Académique Documents
Professionnel Documents
Culture Documents
Si les missions de sécurité classiques, telles que les évaluations de vulnérabilité et les tests de
pénétration, donnent un excellent aperçu de la situation technique d'une entreprise en matière
de sécurité, elles peuvent négliger d'autres aspects qu'un véritable attaquant peut exploiter. En
ce sens, nous pourrions dire que les tests de pénétration conventionnels sont bons pour montrer
les vulnérabilités afin que vous puissiez prendre des mesures proactives, mais qu'ils ne vous
apprennent pas nécessairement comment répondre à une attaque réelle en cours menée par un
adversaire motivé.
Objectifs de ce cours :
Par exemple, si vous deviez effectuer une évaluation de la vulnérabilité d'un réseau, vous
essaieriez normalement d'analyser le plus grand nombre possible d'hôtes, sans toutefois essayer
d'exploiter la moindre vulnérabilité :
• Tests de pénétration
En plus d'analyser chaque hôte à la recherche de vulnérabilités, nous avons souvent besoin de
comprendre leur impact sur notre réseau dans son ensemble. Les tests de pénétration complètent
l'évaluation des vulnérabilités en permettant au pentester d'explorer l'impact d'un attaquant sur
l'ensemble du réseau en effectuant des étapes supplémentaires, notamment
Tenter d'exploiter les vulnérabilités trouvées sur chaque système. Cette étape est importante
car il arrive qu'une vulnérabilité existe dans un système, mais que les contrôles compensatoires
en place empêchent efficacement son exploitation. Cela nous permet également de tester si nous
pouvons utiliser les vulnérabilités détectées pour compromettre un hôte donné.
Effectuer des tâches post-exploitation sur tout hôte compromis, ce qui nous permet de savoir
si nous pouvons en extraire des informations utiles ou si nous pouvons les utiliser pour pivoter
vers d'autres hôtes qui n'étaient pas accessibles auparavant depuis notre position.
Les tests de pénétration peuvent commencer par une analyse des vulnérabilités, tout comme une
évaluation régulière des vulnérabilités, mais ils fournissent des informations supplémentaires sur
la façon dont un attaquant peut enchaîner les vulnérabilités pour atteindre des objectifs
spécifiques. S'ils restent axés sur l'identification des vulnérabilités et la mise en place de mesures
de protection du réseau, ils considèrent également le réseau comme un écosystème à part entière
et la manière dont un attaquant pourrait tirer profit des interactions entre ses composants.
Si nous devions effectuer un test de pénétration en utilisant le même exemple de réseau que
précédemment, en plus de rechercher les vulnérabilités de tous les hôtes du réseau, nous
essaierions de confirmer si elles peuvent être exploitées afin de montrer l'impact qu'un attaquant
pourrait avoir sur le réseau :
En analysant la façon dont un attaquant pourrait se déplacer sur notre réseau, nous obtenons
également un aperçu de base sur les contournements possibles des mesures de sécurité et notre
capacité à détecter un véritable acteur de la menace dans une certaine mesure, limitée parce que
la portée d'un test de pénétration est généralement étendue et que les testeurs de pénétration
ne se soucient pas beaucoup d'être bruyants ou de générer beaucoup d'alertes sur les dispositifs
de sécurité puisque les contraintes de temps sur de tels projets nous obligent souvent à vérifier
le réseau en peu de temps.
Par conséquent, certains aspects des tests de pénétration peuvent différer de manière significative
d'une attaque réelle, par exemple :
Les tests de pénétration sont bruyants : en général, les pentesters ne font pas beaucoup
d'efforts pour essayer de passer inaperçus. Contrairement aux attaquants réels, ils ne se soucient
pas d'être faciles à détecter, car ils ont été engagés pour trouver autant de vulnérabilités que
possible dans autant d'hôtes que possible.
Les vecteurs d'attaque non techniques peuvent être négligés : Les attaques basées sur
l'ingénierie sociale ou les intrusions physiques ne sont généralement pas incluses dans ce qui est
testé.
