تیم قرمز
خدمات تهاجمی

تیم قرمز

قابلیت‌های سازمان خود را برای مقابله با تهدیدهای پیچیده بشناسید!
خدمت تیم قرمز آکادمی راوین، شامل اجرای تاکتیک‌ها و تکنیک‌های واقعی مهاجمان سایبری و بررسی میزان آمادگی یا نقاط‌ ضعف موجود در راهکارهای امنیتی سازمان شما است.

تماس با مشاور

در کنار این سازمان‌ها بوده‌ایم

abrarvan
apk
bors
datin
irancell
mci
maliati
pasargad
phinix
rightel
shatel
spara
tejarat
ayandehbank
Gardeshgari
etellat
fanap
folad
Golgohar
Melat
mahanair
Daraei
shaparak
Tap30
graph
payampardaz

اجرای حمله‌ها، شناسایی نقاط ‌ضعف

و بهینه‌سازی راهکارهای امنیتی

خدمت تست نفوذ چیست؟

خدمت تیم قرمز چیست؟

تیم قرمز، یک یا چند سناریوی حمله‌ی واقعی را بر روی سازمان شما شبیه‌سازی می‌کند تا اثربخشی راهکارهای دفاعی شما (شامل نیروی انسانی، تجهیزات، معماری و فرایندهای دفاعی مختلف) را بسنجد. به عبارت دیگر، عملیات تیم قرمز حمله‌ی سایبری آگاهانه‌ای است که به‌صورت برنامه‌ریزی‌شده و با استفاده از فرایندها، تکنیک‌ها و تاکتیک‌هایی که از تجربه‌های هکرهای کلاه سیاه جمع‌آوری شده، اجرا می‌شود.

چرا تست نفوذ ؟

چرا تیم قرمز؟

پس از اجرای عملیات تیم قرمز، سازمان کارفرما با آسیب‌پذیری‌ها و نقاط ضعف موجود در لایه‌های مختلف امنیتی خود (که توسط تیم قرمز شناسایی شده است) آشنا شده و می‌تواند از اطلاعات به‌دست‌آمده، در راستای بهبود زیرساخت‌های امنیتی و افزایش آمادگی سازمان در برابر حمله‌های سایبری پیشرفته یا تیم‌های APT بهره‌برداری کند.

تفاوت خدمات تیم قرمز و تست نفوذ

تفاوت خدمات تیم قرمز و تست نفوذ

چرا تست نفوذ ؟

تست نفوذ تمرکز خود را بر روی پیدا کردن تعداد زیادی از آسیب‌پذیری‌های فنی که به‌صورت پیش‌فرض، در زیرساخت یا سامانه‌ها وجود دارد و ممکن است سازمان شما را در برابر یک حمله‌ی سایبری آسیب‌پذیر کند، اختصاص می‌دهد. در فرایند تیم قرمز با شبیه‌سازی حمله‌‌های پیشرفته، مجموعه‌ ارزیابی‌هایی بر روی میزان اثربخشی کل سیستم دفاعی سازمان انجام می‌شود. به عبارت دیگر، تیم قرمز لایه‌های مختلف امنیت سازمان را به‌صورت جامع بررسی کرده و به دنبال کشف نقطه‌ضعف‌های حیاتی موجود در آن است.

عملیات تیم قرمز آکادمی راوین

تیم قرمز آکادمی راوین توانایی شبیه‌سازی انواع حمله‌های پیشرفته‌ی سایبری و برگزاری مانورهای امنیتی در زیرساخت‌های فناوری اطلاعات و صنعتی را براساس چهارچوب MITRE ATT&CK دارد. جزئیات این خدمت، بنابر نیاز و زیرساخت کارفرما متغیر خواهد بود؛ اما به‌طور کلی در ۱۰ گام، به شرح زیر اجرا می‌شود.

گام اول

داده‌های سازمان هدف، گردآوری و تحلیل می‌شود تا برای طراحی یک حمله‌ی چند‌مرحله‌ای و شناسایی دارایی‌های ارزشمند سازمان (شامل سامانه‌ها و اطلاعات حیاتی) مورد استفاده قرار گیرد. این داده‌ها از منابع مختلف مرتبط و غیر‌مرتبط با سازمان کارفرما، جمع‌آوری خواهد شد.

شناسایی هدف

  • OSINT
  • IP Ranges
  • Applications
  • Employees
  • Social Networks
  • Email Harvesting
  • Domains & Subdomains
  • Passwords
  • Remote Solutions
گام دوم

در این مرحله با استفاده از اطلاعات به‌دست‌آمده از گام قبل، سناریو‌هایی برای نفوذ به سازمان طراحی و اجرا می‌شود. این سناریو‌ها با توجه به ویژگی‌ها و قابلیت‌های دفاعی سازمان کارفرما طراحی خواهد شد.

دسترسی اولیه

  • Social Engineering
  • Phishing
  • Password Spray
  • Exploitation
گام سوم

پس از نفوذ موفق به زیرساخت سازمان، با استفاده از دستورهای سیستمی و همچنین، بارگذاری ابزارها و اسکریپت‌های خود تلاش می‌کنیم تا اطلاعات تیم را تکمیل و دسترسی موجود را پایدارتر کنیم.

