Advertisement
Check these out next
Red teaming and war stories
Feb. 23, 2022•0 likes•62 views
0 likes
Be the first to like this
Show More
views
Total views
0
On Slideshare
0
From embeds
0
Number of embeds
0
Download to read offline
Report
Technology
PPT from my session at Office 365 User Group Agder (UGA)
Oddvar MoeFollow
Advertisement
Advertisement
Advertisement
Recommended
Angrep og deteksjon user group 22.septemberOddvar Moe
Hva avanserte hackere gjør for å få tilgang - Publisert.pptxOddvar Moe
Enkel og effektiv herding av windowsOddvar Moe
Phishing past mail protection controls using azure informationOddvar Moe
App-o-Lockalypse now!Oddvar Moe
#Lolbins - Nothing to LOL about!Oddvar Moe
Red teaming and war stories
- RED TEAMING AND WAR STORIES
- ODDVAR MOE GPEN, MCITP, MVP, MCP, MCSE, MCSA Red Teamer @TrustedSec Blog / Speak / Research
- MÅL Typisk oppdrag for meg Litt metodikk (og litt demo) Historier
- HOVEDFORSKJELL RED TEAM OG PENTEST Hastighet og støy
- HOVEDFORSKJELL RED TEAM OG PENTEST Hastighet og støy
- MÅLGRUPPE RED TEAM Thanks Matt Swan (MS) TRACK HUNT BEHAVIORS THREATS TRIAGE DETECTION TELEMETRY INVENTORY ACT “During incident response, I operate at the same tempo as the adversary to protect my business assets.” “When my red team emulates a real-world adversary, I detect their intrusion at multiple points along the kill chain.” “I detect hygiene issues and operator activity that does not follow best practices.”
- MÅLGRUPPE RED TEAM Thanks Matt Swan (MS) TRACK HUNT BEHAVIORS THREATS TRIAGE DETECTION TELEMETRY INVENTORY ACT “During incident response, I operate at the same tempo as the adversary to protect my business assets.” “When my red team emulates a real-world adversary, I detect their intrusion at multiple points along the kill chain.” “I detect hygiene issues and operator activity that does not follow best practices.”
- TYPISK OPPSTART Kickoff Call Definere mål Definere scope Snakke igjennom og planlegge
- TYPISKE MÅL PÅ RED TEAM OPPDRAG Stjele spesifik database eller patent Få kontroll på CEO konto Få tilgang inn I segmentert nettverk Endre kode base Se hvor mye tilgang kan oppnåes
- RED TEAM INFRASTRUKTUR Avhengig av oppdrag 1-2 OSINT servere 2-4 C2 server 2-4 Proxy / Payload Servere 4-10+ Domene Navn / Service Domain
- DOMENE NAVN Alder (60-90 dager ++) Kategori (Veldig viktig) -PaloAlto, BlueCoat ++ C2 og Phish SKAL være forskjellig Domain Hijack?
- SERVICE DOMENE
- TILPASSE C2
- BENYTTE DOMAIN FRONTING (CDN)?
- BENYTTE DOMAIN FRONTING (CDN)?
