Red Teaming Case Study: Odhalenie skrytých rizík

Potrebuje naša organizácia Red Teaming?

Predstavte si veľkú organizáciu s tisíckami zamestnancov - takú, ktorá si cení bezpečnosť a pravidelne investuje do ochrany svojich systémov a ľudí. Napriek tomu si kládli otázku: čo ak by nás cielene napadol odhodlaný a organizovaný útočník? Počas ôsmich týždňov náš Red Team simuloval skutočný útok bez obmedzení. Spustili sme phishingovú kampaň s vlastnou doménou (výsledok: 260 prihlasovacích údajov), využili OSINT, narušili fyzické kontroly prostredníctvom pretextingu, klonovania kariet a záškodnického sieťového zariadenia a následne zneužili nesprávne nakonfigurovanú certifikačnú autoritu v doméne na získanie práv doménového administrátora. Tento komplexný test odhalil kritické ľudské, technické a fyzické zraniteľnosti - ukazujúc, že iba obsiahly Red Teaming dokáže odhaliť skryté riziká.

Čo je vlastne Red Teaming?

Red Teaming je o komplexnom hodnotení bezpečnostného stavu spoločnosti, od digitálneho perimetra až po správanie ľudí. Simuluje, čo by urobil motivovaný útočník alebo kyber zločinecká skupina (APT), ak by si vybrali vašu spoločnosť ako cieľ, bez obmedzenia zdrojov alebo času.

Ako hackeri z Haxoris vykonávajú takéto testovanie?

V Haxoris vkladáme veľké úsilie do prípravy a realizácie a dodržiavame súbor metodík Red Teaming zameraných na identifikáciu zraniteľností, hodnotenie rizík a overovanie účinnosti existujúcich bezpečnostných opatrení v rôznych oblastiach. Hodnotenie je rozdelené do niekoľkých samostatných, ale vzájomne prepojených fáz:

  • Zber informácií otvorených zdrojov (OSINT)
  • Testovanie externej infraštruktúry
  • Penetračné testovanie internej siete v dvoch scenároch
  • Fyzický prienik na viacerích lokalitách klienta
  • Phishingová kampaň

HACKLI sme našeho klienta!

Počas cieleného Red Teamingu začíname s EXTERNÝM TESTOVANÍM, teda testujeme všetko, čo je prístupné z internetu. Starostlivo sme preskúmali webové aplikácie klienta, VPN brány, e-mailové servery a všetky ostatné služby na akékoľvek slabé miesta, zastaraný softvér, nesprávne konfigurácie alebo chyby v kóde. Ukázalo sa, že klient bol dobre pripravený: ich servery boli aktualizovné s najnovšími záplatami bez známych CVE, ktoré by sa dali zneužiť. Firewall bol nastavený správne a systémy IDS/IPS aktívne monitorovali prevádzku bez toho, aby sme našli akékoľvek medzery. Dokonca aj naše pokusy o prelomenie ich Wi-Fi siete zlyhali, pretože prístup vyžadoval klientske certifikáty a viacfaktorové overenie.

OSINT Credential Theft

OSINT ukázal svoju dôležitosť po tom, čo sme použili všetky prostriedky na zhromaždenie informácií o spoločnosti. Nakoniec sme získali organizačnú štruktúru, zoznam mien zamestnancov, IP adries, subdomén, údaje o partnerstvách a zmluvách. Aj keď nie veľa zamestnancov uviedlo svoju príslušnosť k spoločnosti na LinkedIn, to potvrdilo, že klient medzi zamestnancami podporuje diskrétnosť na internete. Napriek tomu sme vzhľadom na ich veľkosť zhromaždili dostatok profilov pre ďalšiu prácu. Kombinovali sme údaje z LinkedIn s informáciami zo starých uniknutých databáz a overili sme zhromaždené e-mailové adresy. Kľúčovým momentom bolo, keď sme odhalili presný formát e-mailu, meno.priezvisko@spoločnosť.com, vďaka chybe v jednom z interných systémov.

Pokúsili sme sa narušiť FYZICKÝ PERIMETER na viacerých lokáciach nášho klienta. Počas našej prvej návštevy sme zhromaždili informácie o vstupoch, únikových východoch, pohybe bezpečnostnej služby, slepých uhloch kamier a ďalších. Pred budovou sme si všimli vozidlo inšpekcie protipožiarnych opatrení a rozhodli sme sa, že to bude naša metóda prístupu a maskovania. Po rýchlom OSINT prieskume, sme boli pripravení ako inšpekcia protipožiarnych opatrení a vybavenia, v plnej uniforme s logom spoločnosti ktorá robila inšpekcie, hlavičkovým papierom s písomným povolením na vykonanie kontroly hasiacich prístrojov a vstup do budovy. Návnada v podobe „inšpekcie hasiacich prístrojov“ zabezpečila nášmu tímu nekontrolovaný prístup do zasadacej miestnosti, kde sme za televíznou obrazovkou spozorovali skrytý port RJ45. V priebehu niekoľkých minút sme nainštalovali vlastné záškodnícke zariadenie s podporou 4G, skryli ho a odišli bez spustenia akéhokoľvek alarmu - čo nám umožnilo trvalý a nezistiteľný prístup do internej siete a pripravilo pôdu pre ďalšiu fázu útoku.

