Scribd Logo
Importer

Bienvenue sur Scribd !

  • Caldera&Grr

    Transféré par

    abdellah chamli
    61 vues26 pages

    Copyright

    © © All Rights Reserved

    Formats disponibles

    DOCX, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    61 vues26 pages

    Caldera&Grr

    Transféré par

    abdellah chamli

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 26

    THREAT HUNTING

    Présentation de CALDERA

    CALDERA est un framework de cybersécurité développée par MITRE qui permet aux red
    team d’économiser du temps, de l’argent et de l’énergie grâce à des évaluations de
    sécurité automatisé.
    Il fait parti des outils d’Adversary Emulation ou émulation de l’adversaire.
    Pour cela les équipes qui utilisent CALDERA un(des) scénario(s) pour tester certains
    aspects Tactiques, Techniques et Procedure (TTP) d’un adversaire.

    A l’image de CALDERA il y a d’autres outils, tel que Cobalt Strike, ATTPwin, Atomic
    RedTeam.

    Le MITTRE met à disposition une matrice via le site attack.mitre.org, l’ensemble des TTP

    Principe d’utilisation de CALDERA

    1- Etape : Charger l’Agent CALDERA sur les hôtes du réseau

    FRM-OPNTSK-ADM-FR 4
    2- Créer un adversaire(attaquant) en lui donnant des capacités
    3- Lancer l’opération

    Installation de CALDERA

    Se connecter à Kali

    Cloner le projet sur github

    Enter dans le dossier

    FRM-OPNTSK-ADM-FR 4
    Installer l’ensemble des prérequis d’installation

    Démarrer le serveur

    Acces à l’interface web

    FRM-OPNTSK-ADM-FR 4
    Connectez-vous avec les informations de login

    FRM-OPNTSK-ADM-FR 5
    Les abilities, représente les différentes techniques d’attaques.
    Adversaries : vous permet de construire des profils d’adversaires(attaquants).
    Un adversaire représente un ensemble de technique.
    Operations : vous permet des lancer les taches.

    Création d’un nouvel agent.

    1. Cliquer sur agent

    Choisir deploy an agent

    FRM-OPNTSK-ADM-FR 5
    Dans le menu déroulant choisir Sancat

    Puis selectionner windows comme plateforme cible

    FRM-OPNTSK-ADM-FR 5
    Spécifier l’IP de votre serveur caldera

    Copier le contenu

    Copier sur le serveur windows cible

    FRM-OPNTSK-ADM-FR 5
    Apres exécution vérifier sur le serveur

    FRM-OPNTSK-ADM-FR 5
    Création d’un profil attaquant

    Sélectionner adversaries

    Cliquer sur New Profile.

    FRM-OPNTSK-ADM-FR 5
    FRM-OPNTSK-ADM-FR 56
    Création d’une opération

    Sélectionner Opération

    Cliquer sur create opération

    FRM-OPNTSK-ADM-FR 5
    Cliquer sur start, pour démarrer

    FRM-OPNTSK-ADM-FR 5
    Rapports

    Allez dans debriefs

    Il vous sera lister l’ensemble des opérations lancées

    FRM-OPNTSK-ADM-FR 5
    Cliquer sur Download report pour la génération du rapport.

    Création d’un groupe APT

    Notre groupe APT, va reprérenter un groupe d’attaquant dont le but (tactique) est de faire
    Allez dans Adversaries, puis new profile

    FRM-OPNTSK-ADM-FR 6
    Remplir les champs sur le nom du profil.

    Cliquer sur create.

    Nous allons maintenant définir les techniques d’attaque.

    Etape 1 -
    T1115 – Clipboard Data
    T1033 – Identify active
    user T1057 – Process
    Discovery T1113 – Screen
    capture
    T1010 – Aplication windonws
    discovery T1518 – Softwore Discovery
    T1082 – System Information Discovery
    T1059.001

    Cliquer sur add Ability pour ajouter une technique

    FRM-OPNTSK-ADM-FR 6
    Enter le nom de la technique ou la référence.

    Cliquer sur save

    FRM-OPNTSK-ADM-FR 6
    Cliquer sur Save pour sauvegarder le profile.

    Création d’une Opération

    FRM-OPNTSK-ADM-FR 6
    213

    FRM-OPNTSK-ADM-FR
    TECHNOLOGIES
    D’AUTOMATISATION

    Installation de Google Rapide Response

    1. Mise à jour des paquets

    2. Installation de mysql -serveur

    Editer le fichier /etc/mysql/my.cnf afin d’y spécifier le max_allowed_packet.

    FRM-OPNTSK-ADM-FR 21
    Redémarrer le service mysql

    3. Création de la base GRR

    Connecter-vous au serveur de base de données

    Création de la base et des acces

    FRM-OPNTSK-ADM-FR 21
    mysql> CREATE USER 'grr'@'localhost' IDENTIFIED BY 'password';

    mysql> CREATE DATABASE grr;

    mysql> GRANT ALL ON grr.* TO 'grr'@'localhost';

    mysql> CREATE USER 'fleetspeak'@'localhost' IDENTIFIED BY 'password';

    mysql> CREATE DATABASE fleetspeak;

    mysql> GRANT ALL ON fleetspeak.* TO 'fleetspeak'@'localhost';

    4. Téléchargement des sources

    wget https://storage.googleapis.com/releases.grr-response.com/grr-server_3.4.6-0_amd64.deb

    FRM-OPNTSK-ADM-FR 21
    5. Installation

    # sudo apt install -y ./grr-server_3.4.6-0_amd64.deb

    FRM-OPNTSK-ADM-FR 21
    Acces tableau de bord

    6. Installation d’un client

    Télécharger le binaire du serveur afin de l’uploader sur le client

    FRM-OPNTSK-ADM-FR 21
    Uploader le fichier sur le client

    Avant l’installation, mettre à jour la résolution local du nom de domaine du serveur GRR.
    Le fichier à mettre à est dans le repertoire
    C:\Windows\System32\drivers\etc

    Editer le fichier comme suit :

    FRM-OPNTSK-ADM-FR 21
    Installer l’installable avec les droits admin.

    Rechercher l’IP du client

    FRM-OPNTSK-ADM-FR 22
    221
    FRM-OPNTSK-ADM-FR

    Vous aimerez peut-être aussi