SlideShare a Scribd company logo
1 of 69
RED TEAMING AND WAR STORIES
ODDVAR MOE
GPEN, MCITP, MVP, MCP, MCSE, MCSA
Red Teamer @TrustedSec
Blog / Speak / Research
MÅL
Typisk oppdrag for meg
Litt metodikk (og litt demo)
Historier
HOVEDFORSKJELL RED TEAM OG PENTEST
Hastighet og støy
HOVEDFORSKJELL RED TEAM OG PENTEST
Hastighet og støy
MÅLGRUPPE
RED TEAM
Thanks
Matt Swan (MS)
TRACK
HUNT
BEHAVIORS
THREATS
TRIAGE
DETECTION
TELEMETRY
INVENTORY
ACT
“During incident response,
I operate at the same tempo as
the adversary to protect my
business assets.”
“When my red team emulates a
real-world adversary, I detect
their intrusion at multiple points
along the kill chain.”
“I detect hygiene issues and
operator activity that does not
follow best practices.”
MÅLGRUPPE
RED TEAM
Thanks
Matt Swan (MS)
TRACK
HUNT
BEHAVIORS
THREATS
TRIAGE
DETECTION
TELEMETRY
INVENTORY
ACT
“During incident response,
I operate at the same tempo as
the adversary to protect my
business assets.”
“When my red team emulates a
real-world adversary, I detect
their intrusion at multiple points
along the kill chain.”
“I detect hygiene issues and
operator activity that does not
follow best practices.”
TYPISK OPPSTART
Kickoff Call
Definere mål
Definere scope
Snakke igjennom og planlegge
TYPISKE MÅL PÅ RED TEAM OPPDRAG
Stjele spesifik database eller
patent
Få kontroll på CEO konto
Få tilgang inn I segmentert nettverk
Endre kode base
Se hvor mye tilgang kan oppnåes
RED TEAM INFRASTRUKTUR
Avhengig av oppdrag
1-2 OSINT servere
2-4 C2 server
2-4 Proxy / Payload Servere
4-10+ Domene Navn / Service
Domain
DOMENE NAVN
Alder (60-90 dager ++)
Kategori (Veldig viktig)
-PaloAlto, BlueCoat ++
C2 og Phish SKAL være
forskjellig
Domain Hijack?
SERVICE DOMENE
TILPASSE
C2
BENYTTE DOMAIN
FRONTING (CDN)?
BENYTTE DOMAIN
FRONTING (CDN)?
FRONTING DEMO – A QUICK ONE
KARTLEGGING
DNS DNS DNS
LinkedIn er en gullgruve
Github OMFG
Password dumps
NTLM endpoints
Google Dorking
Metadata
KARTLEGGING
Fysisk I scope?
Google Maps
-Sikkerhets kameraer
-Bakdører
Lete etter nøkkelkort
AKTIV KARTLEGGING / ENKLE ANGREP
Timing Attack / Bruker enum
Credential Stuffing
Default Service Passord
Passord spraying
Enkle webapp teknikker
TYPISKE VERKTØY
Crt.sh / crtsh.py
Amass
Hardcidr.py
NTLM Recon
O365 Enum
Onedrive User
Enum
Aquatone
HTTPx
Dehashed / Whoxy
/ Hunter
Ffuf.py
Massdns.py
Gobuster
OSINTFramework
+++ Internal tools
ROTATING
PUBLIC IP
ROTATING
PUBLIC IP
https://github.com/proxycannon/proxycannon-ng
https://github.com/ustayready/fireprox
PHISHING
Email (PHISHING)
SMS (SMISHING)
Voice (VISHING)
RED TEAM == SPEAR PHISHING
Keying av payload er viktig
SPOOFE EPOST
Skal være – og ikke ~
SPOOFE EPOST
DMARC – Hva skal skje dersom SPF mislykkes?
