El documento describe la metodología de un equipo Red Team, incluyendo etapas de reconocimiento, armamento, entrega, compromiso inicial, establecimiento de puertas traseras, elevación de privilegios, control y mando, reconocimiento interno, movimientos laterales, y exfiltración de información. El objetivo de un Red Team es evaluar la seguridad de un sistema representando una amenaza realista a través de técnicas avanzadas para comprometer sistemas y filtrar información.
2. Metodología.
• Etapa de preparación del entorno.
- Utilidades y buenas prácticas
• Uso de herramientas en la etapa de reconocimiento.
- Recolección de información de fuentes abiertas (OSINT) en profundidad.
• Uso de herramientas en la etapa de armamento.
- Preparación de payloads, exploits y mecanismos de comunicación anónima con el
objetivo.
• Uso de herramientas en la etapa de entrega.
- Establecimiento de campañas de phishing contra empleados de una empresa.
- Phishing contra redes sociales: Twitter, Instagram, Facebook, etc.
3. Metodología.
• Compromiso inicial.
- Explotación de vulnerabilidades encontradas o recepción de conexiones
por parte de payloads ejecutados en el entorno de la víctima.
• Establecimiento de puertas traseras (backdoors).
- Establecimiento de rutas de acceso alternativas.
• Elevación de privilegios.
- Acceso a los privilegios más altos en el sistema comprometido.
• Command and Control.
- Despliegue de herramientas de control remoto para monitorización
(control y espionaje).
4. Metodología.
• Reconocimiento interno del objetivo.
- Técnicas de pivoting y port-forwarding para encontrar y comprometer
otros sistemas en el entorno de red de la víctima.
• Movimientos laterales y mantenimiento de la presencia.
- Acceso a otros sistemas y establecimiento de mecanismos de acceso
alternativos a todos ellos.
• Exfiltración de información y fin de la campaña.
- Mecanismos de acceso y filtrado de información sensible en los sistemas
comprometidos y finalización de la campaña: Limpieza y desinstalación de
programas.
5. Introducción
• ¿A qué nos referimos con el término "Red Team"?
- Se trata de todas aquellas técnicas que aplican profesionales de la ciberseguridad para
encontrar vías de acceso a los sistema de una organización o empresa. A diferencia de las
técnicas empleadas en el Hacking ético o en las pruebas de penetración conocidas como
"Pentesting", en una campaña de Red Team se suelen aplicar técnicas aún más agresivas,
intentando replicar las mismas técnicas que aplicaría un equipo de cibercriminales.
• ¿Qué diferencias pueden existir entre lo que se conoce como "Hacking
ético/Pentesting" y "Red Teaming"?
- Como se ha mencionado antes, el enfoque es distinto. Mientras en las pruebas de
pentesting tradicionales se pretende encontrar vulnerabilidades en los sistemas a los que
el pentester tiene acceso, en una campaña de RedTeam se evalúan otros factores
adicionales como la posibilidad de engañar y/o manipular a las personas en el objetivo
para conseguir ejecutar programas maliciosos al interior de la red, controlar remotamente
ordenadores, atacar segmentos de red privados y extraer información sensible.
6. Pentesting
Metodología de un Pentest Objetivo
Pre-engagement Interactions Acuerdo inicial con el cliente. Definición
de alcance y objetivos concretos en las
pruebas. Mecanismos de comunicación y
reporte entre el pentester y el cliente.
Las pruebas estarán acotadas a un
conjunto de sistemas concretos y el
reporte de vulnerabilidades normalmente
se debe realizar en cuanto se descubren.
Intelligence Gathering Recolección de información inicial sobre
el sistema. Uso de herramientas y
técnicas habituales para el
descubrimiento de fugas de información
en fuentes abiertas.
7. Pentesting
Metodología de un Pentest Objetivo
Threat Modeling Modelado de posibles amenazas partiendo de la
información recolectada.
Vulnerability Analysis Pruebas sobre las posibles vías de acceso detectadas
y contrastar su posible impacto.
Exploitation Explotación de las vulnerabilidades detectadas y
obtención de acceso remoto.
Post Exploitation Movimientos permitidos dentro del sistema
comprometido. Normalmente bajo la supervisión del
cliente y con un alcance muy limitado.
Reporting Generación del informe final con los descubrimientos
y posibles contramedidas.
8. Red Team
Metodología de un Red
Team
Objetivo
Reconnaissance/Intelligence Gathering Recolección información, análisis
detallado del objetivo y en ocasiones,
contacto físico con el objetivo para
obtener la mayor cantidad de
información y conocimiento sobre el
objetivo.
Weaponization (Armamento): Creación de payloads y elaboración
de pretextos para ingeniería social.
Establecimiento de canales fuertes
de anonimato
9. Red Team
Metodología de un Red
Team
Objetivo
Delivery Mecanismos de entrega del
Payload. Acercamiento a la
víctima y ejecución de
programas maliciosos en su
sistema.
Initial Compromise Acceso al sistema de la víctima
y evaluacion/descubrimiento
inicial del entorno.
10. Red Team
Metodología de un Red
Team
Objetivo
Persistence Herramientas para el
establecimiento de la
persistencia: Puertas traseras y
vaís de acceso alternativas.
Instalación de elementos
físicos o lógicos (software) para
seguimiento y espionaje.
11. Red Team
Metodología de un Red
Team
Objetivo
Command and Control Establecimiento de herramientas
para tomar control sobre el sistema
comprometido.
Privilege Escalation Elevación de privilegios en el
sistema comprometido.
Internal Reconnaissance Se utiliza el sistema comprometido como
un pivote para analizar otros sistemas
accesibles y realizar movimientos laterales
para atacar otros sistemas disponibles en
el segmento de red de la víctima.
12. Red Team
Metodología de un Red
Team
Objetivo
Exfiltrate and Complete
Mission
Antes de concluir la campaña
el equipo debe recolectar la
mayor cantidad de información
sensible en los sistemas que
compromete. Los mecanismos
de filtrado de información se
basan en la transferencia de
ficheros y documentos a
ubicaciones externas a la
organización comprometida y
que controla el atacante.
13. Conclusiones.
• Una campaña de Red Team es prolongada en el tiempo y puede durar meses.
• El Red Team debe representar una amenaza real y constante en el tiempo.
• El objetivo del Red Team es el de comprometer sistemas, filtrar información,
escalar y acceder a la mayor cantidad de información posible. Siempre y
cuando sean actividades que se especifiquen de forma explicita en el acuerdo
de confidencialidad.
• Un Red Team no es una persona, normalmente esta conformado por un equipo
con diferentes niveles de especialización.
• Una campaña de Red Team puede ser constante para medir en todo momento
la efectividad de las medidas tomadas por la organización, del mismo modo
que se suele llevar a cabo en el mundo real.
14. Conclusiones.
• La diferencia entre un pentest y un Red Team es el nivel de
profundidad y alcance de las técnicas aplicadas. Un Red Team puede
verse como un servicio de monitorización continua. Un pentest como
una auditoría puntual.
• A efectos prácticos no hay diferencias notables entre un Red Team y
las actividades de un grupo de ciberdelincuentes, sin embargo en
una campaña existe un acuerdo y un alcance que tienen que estar
claramente definidos. Dichos acuerdo con el cliente son lo que le
permite al equipo permanecer en un contexto legal y legitimo.