ANTICHAT - Red/Blue Team – детальный обзор

Вступление

Мир инфобеза постоянно расширяется, и пентест набирает все больше и больше популярности. Только на античат можно найти сотни статей о данной теме. Но вот редтиминг и блютиминг почему-то не так явно освещается, а особенно в СНГ сегменте. Из-за этих размышлений, я решил написать статью, которая расставит все точки над и, а также даст гибкое представление о данной области.

Что такое Red и Blue Team. В чем разница?

Red и Blue Team- появилась задолго до пентеста, из-за того, что её истоки- военные. В определенный момент глав. командующие осознали, что для лучшей защиты нужно атаковать собственную сторону, чтобы не только найти слабые места, которые затем можно было бы защитить лучше, но и тренировать навыки атакующих. Эта идея была переделана в "Военные игры", где защитники или дружественные силы обозначались Синей командой (Blue Team) а силы атакующего – Красной (Red Team).

И, несмотря на свой "наступательный" характер, Red Team является отличным защитником. Они позволяют организациям лучше защищать себя от хакерских атак, ведь пытаются их с точностью симулировать.

"Атака - это секрет защиты; защита - это планирование нападения"

Услуги Red Team используют в основном крупные компании, которые уже: во-первых сталкивались с подобными аудитами безопасности, и предоставляют услуги в сфере хранения данных, финансов и так далее (банки, провайдеры, IT компании). Данные аудиты проводятся более кропотливо и занимают больше времени чем пентест. Из-за такой усердной работы, специалист обязан знать больше чем статистический пентестер, и понимать принцип работы тестируемого объекта, ведь все чаще встречается такой «специалист инфобеза», который специалист только по скриптам и утилитам, то есть скрипт-киди.

Если Red Team имеет не постоянный характер, то Blue Team зачастую является частью SOC. Security Operation Center ( Оперативный Центр Безопасности) анализирует сетевой трафик (используя различные утилиты), реагирует на атаки, и пытается как-то их предотвратить и предугадать .

Но существует не только 2 команды. В некоторых ситуациях, требуется усилия обоих команд, и именно так появились Green, Yellow, Purple Team:

https://forum.antichat.xyz/attachments/4859979/1.png

Обратить внимание хочу именно на Purple Team, ведь Orange и Green больше относится к софтдевелоперам.

Purple Team – объединение умений Red и Blue Team. Обе команды работают вместе, чтобы обеспечить полный аудит. Красная команда предоставляет подробные журналы всех выполненных операций, а синяя команда полностью документирует все корректирующие действия, которые были предприняты для решения проблем, обнаруженных в ходе тестирования. Purple Team стал обычным явлением в мире безопасности в течение последних нескольких лет. Purple Team – может быть консалтинговой группой, привлеченная для проведения аудита, так и сотрудниками компании напрямую, но они не концентрируются исключительно на нападении или защите.

Чем Red Team’инг отличаются от Pentest’a

https://forum.antichat.xyz/attachmen...3067400030.png

Пентест в основном, проверяет сети, веб-сервисы и системы на уязвимости. Также, пентест отдельно проводит аудит беспроводных точек доступа.

Red Team, в свою очередь, пытается проникнуть внутрь/получить информацию любим путем. Если к примеру, в пентесте используются сканеры и умение «копаются руками», то в Red Team’инге используют социальную инженерию, получение несанкционированного физического доступа нахождение уязвимости нулевого дня и т.д.

То есть, Red Team, не только проводит полный аудит веб-приложения/сервера, но и специализируется на «локпикинге» (вскрытие замков), взлом камер наблюдения, и так далее.

