Quels que soient le périmètre ou les cibles d’une opération Red Team, la furtivité est, sinon indispensable, au moins très souhaitable. Tout le long de la kill chain, il existe d’innombrables écueils qui feront la joie des blue teams et des équipements de détection. Cet article discute de plusieurs astuces qui permettent d’éviter l’embarras de se faire « flagger » avant la fin de la mission.
Parmi les mots-clés à la mode, Red Team revient fréquemment. Dans un numéro hors-série d’octobre 2015 [1], Marc Lebrun décrivait une opération Red Team (qu’on abrègera RT désormais) comme « une attaque ciblée, considérant l'entreprise [cible] comme un tout [et durant laquelle] tous les moyens [ou presque] sont bons pour parvenir à ses fins ».
L’objectif d'un RT est de tester la robustesse d’un SI, en largeur et en profondeur, via des vecteurs d’attaques variés, combinés, et en rebondissant sur des cibles indirectes pour effectuer une action nuisible réaliste. Cet objectif peut être modulé avec profit en fonction du niveau de maturité de la Blue Team.
On peut pour ce faire envisager des accès physiques sur site, et bien évidemment des accès distants via l’exploitation de vulnérabilités techniques, la recherche d’identifiants de connexion aux portails de la cible, ou encore le piégeage des collaborateurs permettant l'obtention d'un accès...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[2] https://nmap.org/nsedoc/scripts/shodan-api.html
[4] https://github.com/oddcod3/Phantom-Evasion
[5] https://ringzer0team.com/d/A-Journey-Into-a-RedTeam-2018.pdf
[6] https://www.botconf.eu/wp-content/uploads/2018/12/2018-C-Ibrahim-RedTeamer-2.0.pdf
[7] https://pentest.blog/what-is-llmnr-wpad-and-how-to-abuse-them-during-pentest/
[8] https://aruljohn.com/mac/001123
[10] https://github.com/topics/auto-exploiter
[11] https://www.botconf.eu/wp-content/uploads/2018/12/2018-Tom-Ueltschi-Sysmon.pdf