiable o de terceros y anotar los resultados antes de comenzar su propio escaneo desde su propia infraestructura? ¿ scanless o similar proporcionaría esa perspectiva? ¿Qué le parece usar el script ipidseq NSE para avanzar hacia idlescanning ? O ¿qué hay de usar dnmap de toneladas de fuentes?
  3. ¿Puedes modificar Nmap para que no quede ' t recogido por IDS o bloqueado por IPS? ¿Puede usar una herramienta como sniffjoke con una configuración preparada? ¿Qué le parece usar un medio diferente de escaneo que parezca más normal y más compatible con TCP / eficiente, como pbscan ? ¿Puedes realizar Nmap y MetaSploit simultáneamente con metasploitHelper ?

Si ya tiene credenciales, vaya hurgando con SPN scan antes de IP / ICMP / TCP / UDP. Luego gire con herramientas como portia , autoDANE y CrackMapExec .

Algunas veces, otros protocolos están en uso en la red, como DCE-RPC a través de Ethernet (a diferencia de TCP / IP a través de Ethernet), pero puede crear un puente entre los dos usando Piper o similar. ¿Desea crear un canal de respaldo (por ejemplo, C2, canal secreto) sobre ARP? Luego pruebe slarpd / slarpc .

Otras veces puede crear un canal oculto en protocolos existentes, por ejemplo, utilizando la herramienta phcct para el salto del protocolo TCP / IP o incluso el método Forkitor sobre SSH . ¡Escóndete a la vista!

¿Qué hay de IPv6? ¿Está habilitado en la red pero el equipo azul no lo está buscando? Si desea ver si IPv6 está habilitado, tome una pila local y use ip -6 neighbor show , ndp -an , para mostrar pasivamente esas redes, o incluso activamente con ping6, por ejemplo, ping6 -c 2 ff02::1 o ping6 -a ag , ping6 -a al , %código%. Ejecuta este módulo desde el framework de metasploit -   ping6 -N

Pruebe estas técnicas: enlace : para crear un puente entre sus herramientas de IPv4 y las redes IPv6 de destino.

    
respondido por el atdre 27.08.2017 - 00:59
fuente
12

Usted tiene que tomar una decisión: ¿va por el sigilo o por una cobertura y eficiencia amplias? Esencialmente, todas las herramientas de escaneo, incluido nmap -sS , son detectadas fácilmente por un SOC competente si se ejecutan a una velocidad decente. Si desea evitar la detección, debe realizar menos solicitudes o hacerlas más lentamente.

¿Ha intentado ejecutar herramientas como Snort, Bro o Security Onion mientras realiza una prueba de penetración en un laboratorio? ¿Qué señales se disparan de inmediato? ¿Cómo funcionan estas herramientas? Si desea evitar la detección, debe saber cómo funciona la detección.

Si tu objetivo es el sigilo:

  1. Evite las herramientas obvias (como SQLMap) o asegúrese de que tengan configuraciones para ocultar cosas como una cadena de User-Agent. (por ejemplo, sqlmap --user-agent=Benign/1.0 )
  2. Ve despacio y lo más objetivo posible. Conoce a tu objetivo antes de intentar golpearlo. La precisión quirúrgica es mejor que la fuerza bruta si necesita estar callado.
  3. Si obtiene un punto de apoyo, gire su tráfico a través de allí para ocultar la fuente.
  4. Si obtiene varios puntos de apoyo, distribuya su tráfico en múltiples fuentes.
respondido por el David 26.08.2017 - 23:24
fuente
3

Sin entrar demasiado en detalles (ya que dependen mucho de las circunstancias de la prueba), puedes pensar en cosas como esta.

¿Cómo encuentran los atacantes los SOC? Bueno, hay un par de formas en las que pueden buscar las firmas de las herramientas de ataque conocidas, por lo que, por ejemplo, la mayoría de los IDS tendrán una firma para el escaneo de nmap, y si escanea usando el nmap, lo activará.

Otra forma en que el equipo azul podría trabajar es buscar anomolías. Así, por ejemplo, si saben que no hay servicio en la red que utiliza el puerto 23455 / TCP y de repente comienzan a ver el tráfico en ese puerto, es fácil de usarlo como un evento de alerta.

Entonces, desde la perspectiva del atacante, ¿cómo evitas eso?

Bueno para la primera, evite usar herramientas bien conocidas en sus configuraciones predeterminadas. En lugar de utilizar nmap, intente utilizar elementos como las herramientas del sistema operativo que le permiten conectarse a los servicios (por ejemplo, un cliente SSH en un bucle en busca de servidores SSH)

También hace uso de técnicas que son pasivas. La detección de paquetes puede revelar sistemas de tráfico de transmisión que regalan los servicios que están ejecutando. Así, por ejemplo, un servidor de Windows puede hacer ciertas transmisiones que puede recoger. Entonces, ya sabe lo que es y puede contactarlo directamente en los puertos comunes de Windows, que probablemente no se mostrarán en un panel de SOC ya que es un tráfico bastante normal.

La otra cosa que se debe evitar es los puertos predeterminados comunes para las herramientas de ataque. Si la herramienta se envía con un valor predeterminado, use otra cosa y preferiblemente algo que ya esté en uso en la red, como usar 443 / TCP para el tráfico SSL, que se fusionará bastante bien, con toda probabilidad.

    
respondido por el Rоry McCune 27.08.2017 - 16:00
fuente
0

Con respecto a Nmap, hay varias opciones que vale la pena leer directamente del manual, que pueden ayudarlo a realizar escaneos sigilosos: Nmap: Firewall / IDS Evasion and Spoofing

    
respondido por el Anonymous 27.08.2017 - 03:32
fuente

Lea otras preguntas en las etiquetas