Riduci il rumore durante i test di penetrazione

Vuoi aumentare il segnale e ridurre il rumore durante un pen-test?

Grande! Ecco alcune cose su cui riflettere:

1. Per le risposte alle domande che hai - hanno già risposto da qualche altra parte? Ad esempio, i dati Nmap di un precedente pen-test forniscono una visualizzazione sufficientemente precisa dei dati che ci si aspetterebbe oggi? Sarebbe csrecon o simili a fornire quei dati? Se sei sulla rete locale, ARP lo fornisce? Puoi accelerare la scoperta ARP (netdiscover, arp-scan, arping, ecc.) E packet-capture / MITM (ad es. bettercap ) tecniche o combinarli con Nmap tramite xerosploit ?
2. È possibile eseguire la scansione da un'origine attendibile o di terze parti e prendere nota dei risultati prima di iniziare la scansione dalla propria infrastruttura? Sarebbe scanless o simile fornire quella prospettiva? Che ne dici di utilizzare lo script NSE ipidseq per ruotare verso idlescanning ? O che ne dici di utilizzare dnmap da tonnellate di fonti?
3. Puoi modificare Nmap in modo che non sia t raccolto da IDS o bloccato da IPS? Puoi usare uno strumento come sniffjoke con una configurazione preparata? Che ne dici di utilizzare un diverso mezzo di scansione che appare più normale e più-TCP amichevole / efficiente, come pbscan ? Puoi eseguire sia Nmap che MetaSploit contemporaneamente con metasploitHelper ?

Se hai già dei crediti, allora vai a dare un'occhiata alla scansione SPN prima della scansione IP / ICMP / TCP / UDP. Quindi fai perno su strumenti come portia , autoDANE e CrackMapExec .

A volte, altri protocolli sono in uso sulla rete, come DCE-RPC su Ethernet (al contrario di TCP / IP su Ethernet), ma potresti creare un ponte tra i due usando Piper o simile. Vuoi creare un backchannel (ad esempio, C2, canale nascosto) su ARP? Quindi prova slarpd / slarpc .

Altre volte puoi creare un canale nascosto nei protocolli esistenti, ad esempio utilizzando lo strumento di phcct per il passaggio del protocollo TCP / IP o anche il metodo Forkitor su SSH . Nascondi in bella vista!

Che ne dici di IPv6? È abilitato sulla rete ma il team blu non lo sta cercando? Se vuoi vedere se IPv6 è abilitato, prendi uno stack locale e usa ip -6 neighbor show , ndp -an , per mostrare passivamente quelle reti, o anche attivamente con ping6, ad esempio ping6 -c 2 ff02::1 o ping6 -a ag , ping6 -a al , %codice%. Esegui questo modulo dal framework metasploit -   ping6 -N

Prova queste tecniche - link - per costruire un ponte tra i tuoi strumenti IPv4 e le reti IPv6 di destinazione.

Devi fare una scelta: stai andando in stealth, o per un'ampia copertura ed efficienza? Essenzialmente tutti gli strumenti di scansione, incluso nmap -sS , sono facilmente rilevabili da un SOC competente se eseguito a una velocità decente. Se vuoi evitare il rilevamento, devi fare meno richieste o renderle più lente.

Hai provato a utilizzare strumenti come Snort, Bro o Security Onion mentre esegui un test di penetrazione in un laboratorio? Quali segnali vengono emessi immediatamente? Come funzionano questi strumenti? Se vuoi evitare il rilevamento, devi sapere come funziona il rilevamento.

Se la furtività è il tuo obiettivo:

1. Evita strumenti ovvi (come SQLMap) o assicurati che abbiano impostazioni per nascondere elementi come una stringa User-Agent. (ad esempio sqlmap --user-agent=Benign/1.0 )
2. Vai lentamente e il più mirato possibile. Conosci il tuo obiettivo prima di provare a colpirlo. La precisione chirurgica è migliore della forza bruta se hai bisogno di stare zitta.
3. Se trovi un punto d'appoggio, fai girare il traffico da lì per oscurare la fonte.
4. Se ottieni più punti di appoggio, diffondi il tuo traffico su più fonti.

Senza entrare troppo nello specifico (dato che dipendono molto dalle circostanze del test), potresti pensare a cose come questa.

In che modo i SOC trovano aggressori? Beh, ci sono un paio di modi, potrebbero cercare le firme degli strumenti di attacco noti, quindi per esempio la maggior parte degli IDS avrà una firma per la scansione nmap, e se si esegue la scansione usando nmap lo si disabilita.

Un altro modo in cui la squadra blu potrebbe funzionare è che cercano anomalie. Quindi, ad esempio, se sanno che non c'è alcun servizio sulla rete che utilizza la porta 23455 / TCP e improvvisamente iniziano a vedere il traffico su quella porta, è facile da usare come evento alterabile.

Quindi dal punto di vista dell'attaccante, come lo eviti?

Bene per il primo, evita di utilizzare strumenti ben noti nelle loro configurazioni predefinite. Invece di nmap prova ad usare strumenti come i sistemi operativi che ti permettono di connetterti ai servizi (quindi, ad esempio, un client SSH in un loop alla ricerca di server SSH)

Utilizza anche tecniche passive. Lo sniffing dei pacchetti potrebbe rivelare il traffico di trasmissione di sistemi che fornisce i servizi che stanno eseguendo. Ad esempio, un server Windows può effettuare determinate trasmissioni che è possibile raccogliere. quindi sai di cosa si tratta e puoi contattarlo direttamente sulle porte comuni di Windows, che probabilmente non verranno visualizzate su un dashboard SOC in quanto è un traffico abbastanza normale.

L'altra cosa da evitare sono le porte di default comuni per gli strumenti di attacco. Se lo strumento viene fornito con un valore predefinito, usa qualcos'altro e preferibilmente qualcosa che è già in uso sulla rete, come usare 443 / TCP per il traffico SSL, che si fonderà abbastanza bene, con ogni probabilità.

Per quanto riguarda Nmap, ci sono molte opzioni che vale la pena leggere direttamente dal manuale, che possono aiutarti a condurre scansioni più sane: Nmap: Firewall / IDS Evasion and Spoofing