Термін Red Team прийшов з військового середовища та визначає «дружню» атакуючу команду. Відмінність Red Team операцій від класичного пентесту в першу чергу в регламенті дій і попередженні сторони, що захищається. Також, при «класичному» пентесті найчастіше використовуються «білі списки», обмеження щодо робіт, що проводяться, рівню взаємодії з системою. При проведенні Red Team операцій немає ніяких обмежень, виробляється реальна атака на інфраструктуру: від атак зовнішнього периметра, до спроб фізичного доступу, «жорстких» соціотехнічних технік (не фіксація переходу за посиланням, а, наприклад, повноцінний реверс-шелл). Підхід Red Team найближче співвідноситься з атакою, що таргетує, — APT (Advanced Persistent Threat). Команда Red Team повинна складатися з досвідчених професіоналів з багатим досвідом як побудови ІТ/ІБ інфраструктури, так і досвідом компрометації систем.
Використання конкретного інструментарію в окремому випадку може бути обумовлене специфікою того чи іншого додатка або сервісу і відрізняється від звичайного тестування на проникнення. При проведенні Red Team операцій постає питання командної взаємодії та систематизації отриманих результатів — це і звіти різних інструментальних засобів аналізу та вразливості виявлені в ручному режимі — все це є величезним обсягом інформації, в якому без належного порядку та системного підходу можна упустити щось важливе чи «розгрібати» можливі дублі. Також існує необхідність зведення звітів та їх нормалізація та приведення до єдиного виду. Зазвичай, Red Team операції покривають досить об’ємні інфраструктури, які вимагають застосування спеціалізованого інструментарію:
Цей командний рядок було вимкнено вашим адміністратором…» Зазвичай можна побачити в таких середовищах, як комп’ютери-кіоски. Швидке хакерське рішення полягає в тому, щоб використовувати /k через вікно запуску Windows. Це виконає команду, а потім покаже повідомлення про обмеження, що дозволяє виконати команду.
Хочете знати, чи перебуваєте ви у віртуальній машині?» Запитуйте ключі реєстру та дізнайтеся!!! Якщо з’являться якісь результати, ви перебуваєте у віртуальній машині.
Небагато запутано, але якщо Захисник Windows викликає у вас сильний головний біль, замість того, щоб виключати його (що попереджає користувача), вам слід просто усунути його, видаляючи всі підписи.
Перерахування становить 95% . Однак запуск безлічі сканувань для оцінки середовища дуже гучний. Чому не запитати у сервера DC/DNS всі записи DNS?
Вам набридло завантажувати Sysinternals PsExec.exe під час бічного руху?» У Windows попередньо встановлена найкраща альтернатива. Спробуйте це.
Іноді ви хочете войти на хост через RDP або подібний, але ваш користувач має активний сеанс. Увімкнути кілька сеансів для кожного користувача.
Якщо можливо, живіть за рахунок землі, а не завантажуйте інструменти (з багатьох причин). Справка PowerShell/.NET. Наприклад: простий сканер портів у Powershell.
Ви будете здивовані, що можна дізнатися лише з закладок користувача. Наприклад, внутрішні кінцеві точки, до яких вони мають доступ.
Сьогодні більшість великих організацій використовують веб-прокси. Стандартна підставка завантаження PowerShell не підтримує проксі. Використовуйте цей.
Створення облікових записів ризиковано, коли ви ухиляєтеся від синього, але коли створюєте локального адміністратора, використовуйте якесь миле чаклунство в реєстрі, щоб сховати його.
Пошук некотованих шляхів служби без PowerUp.
Вам набридло, що Windows Defender видаляє mimikatz.exe?» Спробуйте це.