Assouplissement des mécanismes de sécurité : Lors d'un test d'intrusion régulier, certains
mécanismes de sécurité peuvent être temporairement désactivés ou relâchés pour l'équipe de
pentesting, dans un souci d'efficacité. Bien que cela puisse sembler contre-intuitif, il est essentiel
de se rappeler que les pentesters disposent d'un temps limité pour vérifier le réseau. Par
conséquent, on souhaite généralement qu'ils ne perdent pas leur temps à chercher des moyens
exotiques de contourner les IDS/IPS, les WAF, la tromperie d'intrusion ou d'autres mesures de
sécurité, mais qu'ils se concentrent plutôt sur l'examen des infrastructures technologiques
critiques à la recherche de vulnérabilités.
D'un autre côté, les véritables attaquants ne suivent pas de code éthique et sont pour la plupart
libres de leurs actions. Aujourd'hui, les acteurs les plus importants en matière de menaces sont
connus sous le nom de menaces persistantes avancées (APT), qui sont des groupes d'attaquants
hautement qualifiés, généralement parrainés par des nations ou des groupes criminels organisés.
Ils ciblent principalement les infrastructures critiques, les organisations financières et les
institutions gouvernementales. Elles sont dites persistantes car les opérations de ces groupes
peuvent rester indétectées sur des réseaux compromis pendant de longues périodes.
Si une entreprise est touchée par une APT, serait-elle prête à réagir efficacement ? Pourrait-elle
détecter les méthodes utilisées pour obtenir et maintenir l'accès à ses réseaux si l'attaquant y est
présent depuis plusieurs mois ? Et si l'accès initial a été obtenu parce que John, à la comptabilité,
a ouvert une pièce jointe suspecte dans un courriel ? Et si un exploit de type "zero-day" était
impliqué ? Les tests de pénétration précédents nous préparent-ils à cette éventualité ?
Pour offrir une approche plus réaliste de la sécurité, les missions de l'équipe rouge sont nées.
En prenant le même réseau que précédemment, sur un engagement de l'équipe rouge où le but
est de compromettre le serveur intranet, nous planifierions un moyen d'atteindre notre objectif
en interagissant le moins possible avec les autres hôtes. Pendant ce temps, la capacité de l'équipe
bleue à détecter et à répondre à l'attaque peut être évaluée :
Il est important de noter que l'objectif final de ces exercices ne devrait jamais être de permettre
à l'équipe rouge de "battre" l'équipe bleue, mais plutôt de simuler suffisamment de TTP pour que
l'équipe bleue apprenne à réagir de manière adéquate à une menace réelle en cours. Si nécessaire,
ils peuvent modifier ou ajouter des contrôles de sécurité qui contribuent à améliorer leurs
capacités de détection.
Les engagements de l'équipe rouge améliorent également les tests de pénétration ordinaires en
prenant en compte plusieurs surfaces d'attaque :
Nous nous concentrerons sur les responsabilités de la Red Cell dans cette partie. Vous trouverez
ci-dessous un tableau décrivant les rôles et responsabilités des membres de la Red Team.
Comme pour la plupart des fonctions de la Red Team, chaque équipe et chaque entreprise aura
sa propre structure et ses propres rôles pour chaque membre de l'équipe. Le tableau ci-dessus
n'est qu'un exemple des responsabilités typiques de chaque rôle.
• La Structure de la mission
L'émulation de l'adversaire est une fonction essentielle de la Red Team. Bien qu'elle ne soit pas
obligatoire, elle est couramment utilisée pour évaluer ce qu'un véritable adversaire ferait dans un
environnement en utilisant ses outils et ses méthodologies. La Red Team peut utiliser diverses
cyber kill chains (chaines de mise à mort) pour résumer et évaluer les étapes et les procédures
d'un engagement.
La Blue Team utilise couramment les cyber kill chains pour cartographier les comportements et
décomposer le mouvement de l'adversaire. La Red Team peut adapter cette idée afin d'associer
les TTP (tactiques, techniques et procédures) de l'adversaire aux éléments d'un engagement.
De nombreux organismes de réglementation et de normalisation ont publié leur cyber kill chain.
Chaque kill chain suit à peu près la même structure, mais certaines sont plus approfondies ou
définissent les objectifs différemment. Vous trouverez ci-dessous une petite liste de ces chaînes
d'élimination standard.
