Evaluation Red Team : Quand une attaque réussie est nécessaire

0
80

Dans la première partie de notre article, nous avons expliqué ce qu’est une évaluation Red Team, ce qui différencie ses conclusions de celles d’un test de pénétration, et décrit une série de techniques que les membres d’une équipe Red Team peut utiliser pour atteindre ses objectifs.

La boîte à outils d’une équipe Red Team

Tribune par David Grout, Director Technical – PreSales, South EMEA de FireEye – Comme indiqué dans notre article précédent, les tactiques, techniques et procédures utilisées par une Red Team varient en fonction des objectifs, des règles d’engagement fixées au départ et du niveau de maturité du client. Par exemple, certaines équipes pourront avoir besoin d’une autorisation préalable pour accéder à un ensemble spécifique de systèmes, alors que d’autres clients pourront autoriser la Red Team a attaquer n’importe quel système présent sur le réseau pour atteindre son objectif. A noter que la plupart des Red Teams ne s’autorisent pas des attaques invalidantes telles que DoS ou DDoS car généralement leur objectif n’est pas d’interrompre un service. La liste qui suit contient des outils qu’une Red Team pourra exploiter pour accomplir sa mission:

  • Mimikatz: Un outil populaire utilisé pour récupérer des mots de passe. Il permet de récupérer des mots de passe en clair à partir de divers traitements Windows.
  • FiercePhish: Plate-forme utilisée pour automatiser la mise en place d’une infrastructure de phishing. Elle inclut des canevas d’e-mails de phishing, ainsi que la possibilité d’envoyer des campagnes de masse et de suivre leur progression.
  • Invoke-Obfuscation: Obfusque des scripts PowerShell pour contourner les contrôles de sécurité PowerShell et d’autres produits de sécurité sur les postes de travail.
  • ReelPhish: Permet la création d’une page de phishing pour contourner une authentification en deux étapes. Un utilisateur est trompé par un e-mail de phishing qui le dirige vers un faux site où il saisit son identifiant et un token. L’utilisation du token d’authentification sur le site légitime permet alors à la Red Team d’accéder au réseau. Noter que ReelPhish est configurable pour la plupart des applications d’authentification en deux étapes.
  • Nmap: Utilisé de façon sélective pour scanner des ports, et peut aussi servir pour identifier des ordinateurs hôte et énumérer des équipements sur le réseau. La plupart des tests sont effectués manuellement toutefois, pour éviter une détection prématurée.
  • Utilitaires Windows natifs: Utilitaires intégrés nativement dans Windows tels que nslookup, RDP, WMIC, SC, PowerShell, Netstat, NET, et beaucoup d’autres. Tous sont utilisés dans diverses étapes du cycle d’une attaque, dont la persistance et le mouvement latéral.
  • Communications spécifiques de Contrôle Commande (C2): Chevaux de Troie d’accès à distance (RATs) qui utilisent des contenus chiffrés pour des communications C2 dans le réseau. Le trafic C2 est utilisé pour communiquer avec les systèmes des victimes à partir d’Internet.

Un autre aspect important d’une évaluation Red Team est la compréhension des tactiques, techniques et procédures utilisées aujourd’hui par les attaquants, et non celles qu’ils utilisaient il y a deux ans. Les renseignements glanés à partir d’enquêtes sur le terrain fourniront des informations que la Red Team pourra utiliser pour concevoir ses attaques. Seules des spécialistes de la sécurité qui ont accès à ce type de renseignements pourront véritablement tester les capacités de défense de leurs clients.

Que fait une Red Team lorsqu’elle a obtenu un premier point d’entrée?