Burde være Quarantine eller Reject
Også sp= parameter (Subdomener)
Bra foredrag med mer detaljer 👇 (Vincent Yiu)
https://www.youtube.com/watch?v=w1fNGOKkeSg
SPOOFE EPOST
SPOOFE EPOST
• Ikke 100%, kan havne I spam – Avhengig av mange faktorer
• https://www.trustedsec.com/blog/next-gen-phishing-leveraging-
azure-information-protection/
• https://www.youtube.com/watch?v=EYUp_MNtJIk
FYSISK
Plante 4g enhet
Kjøre payload på ulåste maskiner
Trådløse keyboard og mus
Passord lapper andre notater
Ta med laptop (Dersom I scope)
INTERN TILGANG – HVA NÅ?
Finne ut normal bruker oppførsel (DEMO)
Enumerere lokalt
Tilganger, Oppsett og data
Finne EDR og tilpasse angrep
Etablere persistence (COM Hijack? Dll hijack? Startup?)
INTERN TILGANG – HVA NÅ?
Enumerere mot domenet
LDAP / AD
Delte mapper / data
Cisco phones / Tomcat / Printere ++
Cookies/Bookmarks til bruker
Intranett / Sharepoint
Jobbe strategisk mot definerte mål
INTERN TILGANG – HVA NÅ?
Cisco Phones -
https://github.com/trustedsec/
SeeYouCM-Thief
Hente lagrede SSH passord på
telefoner !uautentisert!
Bruker enumerering
INTERN TILGANG – HVA NÅ?
Verktøy jeg aldri bruker:
CrackmapExec, Intern passord spraying, PowerSploit
Verktøy jeg bruker noen ganger(som oftest tilpasset
versjoner):
Impacket, Mimikatz, Bloodhound, Metasploit moduler,
Rubeus
Tips om tilpassing – Søk etter cmd /c
DEMO USER BEHAVIOR
%LOCALAPPDATA%ConnectedDevicesPlatformActivitiesCache.db
USER BEHAVIOR MAPPING TOOL
https://github.com/trustedsec/
User-Behavior-Mapping-Tool
BLOG:
https://www.trustedsec.com/bl
og/oh-behave-figuring-out-
user-behavior/
WAR STORIES FRA RED TEAMS
RED TEAMING – STJELE SPESIFIK DATABASE
Ekstern SQL
Injection
Local Privilege
Escalation
Hashdump
Lateral
forflyttning til
annen server
Database
Passord funnet i
konfig på Share
Eksfiltrering av
database
RED TEAMING – STJELE SPESIFIK DATABASE
Ekstern SQL
Injection
Local Privilege
Escalation
Hashdump
Lateral
forflyttning til
annen server
Database
Passord funnet i
konfig på Share
Eksfiltrering av
database
RED TEAMING – STJELE SPESIFIK DATABASE
Ekstern SQL
Injection
Local Privilege
Escalation
Hashdump
Lateral
forflyttning til
annen server
Database
Passord funnet i
konfig på Share
Eksfiltrering av
database
RED TEAMING – STJELE SPESIFIK DATABASE
Ekstern SQL
Injection
Local Privilege
Escalation
Hashdump
Lateral
forflyttning til
annen server
Database
Passord funnet i
konfig på Share
Eksfiltrering av
database
RED TEAMING – STJELE SPESIFIK DATABASE
Ekstern SQL
Injection
Local Privilege
Escalation
Hashdump
Lateral
forflyttning til
annen server
Database
Passord funnet i
konfig på Share
Eksfiltrering av
database
RED TEAMING – STJELE SPESIFIK DATABASE
Ekstern SQL
Injection
Local Privilege
Escalation
Hashdump
Lateral
forflyttning til
annen server
Database
Passord funnet i
konfig på Share
Eksfiltrering av
database
RED TEAMING – KONTROLER ISOLERT MASKIN
Phishet bruker
Bruker Lokal Admin
på test server
Domene Admin
innlogget – Passord
dumpet fra lsass
Forflyttet lateralt til
domene kontrollere