- FRONTING DEMO – A QUICK ONE
- KARTLEGGING DNS DNS DNS LinkedIn er en gullgruve Github OMFG Password dumps NTLM endpoints Google Dorking Metadata
- KARTLEGGING Fysisk I scope? Google Maps -Sikkerhets kameraer -Bakdører Lete etter nøkkelkort
- AKTIV KARTLEGGING / ENKLE ANGREP Timing Attack / Bruker enum Credential Stuffing Default Service Passord Passord spraying Enkle webapp teknikker
- TYPISKE VERKTØY Crt.sh / crtsh.py Amass Hardcidr.py NTLM Recon O365 Enum Onedrive User Enum Aquatone HTTPx Dehashed / Whoxy / Hunter Ffuf.py Massdns.py Gobuster OSINTFramework +++ Internal tools
- ROTATING PUBLIC IP
- ROTATING PUBLIC IP https://github.com/proxycannon/proxycannon-ng https://github.com/ustayready/fireprox
- PHISHING Email (PHISHING) SMS (SMISHING) Voice (VISHING) RED TEAM == SPEAR PHISHING Keying av payload er viktig
- SPOOFE EPOST Skal være – og ikke ~
- SPOOFE EPOST DMARC – Hva skal skje dersom SPF mislykkes? Burde være Quarantine eller Reject Også sp= parameter (Subdomener) Bra foredrag med mer detaljer 👇 (Vincent Yiu) https://www.youtube.com/watch?v=w1fNGOKkeSg
- SPOOFE EPOST
- SPOOFE EPOST • Ikke 100%, kan havne I spam – Avhengig av mange faktorer
- • https://www.trustedsec.com/blog/next-gen-phishing-leveraging- azure-information-protection/ • https://www.youtube.com/watch?v=EYUp_MNtJIk
- FYSISK Plante 4g enhet Kjøre payload på ulåste maskiner Trådløse keyboard og mus Passord lapper andre notater Ta med laptop (Dersom I scope)
- INTERN TILGANG – HVA NÅ? Finne ut normal bruker oppførsel (DEMO) Enumerere lokalt Tilganger, Oppsett og data Finne EDR og tilpasse angrep Etablere persistence (COM Hijack? Dll hijack? Startup?)
- INTERN TILGANG – HVA NÅ? Enumerere mot domenet LDAP / AD Delte mapper / data Cisco phones / Tomcat / Printere ++ Cookies/Bookmarks til bruker Intranett / Sharepoint Jobbe strategisk mot definerte mål
- INTERN TILGANG – HVA NÅ? Cisco Phones - https://github.com/trustedsec/ SeeYouCM-Thief Hente lagrede SSH passord på telefoner !uautentisert! Bruker enumerering
- INTERN TILGANG – HVA NÅ? Verktøy jeg aldri bruker: CrackmapExec, Intern passord spraying, PowerSploit Verktøy jeg bruker noen ganger(som oftest tilpasset versjoner): Impacket, Mimikatz, Bloodhound, Metasploit moduler, Rubeus Tips om tilpassing – Søk etter cmd /c
- DEMO USER BEHAVIOR
- %LOCALAPPDATA%ConnectedDevicesPlatformActivitiesCache.db
- USER BEHAVIOR MAPPING TOOL https://github.com/trustedsec/ User-Behavior-Mapping-Tool BLOG: https://www.trustedsec.com/bl og/oh-behave-figuring-out- user-behavior/
- WAR STORIES FRA RED TEAMS
- RED TEAMING – STJELE SPESIFIK DATABASE Ekstern SQL Injection Local Privilege Escalation Hashdump Lateral forflyttning til annen server Database Passord funnet i konfig på Share Eksfiltrering av database
- RED TEAMING – STJELE SPESIFIK DATABASE Ekstern SQL Injection Local Privilege Escalation Hashdump Lateral forflyttning til annen server Database Passord funnet i konfig på Share Eksfiltrering av database
- RED TEAMING – STJELE SPESIFIK DATABASE Ekstern SQL Injection Local Privilege Escalation Hashdump Lateral forflyttning til annen server Database Passord funnet i konfig på Share Eksfiltrering av database
- RED TEAMING – STJELE SPESIFIK DATABASE Ekstern SQL Injection Local Privilege Escalation Hashdump Lateral forflyttning til annen server Database Passord funnet i konfig på Share Eksfiltrering av database
- RED TEAMING – STJELE SPESIFIK DATABASE Ekstern SQL Injection Local Privilege Escalation Hashdump Lateral forflyttning til annen server Database Passord funnet i konfig på Share Eksfiltrering av database
- RED TEAMING – STJELE SPESIFIK DATABASE Ekstern SQL Injection Local Privilege Escalation Hashdump Lateral forflyttning til annen server Database Passord funnet i konfig på Share Eksfiltrering av database