La Red Team commence l'engagement en émulant une campagne de phishing contre une liste
d'emails qu'elle a faite, basée sur les noms des employés trouvés sur LinkedIn et un modèle
détecté dans leurs adresses email.
• julie.smith@bank.example.com
• john.watson@bank.example.com
La campagne de phishing a été détectée. La Blue Team a envoyé un e-mail à tous les employés
pour les avertir de la menace en cours. L'attaque a tout de même pu se poursuivre, car aucun
processus n'était en place pour vérifier les PC éventuellement infectés ou même supprimer toute
copie de l'e-mail malveillant des boîtes de réception de tous les utilisateurs.
3. Il en suit des phases d'exploitation et d'installation en utilisant des exploits locaux pour
élever les privilèges sur le BOB-PC,
La Red Team a trouvé des correctifs Windows manquants sur le BOB-PC. L'un d'entre eux
permettait l'exploitation de PrintNightmare.
Bien que l'exploitation publique disponible ait été détectée par de nombreuses solutions AV,
certaines techniques d'évasion AV ont été appliquées avec succès pour éviter de déclencher des
alarmes et obtenir des privilèges SYSTEM.
La Red Team a pu télécharger et exécuter un mimikatz modifié pour extraire les hachages de mots
de passe locaux, y compris le compte administrateur local "Backups".
4. Puis en installant des outils sur les hôtes compromis pour vider les hachages de mots de
passe et effectuer un mouvement latéral,
La Red Team a utilisé une attaque de type Pass-the-Hash contre tous les hôtes du réseau pour
vérifier si l'utilisateur "Backups" pouvait se connecter à d'autres hôtes. Aucune connexion directe
n'a pu être établie avec le serveur de base de données, les politiques de pare-feu étant en place
pour l'empêcher.
Après avoir effectué quelques recherches supplémentaires, un poste de travail appelé DBA-PC a
été identifié. En utilisant Pass-the-Hash, DBA-PC a été compromise et utilisé comme pivot pour
se connecter au serveur de la BD.
Alors que les tentatives de Pass-the-Hash ont déclenché de nombreuses alertes sur les tentatives
de connexion de l'utilisateur "Backups", la Blue Team les a ignorées car elles ont été confondues
avec un processus de sauvegarde par lot qui s'exécute tous les mois.
5. Pour finir par des actions sur les objectifs où une connexion à notre cible est finalement
établie.
1. Introduction
La clé d’une mission réussie est une planification et une communication bien coordonnées
entre toutes les parties concernées. Dans ce cours, nous nous concentrerons sur les
différentes composantes d'un engagement de l'équipe rouge ainsi que sur la planification
et la documentation d'une campagne pour un engagement de l'équipe rouge.
Les missions de la Red Team peuvent être de plusieurs types, notamment :
La clé de voûte suivante d'une mission précise et transparente est une portée bien définie. Le
champ d'application d'une mission varie selon l'organisation, son infrastructure et sa position. Le
champ d'application d'un client définit généralement ce que vous ne pouvez pas faire ou cibler ;
il peut également inclure ce que vous pouvez faire ou cibler. Si les objectifs du client peuvent être
discutés et déterminés avec l'équipe prestataire, le périmètre ne doit être fixé que par le client.
Dans certains cas, la Red Team peut discuter d'un grief relatif à la portée si cela affecte une
mission. Ils doivent avoir une compréhension claire de leur réseau et des implications d'une
évaluation. Les spécificités du champ d'application et la formulation seront toujours différentes.
Voici un exemple de ce à quoi le verbiage peut ressembler dans le champ d'application d'un
client :
Vous trouverez ci-dessous un exemple des objectifs du client d'une organisation mature ayant
une solide posture de sécurité.
Exemple 1 - Entreprises mondiales :
Objectifs :
1. Identifier les mauvaises configurations des systèmes et les faiblesses du réseau.
a. Se concentrer sur les systèmes extérieurs.
2. Déterminer l'efficacité des systèmes de détection et de réponse aux points de
terminaison.
3. Évaluer la posture de sécurité globale et la réponse.
a. SIEM et mesures de détection.
b. Remédiation.
c. Segmentation de la DMZ et des serveurs internes.