Group Policy
pushet til isolerte
maskiner
Isolerte maskiner
kommuniserte til
C2 gjennom DC
RED TEAMING – KONTROLER ISOLERT MASKIN
Phishet bruker
Bruker Lokal Admin
på test server
Domene Admin
innlogget – Passord
dumpet fra lsass
Forflyttet lateralt til
domene kontrollere
Group Policy
pushet til isolerte
maskiner
Isolerte maskiner
kommuniserte til
C2 gjennom DC
RED TEAMING – KONTROLER ISOLERT MASKIN
Phishet bruker
Bruker Lokal Admin
på test server
Domene Admin
innlogget – Passord
dumpet fra lsass
Forflyttet lateralt til
domene kontrollere
Group Policy
pushet til isolerte
maskiner
Isolerte maskiner
kommuniserte til
C2 gjennom DC
RED TEAMING – KONTROLER ISOLERT MASKIN
Phishet bruker
Bruker Lokal Admin
på test server
Domene Admin
innlogget – Passord
dumpet fra lsass
Forflyttet lateralt til
domene kontrollere
Group Policy
pushet til isolerte
maskiner
Isolerte maskiner
kommuniserte til
C2 gjennom DC
RED TEAMING – KONTROLER ISOLERT MASKIN
Phishet bruker
Bruker Lokal Admin
på test server
Domene Admin
innlogget – Passord
dumpet fra lsass
Forflyttet lateralt til
domene kontrollere
Group Policy
pushet til isolerte
maskiner
Isolerte maskiner
kommuniserte til
C2 gjennom DC
RED TEAMING – KONTROLER ISOLERT MASKIN
Phishet bruker
Bruker Lokal Admin
på test server
Domene Admin
innlogget – Passord
dumpet fra lsass
Forflyttet lateralt til
domene kontrollere
Group Policy
pushet til isolerte
maskiner
Isolerte maskiner
kommuniserte til
C2 gjennom DC
RED TEAMING – SE HVOR MYE TILGANG KAN OPPNÅES
Device Drop
Fant Passord og
servernavn på
Github
Kompromitterte
server
Fant glemt data
på filshare
Bruteforcet
passord database
Benyttet
informasjon
funnet I database
RED TEAMING – SE HVOR MYE TILGANG KAN OPPNÅES
Device Drop
Fant Passord og
servernavn på
Github
Kompromitterte
server
Fant glemt data
på filshare
Bruteforcet
passord database
Benyttet
informasjon
funnet I database
RED TEAMING – SE HVOR MYE TILGANG KAN OPPNÅES
Device Drop
Fant Passord og
servernavn på
Github
Kompromitterte
server
Fant glemt data
på filshare
Bruteforcet
passord database
Benyttet
informasjon
funnet I database
RED TEAMING – SE HVOR MYE TILGANG KAN OPPNÅES
Device Drop
Fant Passord og
servernavn på
Github
Kompromitterte
server
Fant glemt data
på filshare
Bruteforcet
passord database
Benyttet
informasjon
funnet I database
RED TEAMING – SE HVOR MYE TILGANG KAN OPPNÅES
Device Drop
Fant Passord og
servernavn på
Github
Kompromitterte
server
Fant glemt data
på filshare
Bruteforcet
passord database
Benyttet
informasjon
funnet I database
RED TEAMING – SE HVOR MYE TILGANG KAN OPPNÅES
Device Drop
Fant Passord og
servernavn på
Github
Kompromitterte
server
Fant glemt data
på filshare
Bruteforcet
passord database
Benyttet
informasjon
funnet I database
HVORFOR GJØRE RED TEAM ØVELSE?
•Hendelses
håndtering
•Få oppleve et “ekte”
angrep
•Verifisere miljø /
sikkerhetsoppsett /
deteksjoner
RAPPORT
Oversender
rapport
Gjennomgang i eget møte
HUSK! ANGRIPEREN LEKER I DIN SANDKASSE
DU BESTEMMER REGLENE
TAKK FOR MEG!