- RED TEAMING – KONTROLER ISOLERT MASKIN Phishet bruker Bruker Lokal Admin på test server Domene Admin innlogget – Passord dumpet fra lsass Forflyttet lateralt til domene kontrollere Group Policy pushet til isolerte maskiner Isolerte maskiner kommuniserte til C2 gjennom DC
- RED TEAMING – KONTROLER ISOLERT MASKIN Phishet bruker Bruker Lokal Admin på test server Domene Admin innlogget – Passord dumpet fra lsass Forflyttet lateralt til domene kontrollere Group Policy pushet til isolerte maskiner Isolerte maskiner kommuniserte til C2 gjennom DC
- RED TEAMING – KONTROLER ISOLERT MASKIN Phishet bruker Bruker Lokal Admin på test server Domene Admin innlogget – Passord dumpet fra lsass Forflyttet lateralt til domene kontrollere Group Policy pushet til isolerte maskiner Isolerte maskiner kommuniserte til C2 gjennom DC
- RED TEAMING – KONTROLER ISOLERT MASKIN Phishet bruker Bruker Lokal Admin på test server Domene Admin innlogget – Passord dumpet fra lsass Forflyttet lateralt til domene kontrollere Group Policy pushet til isolerte maskiner Isolerte maskiner kommuniserte til C2 gjennom DC
- RED TEAMING – KONTROLER ISOLERT MASKIN Phishet bruker Bruker Lokal Admin på test server Domene Admin innlogget – Passord dumpet fra lsass Forflyttet lateralt til domene kontrollere Group Policy pushet til isolerte maskiner Isolerte maskiner kommuniserte til C2 gjennom DC
- RED TEAMING – KONTROLER ISOLERT MASKIN Phishet bruker Bruker Lokal Admin på test server Domene Admin innlogget – Passord dumpet fra lsass Forflyttet lateralt til domene kontrollere Group Policy pushet til isolerte maskiner Isolerte maskiner kommuniserte til C2 gjennom DC
- RED TEAMING – SE HVOR MYE TILGANG KAN OPPNÅES Device Drop Fant Passord og servernavn på Github Kompromitterte server Fant glemt data på filshare Bruteforcet passord database Benyttet informasjon funnet I database
- RED TEAMING – SE HVOR MYE TILGANG KAN OPPNÅES Device Drop Fant Passord og servernavn på Github Kompromitterte server Fant glemt data på filshare Bruteforcet passord database Benyttet informasjon funnet I database
- RED TEAMING – SE HVOR MYE TILGANG KAN OPPNÅES Device Drop Fant Passord og servernavn på Github Kompromitterte server Fant glemt data på filshare Bruteforcet passord database Benyttet informasjon funnet I database
- RED TEAMING – SE HVOR MYE TILGANG KAN OPPNÅES Device Drop Fant Passord og servernavn på Github Kompromitterte server Fant glemt data på filshare Bruteforcet passord database Benyttet informasjon funnet I database
- RED TEAMING – SE HVOR MYE TILGANG KAN OPPNÅES Device Drop Fant Passord og servernavn på Github Kompromitterte server Fant glemt data på filshare Bruteforcet passord database Benyttet informasjon funnet I database
- RED TEAMING – SE HVOR MYE TILGANG KAN OPPNÅES Device Drop Fant Passord og servernavn på Github Kompromitterte server Fant glemt data på filshare Bruteforcet passord database Benyttet informasjon funnet I database
- HVORFOR GJØRE RED TEAM ØVELSE? •Hendelses håndtering •Få oppleve et “ekte” angrep •Verifisere miljø / sikkerhetsoppsett / deteksjoner
- RAPPORT Oversender rapport Gjennomgang i eget møte
- HUSK! ANGRIPEREN LEKER I DIN SANDKASSE DU BESTEMMER REGLENE
- TAKK FOR MEG! Twitter: @oddvarmoe
Editor's Notes
- Når jeg utfører red team så har jeg noen antagelser. Feks, jeg antar at kunden har sentral logging og gode signature.
- Hardfail og softfail
- Goal to steal a specific database Local privilege escalation through SQL – To System Moved laterally by using wmiexec and execute a dropped binary file
- Goal to steal a specific database Local privilege escalation through SQL – To System Moved laterally by using wmiexec and execute a dropped binary file
Advertisement