4. L'utilisation de cartes blanches est autorisée en fonction du temps d'arrêt et de la
durée.
5. Évaluer l'impact de l'exposition et de l'exfiltration des données.
Scope :
1. L'arrêt du système n'est autorisé en aucune circonstance.
a. Toute forme de DDoS ou DoS est interdite.
b. L'utilisation de tout logiciel malveillant nuisible est interdite ; cela inclut les
ransomwares et autres variantes.
2. L'exfiltration de PII est interdite. L'utilisation de données d'exfiltration arbitraires.
3. Les attaques contre les systèmes situés dans la zone 10.0.4.0/22 sont autorisées.
4. Les attaques contre les systèmes situés dans la zone 10.0.12.0/22 sont interdites.
5. Bean Enterprises surveillera étroitement les interactions avec la DMZ et les systèmes
critiques/production.
a. Toute interaction avec "*.bethechange.xyz" est interdite.
b. Toute interaction avec "*.globalenterprises.thm" est autorisée.
1. Initial Access
Objectif : Explorer les différentes techniques pour obtenir un accès initial à un système et à un
réseau cibles du point de vue d'une Red Team.
1.1. Reconnaissance
Dans une opération Red Team, vous pouvez commencer par un simple nom de société, à partir
duquel vous devez commencer à rassembler des informations sur la cible. C'est là que la
reconnaissance entre en jeu. La reconnaissance (recon) peut être définie comme une enquête ou
une observation préliminaire de votre cible (client) sans l'alerter de vos activités. Si vos activités
de reconnaissance font trop de "bruit", l'autre partie sera alertée, ce qui pourrait diminuer vos
chances de succès.
Les tâches de ce cours couvrent les sujets suivants :
a. Outils intégrés
Cette tâche se concentre sur :
• whois
• dig, nslookup, host
• traceroute/tracert
Un serveur WHOIS écoute les demandes entrantes sur le port TCP 43. L'herbergeur du domaine
est responsable du maintien des enregistrements WHOIS pour les noms de domaine qu'il loue.
whois interrogera le serveur WHOIS pour fournir tous les enregistrements enregistrés. Dans
l'exemple suivant, nous pouvons voir que whois nous fournit :
b. Recherches avancées
Être capable d'utiliser efficacement un moteur de recherche est une compétence cruciale. Le
tableau suivant présente quelques modificateurs de recherche qui fonctionnent avec de nombreux
moteurs de recherche populaires.
Les moteurs de recherche parcourent le web jour et nuit pour indexer les nouvelles pages web et
les nouveaux fichiers. Parfois, cela peut conduire à l'indexation d'informations confidentielles. Voici
quelques exemples d'informations confidentielles :
• Répertoires sensibles
Par exemple, prenez l'exemple de GHDB-ID : 6768, qui utilise le terme de recherche
inurl:/certs/server.key pour savoir si une clé RSA privée est exposée.
• Fichiers vulnérables
Par exemple, nous pouvons essayer de localiser les fichiers PHP en utilisant la requête intitle :
"index of" "*.php", comme le fournit GHDB-ID : 7786.
• Serveurs vulnérables
Par exemple, pour découvrir les consoles Web SolarWinds Orion, GHDB-ID : 6728 utilise la
requête intext : "nom d'utilisateur" intext : "orion core" -solarwinds.com.
c. Médias sociaux
Les sites de médias sociaux sont devenus très populaires, non seulement pour un usage personnel
mais aussi pour un usage professionnel. Certaines plateformes de médias sociaux peuvent révéler
des tonnes d'informations sur la cible. C'est d'autant plus vrai que de nombreux utilisateurs ont
tendance à trop partager des détails sur eux-mêmes et leur travail. Pour n'en citer que quelques-
uns, il est intéressant de vérifier les sites suivants :
• LinkedIn
• Twitter
• Facebook
• Instagram
Les sites de médias sociaux permettent de recueillir facilement les noms des employés d'une
entreprise donnée. De plus, dans certains cas, vous pouvez obtenir des informations spécifiques
qui peuvent révéler des réponses à des questions de récupération de mots de passe ou des idées
à inclure dans une liste de mots ciblée. Les messages du personnel technique peuvent révéler
des détails sur les systèmes et les fournisseurs d'une entreprise. Par exemple, un ingénieur réseau
qui a récemment obtenu une certification Juniper peut faire allusion à l'infrastructure réseau
Juniper utilisée dans l'environnement de son employeur.