Twitter:
@oddvarmoe

More Related Content

Featured

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
Time Management & Productivity - Best Practices
Time Management & Productivity -  Best PracticesTime Management & Productivity -  Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 

Featured (20)

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity -  Best PracticesTime Management & Productivity -  Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 

Red teaming and war stories

  • 1. RED TEAMING AND WAR STORIES
  • 2. ODDVAR MOE GPEN, MCITP, MVP, MCP, MCSE, MCSA Red Teamer @TrustedSec Blog / Speak / Research
  • 3. MÅL Typisk oppdrag for meg Litt metodikk (og litt demo) Historier
  • 4. HOVEDFORSKJELL RED TEAM OG PENTEST Hastighet og støy
  • 5. HOVEDFORSKJELL RED TEAM OG PENTEST Hastighet og støy
  • 6. MÅLGRUPPE RED TEAM Thanks Matt Swan (MS) TRACK HUNT BEHAVIORS THREATS TRIAGE DETECTION TELEMETRY INVENTORY ACT “During incident response, I operate at the same tempo as the adversary to protect my business assets.” “When my red team emulates a real-world adversary, I detect their intrusion at multiple points along the kill chain.” “I detect hygiene issues and operator activity that does not follow best practices.”
  • 7. MÅLGRUPPE RED TEAM Thanks Matt Swan (MS) TRACK HUNT BEHAVIORS THREATS TRIAGE DETECTION TELEMETRY INVENTORY ACT “During incident response, I operate at the same tempo as the adversary to protect my business assets.” “When my red team emulates a real-world adversary, I detect their intrusion at multiple points along the kill chain.” “I detect hygiene issues and operator activity that does not follow best practices.”
  • 8. TYPISK OPPSTART Kickoff Call Definere mål Definere scope Snakke igjennom og planlegge
  • 9. TYPISKE MÅL PÅ RED TEAM OPPDRAG Stjele spesifik database eller patent Få kontroll på CEO konto Få tilgang inn I segmentert nettverk Endre kode base Se hvor mye tilgang kan oppnåes
  • 10. RED TEAM INFRASTRUKTUR Avhengig av oppdrag 1-2 OSINT servere 2-4 C2 server 2-4 Proxy / Payload Servere 4-10+ Domene Navn / Service Domain
  • 11. DOMENE NAVN Alder (60-90 dager ++) Kategori (Veldig viktig) -PaloAlto, BlueCoat ++ C2 og Phish SKAL være forskjellig Domain Hijack?
  • 12.
  • 13.
  • 18. FRONTING DEMO – A QUICK ONE
  • 19.
  • 20. KARTLEGGING DNS DNS DNS LinkedIn er en gullgruve Github OMFG Password dumps NTLM endpoints Google Dorking Metadata
  • 21. KARTLEGGING Fysisk I scope? Google Maps -Sikkerhets kameraer -Bakdører Lete etter nøkkelkort
  • 22. AKTIV KARTLEGGING / ENKLE ANGREP Timing Attack / Bruker enum Credential Stuffing Default Service Passord Passord spraying Enkle webapp teknikker
  • 23. TYPISKE VERKTØY Crt.sh / crtsh.py Amass Hardcidr.py NTLM Recon O365 Enum Onedrive User Enum Aquatone HTTPx Dehashed / Whoxy / Hunter Ffuf.py Massdns.py Gobuster OSINTFramework +++ Internal tools
  • 26. PHISHING Email (PHISHING) SMS (SMISHING) Voice (VISHING) RED TEAM == SPEAR PHISHING Keying av payload er viktig
  • 27. SPOOFE EPOST Skal være – og ikke ~
  • 28. SPOOFE EPOST DMARC – Hva skal skje dersom SPF mislykkes? Burde være Quarantine eller Reject Også sp= parameter (Subdomener) Bra foredrag med mer detaljer 👇 (Vincent Yiu) https://www.youtube.com/watch?v=w1fNGOKkeSg
  • 30. SPOOFE EPOST • Ikke 100%, kan havne I spam – Avhengig av mange faktorer
  • 32. FYSISK Plante 4g enhet Kjøre payload på ulåste maskiner Trådløse keyboard og mus Passord lapper andre notater Ta med laptop (Dersom I scope)
  • 33. INTERN TILGANG – HVA NÅ? Finne ut normal bruker oppførsel (DEMO) Enumerere lokalt Tilganger, Oppsett og data Finne EDR og tilpasse angrep Etablere persistence (COM Hijack? Dll hijack? Startup?)
