Importanza di Tool-Stealth per l'Internal Audit del team rosso

5

Quando arriverà il momento per la fase interna di una casella bianca o di un controllo del team rosso, in cui ti sei chiuso a chiave in un edificio per uffici di una società Fortune 500, penserei che l'ultima cosa È necessario che Burp Suite tenti di connettersi a portswiggerDOTcom per verificare la presenza di una nuova versione o di traffico rumoroso generato da un browser Web, come ad esempio tutti i tasti "safe-browsing" e "self-repair" ...

Che cosa fanno i pen-tester per attenuare questo tipo di rumore? Alcuni dei suddetti sono trattati abbastanza facilmente, altre cose, come l'esempio Burp, non possono essere filtrate con se stesso (il traffico non può essere opportunamente intrappolato dal proxy e l'aggiunta del dominio a un file HOSTS non fa nulla). / p>     

posta russ6100 01.08.2016 - 08:23
fonte

3 risposte

1

Mentre è molto utile essere in grado di prendere gli ultimi aggiornamenti, ecc., hai ragione che questo non è ciò che funziona nei vari tipi di test. I due più probabili sono test "furtivi", come dici tu, e test dove non hai una connessione al di fuori della rete.

La soluzione è di avere tutto ciò di cui hai bisogno: tutti gli strumenti e gli script sul tuo portatile di prova o per quei test in cui non ti è consentito portare il tuo kit fisico sul posto, la consegna dei tuoi strumenti alla sicurezza interna team per revisione e installazione sulla macchina di prova.

L'elenco degli strumenti desiderati si svilupperà con l'esperienza - imparerai quelli di cui hai bisogno tipicamente per un tipo specifico di test - ma ho sempre trovato che di più era meglio, come se avessi preso un set di strumenti ridotto ne avrei sempre avuto uno che non avevo portato!

E per essere correttamente silenziosi sulla rete è necessario configurare ogni strumento in modalità invisibile. Rimuovere la funzionalità 'call-home'. Limiti di velocità in caso di necessità. Disattiva i test "rumorosi".

Se il test ti consente di avere uno smartphone, usalo per controllare gli aggiornamenti di script, ecc. È molto utile tenere le cose fuori dalla LAN.

    
risposta data 10.10.2016 - 11:28
fonte
1

Burp Suite Professional è uno strumento per i test approvati o per i laboratori, non per gli impegni con la squadra rossa o gli esercizi informatici. In genere, un esercizio informatico include un codice di exploit in cui la sfruttabilità di ciascuna vulnerabilità è ben nota e pre-testata.

Quando guardi il codice di exploit, come le che hanno come target le piattaforme di firewall Cisco PIX e ASA - il i nomi in codice e la modularizzazione sono interamente focalizzati su exploit noti e categorizzati come armi specializzate per il ciclo di attacco tardivo, non come strumenti di qualità del software per tutti gli usi precoci.

Anche il framework metasploit è che perde la sua rilevanza , inclusi i suoi evolendo l'impianto Meterpreter . È raro che si sentano degli attori delle minacce reali che usano componenti di metasploit-framework: ho solo sentito parlare delle comunità di minacce basate sull'India che lo usano per attacchi di alto profilo.

Probabilmente il più comune strumento di coinvolgimento red-team per la furtività è PowerSploit . Invece di bypassare o utilizzare una PowerShell ExecutionPolicy senza restrizioni, solitamente verranno firmati moduli e assiemi. Utilizzando un approccio di compressione o codifica personalizzato o leggermente modificato, PowerShell può essere facilmente offuscato e persino ConstrainedLanguage e AMSI bypassato . Posh-SecMod ha alcuni esempi di compressione degli script tramite Compress-PostScript e Funzioni New-PostDownloadExecuteScript .

PowerShell e C # forniscono molti percorsi di attacco a basso profilo. Se sei interessato ad attacchi XSS, SQLi o simili da questi framework facili da offuscare, assicurati di controllare il libro, Gray Hat C # . Molte delle tecniche di attacco orientate alla furtività sono disponibili in PowerView perché la tecnologia Microsoft Windows Server Forest non è ampiamente monitorata dalle organizzazioni, né alcuno degli elementi di Active Directory, in particolare non Oggetti AD che si riferiscono a DNS Microsoft o identificatori SPN .

Se un exploit può raggiungere la memoria (ad esempio livello del lato client o del processo di servizio), ad esempio tramite un exploit di Flash, Internet Explorer o documenti office, un team rosso può sfruttare la tecnica ReflectivePick descritta nei collegamenti in il terzo paragrafo di questa risposta (NB, vedi in particolare quello relativo alle alternative a Meterpreter).

Molti attacchi possono sfruttare il protocollo TLS per la furtività, incluso SQLi. Se desideri eseguire il tunneling di un framework Web come ASP.NET o Java Enterprise, assicurati di controllare APBTTS , che fornirà le funzionalità di livello di trasporto di una shell Web senza scrivere una shell Web sul disco.

Specifici, altri bypass della tecnologia difensiva (o teorie che potrebbero sicuramente portare a nuove tecniche) possono essere trovati in libri come The Anti-Virus Hacker's Handbook.

    
risposta data 10.10.2016 - 18:45
fonte
1

Usa la tabella di routing. Dedicare un'interfaccia di rete alla rete sotto attacco e definire solo la route 10.0.0.0 (o la route 192.168.0.0 o qualsiasi altra cosa) per utilizzare tale interfaccia. Configura una diversa interfaccia per essere il gateway predefinito. In questo modo non puoi fare in modo che uno strumento rumoroso commetta un errore accidentale che ti porterà a un IDS.

Puoi collegare l'adattatore predefinito al tuo telefono cellulare se hai bisogno dell'accesso a Internet durante il test.

    
risposta data 10.10.2016 - 20:14
fonte

Leggi altre domande sui tag