d. Annonces d'emploi
Les offres d'emploi peuvent également vous en apprendre beaucoup sur une entreprise. En plus
de révéler des noms et des adresses électroniques, les offres d'emploi pour des postes techniques
peuvent donner un aperçu des systèmes et de l'infrastructure de l'entreprise cible. Les offres
d'emploi les plus populaires peuvent varier d'un pays à l'autre. Veillez à consulter les sites d'offres
d'emploi dans les pays où votre client publiera ses annonces. En outre, il est toujours utile de
vérifier sur leur site Web s'il y a des offres d'emploi et de voir si cela peut révéler des informations
intéressantes.
Notez que la Wayback Machine peut être utile pour retrouver les versions précédentes d'une page
d'offres d'emploi sur le site de votre client.
Censys
La recherche Censys peut fournir beaucoup d'informations sur les adresses IP et les domaines.
Dans cet exemple, nous recherchons l'une des adresses IP vers laquelle cafe.thmredteam.com se
résout. Nous pouvons facilement en déduire que l'adresse IP recherchée appartient à Cloudflare.
Nous pouvons voir des informations relatives aux ports 80 et 443, entre autres ; cependant, il
est clair que cette adresse IP est utilisée pour servir de serveur à des sites Web autres que
cafe.thmredteam.com. En d'autres termes, cette adresse IP appartient à une société autre que
notre client, Organic Cafe. Il est essentiel de faire cette distinction afin de ne pas sonder des
systèmes en dehors du cadre de notre contrat.
Shodan
Pensez à utiliser Shodan dans votre reconnaissance passive !
1.2. Weaponisation
Qu'est-ce que la weaponisation ?
La "weaponisation" est la deuxième étape du modèle de la "kill chain" cybernétique. À ce stade,
l'attaquant génère et développe son propre code malveillant en utilisant des charges utiles
livrables telles que des documents Word, des PDF, etc. [1]. L'étape de weaponisation vise à utiliser
l'arme malveillante pour exploiter la machine cible et obtenir un accès initial.
Dans la plupart des organisations, le système d'exploitation Windows fonctionne, ce qui constitue
une cible probable. La politique d'environnement d'une organisation bloque souvent le
téléchargement et l'exécution des fichiers .exe pour éviter les violations de sécurité. Par
conséquent, les red teamers s'appuient sur la création de charges utiles personnalisées envoyées
via divers canaux tels que les campagnes de phishing, l'ingénierie sociale, l'exploitation de
navigateurs ou de logiciels, les méthodes USB ou Web.
Le graphique suivant est un exemple de weaponisation, où un document PDF ou Microsoft Office
personnalisé est utilisé pour transmettre une charge utile malveillante. La charge utile
personnalisée est configurée pour se connecter à l'environnement de commande et de contrôle
de l'infrastructure de la Red Team.
La plupart des organisations bloquent ou surveillent l'exécution des fichiers .exe dans leur
environnement contrôlé. Pour cette raison, les red teamers s'appuient sur l'exécution de charges
utiles à l'aide d'autres techniques, telles que les technologies de scripting Windows intégrées. Par
conséquent, cette tâche se concentre sur diverses techniques de scripting populaires et efficaces,
y compris :
d. PowerShell (PSH)
PowerShell est un langage de programmation orienté objet exécuté à partir du Dynamic Language
Runtime (DLR) dans .NET, avec quelques exceptions pour des utilisations anciennes.
Les membres de la Red Team s'appuient sur PowerShell pour effectuer diverses activités,
notamment l'accès initial, les énumérations du système et bien d'autres. Commençons par créer
un script PowerShell simple qui imprime "Welcome to the Weaponisation Room !" comme suit,
Write-Output "Welcome to the Weaponization Room!"