  • 34. INTERN TILGANG – HVA NÅ? Enumerere mot domenet LDAP / AD Delte mapper / data Cisco phones / Tomcat / Printere ++ Cookies/Bookmarks til bruker Intranett / Sharepoint Jobbe strategisk mot definerte mål
  • 35. INTERN TILGANG – HVA NÅ? Cisco Phones - https://github.com/trustedsec/ SeeYouCM-Thief Hente lagrede SSH passord på telefoner !uautentisert! Bruker enumerering
  • 36. INTERN TILGANG – HVA NÅ? Verktøy jeg aldri bruker: CrackmapExec, Intern passord spraying, PowerSploit Verktøy jeg bruker noen ganger(som oftest tilpasset versjoner): Impacket, Mimikatz, Bloodhound, Metasploit moduler, Rubeus Tips om tilpassing – Søk etter cmd /c
  • 38.
  • 40.
  • 41.
  • 42.
  • 43. USER BEHAVIOR MAPPING TOOL https://github.com/trustedsec/ User-Behavior-Mapping-Tool BLOG: https://www.trustedsec.com/bl og/oh-behave-figuring-out- user-behavior/
  • 44. WAR STORIES FRA RED TEAMS
  • 45. RED TEAMING – STJELE SPESIFIK DATABASE Ekstern SQL Injection Local Privilege Escalation Hashdump Lateral forflyttning til annen server Database Passord funnet i konfig på Share Eksfiltrering av database
  • 46.
  • 47. RED TEAMING – STJELE SPESIFIK DATABASE Ekstern SQL Injection Local Privilege Escalation Hashdump Lateral forflyttning til annen server Database Passord funnet i konfig på Share Eksfiltrering av database
  • 48. RED TEAMING – STJELE SPESIFIK DATABASE Ekstern SQL Injection Local Privilege Escalation Hashdump Lateral forflyttning til annen server Database Passord funnet i konfig på Share Eksfiltrering av database
  • 49.