Une fois que la Red Team a réussi à pénétrer sur le réseau d’entreprise, elle doit consolider sa position et s’approcher avec prudence de son objectif final. Après sa pénétration initiale, une Red Team respectera souvent la séquence d’actions suivante :

  1. Persistance sur l’ordinateur hôte
  2. Reconnaissance de l’Active Directory
  3. Escalade de privilèges sur l’ordinateur hôte
  4. Mouvement latéral
  5. Escalade de privilèges sur le réseau (domaine admin)
  6. Reconnaissance supplémentaire pour identifier des cibles stratégiques
  7. Réalisation de l’objectif

Les méthodes utilisées pour effectuer ces étapes varient selon les missions. Généralement, des scans à grande échelle ne sont pas au programme, et des mouvements latéraux vers un nouvel ordinateur hôte n’interviennent que si cela permet à l’équipe d’accéder à des identifiants intéressants. Une Red Team expérimentée profite souvent de mauvaises configurations, plutôt que de vulnérabilités. Les mauvaises configurations ne sont généralement pas détectées par des scanners de vulnérabilités. De plus, il est plus difficile de détecter un attaquant qui a exploité une mauvaise configuration que le même attaquant effectuant des scans de vulnérabilités sur le réseau. En outre, les mauvaises configurations fournissent souvent à l’équipe un moyen direct de s’attribuer des droits d’administration sur le réseau.

Dès que la cible de la Red Team est identifiée et que l’accès à celle-ci est obtenu, des serveurs C2 sont exploités pour l’exfiltration.

Quels sont les prérequis pour devenir membre d’une Red Team ?

Les membres des Red Teams doivent avoir une connaissance étendue des tactiques, techniques et procédures employées par les attaquants. La plupart d’entre eux s’appuient sur une expérience passée dans l’administration système et le développement logiciel. Cette expérience est importante car ils doivent avoir des connaissances sur l’analyse de code, l’administration système, les réseaux, la programmation, le ‘reverse engineering’ et le développement de menaces. Vous ne pouvez attendre de quelqu’un qu’il profite d’une fonctionnalité s’il ne comprend pas ses mécanismes sous-jacents. Les connaissances dans ces domaines non seulement aident les Red Teams à naviguer incognito dans les réseaux, mais les aident aussi à ne pas être détectées pendant une longue période.

Ces connaissances aident aussi les Red Teams à développer des outils qu’ils utiliseront durant leurs missions. Également, chaque réseau étant différent, il est avantageux pour les membres d’une Red Team d’avoir un large choix d’outils. Des compétences relationnelles sont aussi importantes telles qu’une bonne communication, un solide bon sens et une bonne qualité de rédaction. Elles sont importantes lors de l’élaboration et l’exécution de la phase d’ingénierie sociale de l’attaque. De cette façon, l’équipe optimise ses chances de triompher de tous les contrôles de sécurité qui pourraient lui barrer la route.

Conclusion

Selon le rapport M-Trends 2018, le délai moyen au niveau mondial séparant une attaque de sa découverte effective est de 101 jours. Ce chiffre passe à 175 jours dans la zone EMEA, et à 498 jours dans la region Asie Pacifique. Dans le même temps, en moyenne, une Red Team obtiendra les identifiants d’un administrateur de domaine dans les trois jours suivant une attaque réussie (obtention d’un accès initial à l’environnement ciblé). Sans l’apport de bons mécanismes de détection résultant de la mission réussie d’une Red Team, de vrais attaquants auront tout le temps nécessaire pour explorer l’environnement cible, espionner l’organisation et voler des données critiques.

L’engagement d’une Red Team est particulièrement rentable pour des organisations qui doivent protéger des informations de valeur. Qu’il s’agisse de protéger de la propriété intellectuelle contre de l’espionnage économique ou des données personnelles contre des cybercriminels, beaucoup d’organisations possèdent des données susceptibles d’être ciblées. Les attaquants continueront de faire évoluer leurs tactiques, et les organisations devront s’y adapter. Tester les défenses en conditions réelles par une Red Team est un excellent moyen de faire un pas de plus vers une sécurité accrue. Il vaut mieux obtenir un bon compte rendu d’attaque réussie que faire la une des journaux.