اجرا

  • Execute Commands
  • AD Recon
  • Internal Recon
  • Drop Tools & Scripts
گام چهارم

در این مرحله نوبت به گسترش دسترسی می‌رسد؛ به‌گونه‌ای ‌که با استفاده از روش‌های مختلف تلاش می‌کنیم تا ابتدا بر روی سیستم قربانی و سپس در سطح زیرساخت، به دسترسی Admin یا Root برسیم.

گسترش دسترسی

  • Local Exploitation
  • Remote Exploitation
  • Password Spray
  • Vulnerable Services
  • DLL Based Attacks
  • Sniffing
  • Process Injection
  • Social Engineering
  • Kerberos Attacks
  • Active Directory Attacks
گام پنجم

از لحظه‌ی ورود به زیرساخت، به احتمال زیاد با راهکارهای امنیتی مختلف در زیرساخت سازمان کارفرما روبه‌رو خواهیم شد. به‌این‌ترتیب، نیاز است تا برای انجام فعالیت‌های خود، بدون ایجاد حساسیت در سازمان، راهکارهای امنیتی مختلف، مانند آنتی ویروس، IDS و سایر موارد را دور بزنیم.

دور زدن راهکارهای امنیتی

  • Sandbox Evasion
  • SIEM Evasion
  • EDR Evasion
  • Firewall Bypass
  • IDS Evasion
  • Antivirus Evasion
گام ششم

با توجه به اطلاعات و دسترسی‌هایی که در مراحل قبل به دست آوردیم، دسترسی خود را در نقاط مختلف شبکه تثبیت می‌کنیم تا در‌صورت از بین رفتن یک دسترسی (به دلایل مختلف، مانند لو رفتن دسترسی، به‌روزرسانی یا خاموش شدن سامانه‌ی قربانی و غیره) امکان بازگشت به زیرساخت و ادامه‌ی پروژه وجود داشته باشد.

تثبیت دسترسی

  • WMI Based Backdoor
  • Service Installation
  • Process Hallowing
  • DLL Hijacking
  • Account Manipulation
  • Scheduled Tasks
  • Auto Start Scripts
  • Software Extensions
گام هفتم و هشتم

پس از تثبیت دسترسی، نوبت به شناسایی اهداف داخل زیرساخت سازمان کارفرما و حرکت در شبکه به سمت این اهداف می‌رسد. در این مرحله تلاش می‌کنیم تا از سامانه‌های هدف، دسترسی بگیریم.

شناسایی هدف، مسیر و حرکت خیزشی

  • High Privilege Services
  • Find Admins
  • Infrastructure Zones
  • Access Controls
  • Network Mapping
  • Files & Config Searching
  • Tunneling
  • Session Hijacking
  • Internal Phishing
  • Critical Business Services
  • Critical Data Stores
گام نهم

اطلاعات مورد نظر را (از هر نوعی که باشد) جمع‌آوری کرده و آن‌ها را برای خروج از زیرساخت، به‌گونه‌ای که موجب حساسیت تیم‌های امنیتی نشود، به مکان‌های مورد نظر داخلی منتقل خواهیم کرد.

جمع‌آوری

  • Archived Audios
  • Sniffed Voices
  • Archived Videos
  • Infrastructure Zones
  • Critical Shared Files
  • Collect Databases
گام دهم

· عملیات با استخراج داده‌های مورد نظر و تحویل آن‌ها به کارفرما، به اتمام می‌رسد. در این گام نیز با استفاده از تکنیک‌های مختلف Tunneling، تغییر فرمت فایل‌ها و غیره تلاش می‌شود تا قابلیت‌های شناسایی سازمان کارفرما ارزیابی شود.

استخراج

  • Exfiltration Over Protocols
  • Data Format Obfuscation
  • Compress & Segment
  • Find Exfiltration Points
  • Email Data
  • Download From Web Servers
  • Upload to Internet
  • Scheduled Exfiltration

یک سناریوی تیم قرمز

همان‌گونه که ذکر شد، با توجه به اطلاعات به دست‌ آمده در گام‌های ابتدایی پروژه، سناریو‌هایی برای نفوذ به زیرساخت کارفرما طراحی و اجرا می‌شود. مهم‌ترین تفاوت این سناریو‌ها، در روش‌های مورد استفاده برای نفوذ، گسترش دسترسی، حرکت خیزشی و استخراج داده‌های هدف از زیرساخت کارفرما است. در شکل زیر یک نمونه از این سناریو‌ها نمایش داده شده است.

شناسایی

۱

جمع آوری اطلاعات

ارسال بدافزار

۲

دسترسی به رایانه ی کاربر

گسترش دسترسی

۳

دسترسی به شبکه

دسترسی به منابع

۴

سرور
ذخیره سازی
پایگاه داده

استخراج اطلاعات

۵

اینترنت

در این سناریو پس از جمع‌آوری اطلاعات اولیه، یک یا چند فایل آلوده برای قربانیان مورد نظر ارسال خواهد شد. پس از آلوده سازی رایانه‌ی کاربران، دسترسی خود را گسترش داده و تلاش می‌شود تا به سامانه‌های مختلف ذخیره‌سازی داده دست پیدا کنیم. در گام آخر این اطلاعات بر روی یک سرور بیرون از سازمان و در محیط اینترنت بارگذاری می‌شود. در این سناریو فرض بر این است که هدف تیم قرمز شبیه‌سازی سرقت داده‌های محرمانه‌ی سازمان بوده است.

برای دریافت خدمات،
با ما در ارتباط باشید

شماره تماس با مشاوران آکادمی راوین
۰۲۱-۹۱۶۹۳۰۲۳