• Envoi de courriels
Il s'agit d'une méthode courante à utiliser pour envoyer la charge utile en envoyant un e-mail de
phishing avec un lien ou une pièce jointe. Cette méthode consiste à joindre un fichier malveillant
qui peut être du type de ceux que nous avons mentionnés précédemment. L'objectif est de
convaincre la victime de visiter un site Web malveillant ou de télécharger et d'exécuter le fichier
malveillant pour obtenir un accès initial au réseau ou à l'hôte de la victime.
Les Red Teamers doivent disposer de leur propre infrastructure pour le phishing. En fonction des
exigences de l'engagement de la Red Team, il est nécessaire de configurer diverses options dans
le serveur de messagerie, notamment Domain Keys Identified Mail (DKIM), Sender Policy
Framework (SPF) et l'enregistrement DNS Pointer (PTR).
Les membres de la Red Team pourraient également utiliser des services de messagerie tiers tels
que Google Gmail, Outlook, Yahoo et d'autres ayant une bonne réputation.
Une autre méthode intéressante consisterait à utiliser un compte de messagerie compromis au
sein d'une entreprise pour envoyer des e-mails de phishing au sein de l'entreprise ou à d'autres
personnes. Le courriel compromis pourrait être piraté par hameçonnage ou par d'autres
techniques telles que les attaques par pulvérisation de mot de passe.
• Livraison USB
Cette méthode exige que la victime branche physiquement la clé USB malveillante. Cette méthode
pourrait être efficace et utile lors de conférences ou d'événements où l'adversaire peut distribuer
la clé USB.
Souvent, les organisations mettent en place des politiques strictes telles que la désactivation de
l'utilisation des clés USB dans leur environnement pour des raisons de sécurité. D'autres
organisations l'autorisent dans l'environnement cible.
Les attaques USB courantes utilisées pour la weaponisation des dispositifs USB comprennent
Rubber Ducky et USBHarpoon, le câble USB de chargement, tel que O.MG Cable.
• C:\Unattend.xml
• C:\Windows\Panther\Unattend.xml
• C:\Windows\Panther\Unattend\Unattend.xml
• C:\Windows\system32\sysprep.inf
• C:\Windows\system32\sysprep\sysprep.xml
Dans ces fichiers, vous pouvez rencontrer des informations d'identification :
<Credentials>
<Username>Administrator</Username>
<Domain>thm.local</Domain>
<Password>MyPassword123</Password>
</Credentials>
• Historique de Powershell
Chaque fois qu'un utilisateur exécute une commande à l'aide de Powershell, celle-ci est enregistrée
dans un fichier qui garde en mémoire les commandes passées. Ceci est utile pour répéter
rapidement des commandes que vous avez déjà utilisées. Si un utilisateur exécute une commande
qui inclut un mot de passe directement dans la ligne de commande Powershell, il peut le récupérer
ultérieurement en utilisant la commande suivante à partir d'une invite cmd.exe :
type
%userprofile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_h
istory.txt
Bien que vous ne puissiez pas voir les mots de passe réels, si vous remarquez des informations
d'identification qui valent la peine d'être essayées, vous pouvez les utiliser avec la commande
runas et l'option /savecred, comme indiqué ci-dessous.
runas /savecred /user:admin cmd.exe
• Configuration de IIS
Internet Information Services (IIS) est le serveur web par défaut des installations Windows. La
configuration des sites Web sur IIS est stockée dans un fichier appelé web.config et peut stocker
des mots de passe pour les bases de données ou les mécanismes d'authentification configurés.
Selon la version installée de IIS, nous pouvons trouver web.config dans l'un des emplacements
suivants :
• C:\inetpub\wwwroot\web.config
• C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\web.config
Voici un moyen rapide de trouver les chaînes de connexion aux bases de données dans le fichier
:
type C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\web.config | findstr connectionString
Remarque : Simon Tatham est le créateur de PuTTY (et son nom fait partie du chemin), et non le
nom d'utilisateur pour lequel nous récupérons le mot de passe. Le nom d'utilisateur du proxy
stocké devrait également être visible après avoir exécuté la commande ci-dessus.
Tout comme Putty stocke les informations d'identification, tout logiciel qui stocke des mots de
passe, y compris les navigateurs, les clients de messagerie, les clients FTP, les clients SSH, les
logiciels VNC et autres, disposera de méthodes pour récupérer les mots de passe que l'utilisateur
a enregistrés.