Примеры использования Red и BlueTeam’инга

Вот примерно чем занимается Red Team:

Сотрудник Red Team, устанавливает анализатор ESPKey ( документация https://www.redteamtools.com/support/ESPKey Tool Manual v1.0.0.pdf).

https://forum.antichat.xyz/attachmen...6720420f5c.png

ESPKey

https://forum.antichat.xyz/attachmen...3c1274e76e.png

Место установки

Логический анализатор снифит входные данные, которые нужны для дальнейшего создания поддельного бейджика, используя Proxmark 3 RDV4 к примеру.

https://forum.antichat.xyz/attachmen...c651b93a27.png

Прикинутся техническим консультантом по обслуживанию лифтов – наилучший вариант, для проникновения в здание. Такие специалисты не вызовут подозрений, зачастую они не обязаны иметь определенную форму, и так же их не заподозрят, если они будут ковыряться, что-то менять и т.д. Самое примечательное, они с легкостью могут получить ключ от желаемой двери, аргументируя это с, к примеру, тестированием новых компонентов в лифте, проверки напряжения на разных участках и так далее.

https://forum.antichat.xyz/attachmen...3067037865.png

Так же интересное выступления об эксплуатировании лифтов:

Создание ложного мнения – любимый метод хакеров. Поэтому, специалисты Red Team, так же пытаются втереться в доверие к персоналу. К примеру взять интересные инцедент в Алабаме: Police: Man Steals Beer By Posing As Delivery Driver.Если вкратце, то воришка приобрел мерч компании по производству напитков, пришел в магазин с огромной тележкой, и вышел с 20+ упаковками пива. Может это и выглядит забавно, но хакер может использовать точно такую же стратегию. Прийти в костюме, представиться консультантам по безопасности, даже предъявить документы, и с легкостью выйти с нужной информации на флешке. В таком случаи, хакеру нужно лишь сделать бейджик компании, которая предоставляет услуги защиты данному офису:

https://forum.antichat.xyz/attachmen...44801afa41.png

Нахождение 0-day уязвимостей. К примеру, специалист решили проникнуть в систему через роутер. Что предпримет Red Team’ер? Конечно же будет копаться в новых прошивках, подсматривая тем временем уже запатченые уязвимости. На такое пентестер вряд ли пойдет, а вот хакер проделать сможет. Но такое случается редко, потому что не у каждого хватит терпимости и умений для нахождения уязвимостей такого рода.

https://forum.antichat.xyz/attachmen...3067309811.png

Ну и как же без локпикинга. Девиант Оллам, сотрудник Red Team Alliance, известный как лучший в этом деле, рассказывает тут

о проникновении, используя не только замок, но и ручку двери, щели и все что только возможно:

С Blue Team’ом все попроще. Их главной функцией является мониторинг трафика различными путями. Но также, они предотвращают атаки описанные выше. Поэтому проводят тренинги для сотрудников компании, устанавливают механизмы для предотвращения атак:

https://forum.antichat.xyz/attachmen...22fbc47d44.png

Dynamic door bottom

Этот Динамический дверной рычаг при закрытии двери, блокирует щель снизу, и не дает доступа взломщику к дверной ручки.

https://forum.antichat.xyz/attachmen...0a299977f5.png

Blocking Shroud

Этот вариант более простой, и не дает доступа хакеру к ручке с верхней щели двери.

Purple Team - работает уже не наугад. Как я уже описывал выше, Purple Team – группа из специалистов Red и Blue Team. Работа всегда сплоченная, и сотрудники Blue Team могут предупреждать / давать идеи о возможной защите. Как вы уже понимаете Purple Team – идеальная команда.

Заключение

Red, Blue Teams играют важную роль в обеспечении безопасности и сохранности систем. Без постоянного тестирования с использованием новейших уязвимостей, компания может подвергнуть большому риску не только свою безопасность, а и конфиденциальные данные своих клиентов.

Также хочу добавить пару книг, которые помогут вам углубиться в тонкости технической части Red/Blue Team’a:

Red.

infosecn1nja/Red-Teaming-Toolkit
https://doc.lagout.org/rtfm-red-team-field-manual.pdf

Blue.

chrisjd20/Blue-Team-Cheat-Sheets
https://t.me/freedom_fox/3807

Спасибо за внимание!