  • 50. RED TEAMING – STJELE SPESIFIK DATABASE Ekstern SQL Injection Local Privilege Escalation Hashdump Lateral forflyttning til annen server Database Passord funnet i konfig på Share Eksfiltrering av database
  • 51. RED TEAMING – STJELE SPESIFIK DATABASE Ekstern SQL Injection Local Privilege Escalation Hashdump Lateral forflyttning til annen server Database Passord funnet i konfig på Share Eksfiltrering av database
  • 52. RED TEAMING – STJELE SPESIFIK DATABASE Ekstern SQL Injection Local Privilege Escalation Hashdump Lateral forflyttning til annen server Database Passord funnet i konfig på Share Eksfiltrering av database
  • 53. RED TEAMING – KONTROLER ISOLERT MASKIN Phishet bruker Bruker Lokal Admin på test server Domene Admin innlogget – Passord dumpet fra lsass Forflyttet lateralt til domene kontrollere Group Policy pushet til isolerte maskiner Isolerte maskiner kommuniserte til C2 gjennom DC
  • 54. RED TEAMING – KONTROLER ISOLERT MASKIN Phishet bruker Bruker Lokal Admin på test server Domene Admin innlogget – Passord dumpet fra lsass Forflyttet lateralt til domene kontrollere Group Policy pushet til isolerte maskiner Isolerte maskiner kommuniserte til C2 gjennom DC
  • 55. RED TEAMING – KONTROLER ISOLERT MASKIN Phishet bruker Bruker Lokal Admin på test server Domene Admin innlogget – Passord dumpet fra lsass Forflyttet lateralt til domene kontrollere Group Policy pushet til isolerte maskiner Isolerte maskiner kommuniserte til C2 gjennom DC
  • 56. RED TEAMING – KONTROLER ISOLERT MASKIN Phishet bruker Bruker Lokal Admin på test server Domene Admin innlogget – Passord dumpet fra lsass Forflyttet lateralt til domene kontrollere Group Policy pushet til isolerte maskiner Isolerte maskiner kommuniserte til C2 gjennom DC
  • 57. RED TEAMING – KONTROLER ISOLERT MASKIN Phishet bruker Bruker Lokal Admin på test server Domene Admin innlogget – Passord dumpet fra lsass Forflyttet lateralt til domene kontrollere Group Policy pushet til isolerte maskiner Isolerte maskiner kommuniserte til C2 gjennom DC
  • 58. RED TEAMING – KONTROLER ISOLERT MASKIN Phishet bruker Bruker Lokal Admin på test server Domene Admin innlogget – Passord dumpet fra lsass Forflyttet lateralt til domene kontrollere Group Policy pushet til isolerte maskiner Isolerte maskiner kommuniserte til C2 gjennom DC
  • 59. RED TEAMING – SE HVOR MYE TILGANG KAN OPPNÅES Device Drop Fant Passord og servernavn på Github Kompromitterte server Fant glemt data på filshare Bruteforcet passord database Benyttet informasjon funnet I database
  • 60. RED TEAMING – SE HVOR MYE TILGANG KAN OPPNÅES Device Drop Fant Passord og servernavn på Github Kompromitterte server Fant glemt data på filshare Bruteforcet passord database Benyttet informasjon funnet I database
  • 61. RED TEAMING – SE HVOR MYE TILGANG KAN OPPNÅES Device Drop Fant Passord og servernavn på Github Kompromitterte server Fant glemt data på filshare Bruteforcet passord database Benyttet informasjon funnet I database
  • 62. RED TEAMING – SE HVOR MYE TILGANG KAN OPPNÅES Device Drop Fant Passord og servernavn på Github Kompromitterte server Fant glemt data på filshare Bruteforcet passord database Benyttet informasjon funnet I database
  • 63. RED TEAMING – SE HVOR MYE TILGANG KAN OPPNÅES Device Drop Fant Passord og servernavn på Github Kompromitterte server Fant glemt data på filshare Bruteforcet passord database Benyttet informasjon funnet I database
  • 64. RED TEAMING – SE HVOR MYE TILGANG KAN OPPNÅES Device Drop Fant Passord og servernavn på Github Kompromitterte server Fant glemt data på filshare Bruteforcet passord database Benyttet informasjon funnet I database
  • 65. HVORFOR GJØRE RED TEAM ØVELSE? •Hendelses håndtering •Få oppleve et “ekte” angrep •Verifisere miljø / sikkerhetsoppsett / deteksjoner
  • 67. HUSK! ANGRIPEREN LEKER I DIN SANDKASSE DU BESTEMMER REGLENE
  • 68.

Editor's Notes

  1. Når jeg utfører red team så har jeg noen antagelser. Feks, jeg antar at kunden har sentral logging og gode signature.
  2. Hardfail og softfail
  3. Goal to steal a specific database Local privilege escalation through SQL – To System Moved laterally by using wmiexec and execute a dropped binary file
  4. Goal to steal a specific database Local privilege escalation through SQL – To System Moved laterally by using wmiexec and execute a dropped binary file