• La réexploitation n'est pas toujours possible : Certains exploits instables peuvent tuer le
processus vulnérable pendant l'exploitation, ce qui vous permet de n'avoir qu'une seule
chance.
• Prendre pied est difficile à reproduire : Par exemple, si vous avez utilisé une campagne
de phishing pour obtenir votre premier accès, la répéter pour regagner l'accès à un hôte
représente tout simplement trop de travail. Votre deuxième campagne pourrait également
ne pas être aussi efficace, vous laissant sans accès au réseau.
• La Blue Team est après vous : Toute vulnérabilité utilisée pour obtenir votre premier accès
peut être corrigée si vos actions sont détectées. Vous êtes dans une course contre la
montre !
Bien que vous puissiez conserver le mot de passe d'un administrateur et le réutiliser pour vous
reconnecter, vous risquez toujours que ces informations d'identification soient changées à un
moment donné. De plus, il existe des moyens plus sournois de récupérer l'accès à une machine
compromise, ce qui complique la vie de la Blue Team.
Si cela semble trop suspect, vous pouvez utiliser le groupe Backup Operators. Les utilisateurs de
ce groupe n'auront pas de privilèges administratifs mais seront autorisés à lire/écrire n'importe
quel fichier ou clé de registre sur le système, en ignorant toute DACL configurée. Cela nous
permettra de copier le contenu des ruches de registre SAM et SYSTEM, que nous pourrons ensuite
utiliser pour récupérer les hachages de mots de passe de tous les utilisateurs, ce qui nous
permettra d'accéder trivialement à n'importe quel compte administratif.
Pour ce faire, nous commençons par ajouter le compte au groupe Backup Operators :
C:\> net localgroup "Backup Operators" thmuser1 /add
Comme il s'agit d'un compte non privilégié, il ne peut pas se connecter à la machine par RDP ou
WinRM, à moins que nous ne l'ajoutions aux groupes Utilisateurs du bureau à distance (RDP) ou
Utilisateurs de la gestion à distance (WinRM). Nous utiliserons WinRM pour cette tâche :
C:\> net localgroup "Remote Management Users" thmuser1 /add
VI. Blue Teaming - Cyber Defense
1. Pyramid Of Pain
Ce concept bien connu est appliqué à des solutions de cybersécurité comme Cisco Security,
SentinelOne et SOCRadar pour améliorer l'efficacité des exercices de CTI (Cyber Threat
Intelligence), de chasse aux menaces et de réponse aux incidents.
Il est important de comprendre le concept de la Pyramid Of Pain (pyramide de la douleur) en tant
que chasseur de menaces, intervenant en cas d'incident ou analyste SOC.
• Adresse IP (facile)
Vous avez peut-être appris l'importance de l'adresse IP dans la salle "Qu'est-ce qu'un réseau ?
Dans ce cours, vous avez appris l'importance de l'adresse IP. Une adresse IP est utilisée pour
identifier tout périphérique connecté à un réseau. Ces périphériques vont des ordinateurs de
bureau aux serveurs et même aux caméras de vidéosurveillance ! Nous nous appuyons sur les
adresses IP pour envoyer et recevoir les informations sur le réseau. Mais nous n'allons pas entrer
dans la structure et la fonctionnalité de l'adresse IP. Dans le cadre de la Pyramide de la douleur,
nous allons évaluer comment les adresses IP sont utilisées comme indicateur.
Dans la Pyramide de la douleur, les adresses IP sont indiquées par la couleur verte. Vous vous
demandez peut-être pourquoi et à quoi on peut associer la couleur verte ?
Du point de vue de la défense, la connaissance des adresses IP utilisées par un adversaire peut
être précieuse. Une tactique de défense courante consiste à bloquer, abandonner ou refuser les
requêtes entrantes provenant d'adresses IP sur votre paramètre ou votre pare-feu externe. Cette
tactique n'est souvent pas à l'épreuve des balles car il est trivial pour un adversaire expérimenté
de se rétablir en utilisant simplement une nouvelle adresse IP publique.