Device
Credential Theft

Hoci sme už mali prístup k sieti, naším cieľom bolo získať platné prihlasovacie údaje k doméne. Pomocou zoznamu overených e-mailových adries zhromaždených počas OSINT sme spustili cielenú PHISHINGOVÚ KAMPAŇ, nie hromadné rozosielanie e-mailov, ale prispôsobené útoky s podobnou doménou. Falošná prihlasovacia stránka intranetu, maskovaná ako oznámenie o novom internom systéme odmien, zachytila prihlasovacie údaje a potom sme kampaň okamžite ukončili, aby sme minimalizovali odhalenie. Tieto nové prihlasovacie údaje k doméne nám spístupnili hlbšie interné prístupy a pripravili pôdu pre našu ďalšiu fázu, eskaláciu privilégií.

INTERNÉ TESTOVANIE pozostáva zo simulácie ukradnutého zariadenia a testovania internej siete. V certifikačnej autorite klienta sme objavili zraniteľnosť ESC8, ktorá nám umožňovala vyžiadať si akýkoľvek certifikát služby Active Directory, dokonca aj pre Domain Controller (DC). Po potvrdení chyby pomocou nástroja Certipy sme použili modul Coerce_Plus od spoločnosti Netexec na vynútenie autentifikácie Domain Controllera na našom relay serveri, potom sme túto autentifikáciu zachytili a odoslali pomocou nástroja NTLMRelayX. Certifikačná Autorita vydala certifikát Domain Controllera, čím nám efektívne udelila práva správcu domény - čo dokazuje, že aj robustnú obranu je možné obísť presnou taktikou. Vlastníctvo doménového administráora je najvyššie privilégium, aké môže útočník v doméne Active Directory dosiahnuť. Predstavuje úplné narušenie infraštruktúry s prístupom ku všetkým službám alebo citlivým údajom.

Vulnerability Domain Admin

Výsledky a kľúčové poznatky

  • KOMPROMITÁCIA PRIHLASOVACÍCH ÚDAJOV: Cielená phishingová kampaň viedla k získaniu 260 platných prihlasovacích údajov, čím odhalila slabiny vo filtrovaní e-mailov a povedomí používateľov.
  • FYZICKÝ PRÍSTUP DOSIAHNUTÝ: Náš falošný inšpektor obišiel kontroly na recepcii a bez problémov naklonoval RFID karty, čo umožnilo umiestnenie záškodnického zariadenia do zabezpečených priestorov a prístup do internej siete.
  • ESKALÁCIA PRÁV NA DOMÉNOVÉHO ADMINISTRÁTORA: Využitím nesprávnej konfigurácie certifikačnej autority (ESC8) sme vydali dôveryhodný certifikát a získali plnú administratívnu kontrolu - bez odhalenia.
  • NULOVÁ DETEKCIA OBRANNÝMI SYSTÉMAMI: Kontroly na perimetri, IDS/IPS ani systémy logovania nezaznamenali naše aktivity - čo poukazuje na významné medzery vo viditeľnosti.

Naše odporúčania

  • Posilnite fyzickú bezpečnosť a protokoly pre návštevníkov: Bariéry proti tailgatingu, prísne kontroly ID a prísne kontroly návštevníkov.
  • Pravidelne auditujte všetky vektory: Perimeter, interné systémy, externé systémy, certifikačné autority a sieťovú infraštruktúru.
  • Školte zamestnancov v oblasti phishingu a sociálneho inžinierstva: Cvičenia založené na scenároch pre zlepšenie, udržanie ľudskej ostražitosti.
  • Monitorujte interné zariadenia a aktivitu v reálnom čase: Okamžite zistite neoprávnený hardvér a anomálne správanie siete.

Kybernetická bezpečnosť nie je len technológia - je to synergia ľudí, procesov a nástrojov. Neustále testovanie, učenie a budovanie odolnosti sú nevyhnutné, pretože útočníci budú vždy hľadať najslabší článok. Skutočná ochrana začína v mysliach a postojoch vašich ľudí.

Nečakajte na narušenie – odhaľte svoje najslabšie miesto s Red Teamingom už teraz!

Rezervovať