• Noms de domaine (simple)
Remontons la pyramide de la douleur et passons aux noms de domaine. Vous pouvez voir la
transition des couleurs - du vert au sarcelle.
Les noms de domaine peuvent être considérés comme un simple mappage d'une adresse IP à une
chaîne de texte. Un nom de domaine peut contenir un domaine et un domaine de premier niveau
(evilcorp.com) ou un sous-domaine suivi d'un domaine et d'un domaine de premier niveau
(tryhackme.evilcorp.com). Mais nous n'entrerons pas dans les détails du fonctionnement du
système de noms de domaine (DNS). Vous pouvez en apprendre davantage sur le DNS dans ce
cours "DNS en détail".
Les noms de domaine peuvent être un peu plus difficiles à modifier pour l'attaquant, car il devra
probablement acheter le domaine, l'enregistrer et modifier les enregistrements DNS.
Malheureusement pour les défenseurs, de nombreux fournisseurs de DNS ont des normes peu
rigoureuses et proposent des API qui facilitent encore plus la tâche de l'attaquant pour modifier
le domaine.
• TTPs (difficiles)
TTPs est l'abréviation de Tactics, Techniques & Procedures.
Cela inclut l'ensemble de la matrice ATT&CK de MITRE, c'est-à-dire toutes les étapes suivies par
un adversaire pour atteindre son objectif, depuis les tentatives de phishing jusqu'à la persistance
et l'exfiltration des données.
Si vous pouvez détecter les TTP et y répondre rapidement, vous ne laissez pratiquement aucune
chance aux adversaires de riposter. Par exemple, si vous pouviez détecter une attaque de type
"Pass-the-Hash" à l'aide de la surveillance du journal des événements de Windows et y remédier,
vous seriez en mesure de trouver l'hôte compromis très rapidement et d'arrêter le mouvement
latéral à l'intérieur de votre réseau. À ce stade, l'attaquant a deux possibilités :
• Surveillance du système
• Surveillance de l'activité des utilisateurs
• Surveillance des menaces
• Capture d'échantillons de journaux et de trafic
Maintenance
• Mises à niveau
• Mises à jour de sécurité
• Ajustements des règles
• Gestion des licences
• Mises à jour de la configuration
· Attack-Defense - https://attackdefense.com
· CTF Komodo Security - https://ctf.komodosec.com
· CryptoHack - https://cryptohack.org/
· CMD Challenge - https://cmdchallenge.com
· Exploitation Education - https://exploit.education
· Google CTF - https://lnkd.in/e46drbz8
· HackTheBox - https://www.hackthebox.com
· Hackthis - https://www.hackthis.co.uk
· Hacksplaining - https://lnkd.in/eAB5CSTA
· Hacker101 - https://ctf.hacker101.com
· Hacker Security - https://lnkd.in/ex7R-C-e
· Hacking-Lab - https://hacking-lab.com/
· HSTRIKE - https://hstrike.com
· ImmersiveLabs - https://immersivelabs.com
· NewbieContest - https://lnkd.in/ewBk6fU5
· OverTheWire - http://overthewire.org
· Practical Pentest Labs - https://lnkd.in/esq9Yuv5
· Pentestlab - https://pentesterlab.com
· Hackaflag BR - https://hackaflag.com.br/
· Penetration Testing Practice Labs - https://lnkd.in/e6wVANYd
· PentestIT LAB - https://lab.pentestit.ru
· PicoCTF - https://picoctf.com
· PWNABLE - https://lnkd.in/eMEwBJzn
· Root-Me - https://www.root-me.org
· Root in Jail - http://rootinjail.com
· SANS Challenger - https://lnkd.in/e5TAMawK
· SmashTheStack - https://lnkd.in/eVn9rP9p
· The Cryptopals Crypto Challenges - https://cryptopals.com
· Try Hack Me - https://tryhackme.com
· Vulnhub - https://www.vulnhub.com
· W3Challs - https://w3challs.com
· WeChall - http://www.wechall.net
· Zenk-Security - https://lnkd.in/ewJ5rNx2
· Cyberdefenders - https://lnkd.in/dVcmjEw8
· LetsDefend- https://letsdefend.io/