تیم قرمز
قابلیتهای سازمان خود را برای مقابله با تهدیدهای پیچیده بشناسید!
خدمت تیم قرمز آکادمی راوین، شامل اجرای تاکتیکها و تکنیکهای واقعی مهاجمان سایبری و بررسی میزان آمادگی یا نقاط ضعف موجود در راهکارهای امنیتی سازمان شما است.
در کنار این سازمانها بودهایم
اجرای حملهها، شناسایی نقاط ضعف
و بهینهسازی راهکارهای امنیتی
خدمت تیم قرمز چیست؟
تیم قرمز، یک یا چند سناریوی حملهی واقعی را بر روی سازمان شما شبیهسازی میکند تا اثربخشی راهکارهای دفاعی شما (شامل نیروی انسانی، تجهیزات، معماری و فرایندهای دفاعی مختلف) را بسنجد. به عبارت دیگر، عملیات تیم قرمز حملهی سایبری آگاهانهای است که بهصورت برنامهریزیشده و با استفاده از فرایندها، تکنیکها و تاکتیکهایی که از تجربههای هکرهای کلاه سیاه جمعآوری شده، اجرا میشود.
چرا تیم قرمز؟
پس از اجرای عملیات تیم قرمز، سازمان کارفرما با آسیبپذیریها و نقاط ضعف موجود در لایههای مختلف امنیتی خود (که توسط تیم قرمز شناسایی شده است) آشنا شده و میتواند از اطلاعات بهدستآمده، در راستای بهبود زیرساختهای امنیتی و افزایش آمادگی سازمان در برابر حملههای سایبری پیشرفته یا تیمهای APT بهرهبرداری کند.
تفاوت خدمات تیم قرمز و تست نفوذ
تست نفوذ تمرکز خود را بر روی پیدا کردن تعداد زیادی از آسیبپذیریهای فنی که بهصورت پیشفرض، در زیرساخت یا سامانهها وجود دارد و ممکن است سازمان شما را در برابر یک حملهی سایبری آسیبپذیر کند، اختصاص میدهد. در فرایند تیم قرمز با شبیهسازی حملههای پیشرفته، مجموعه ارزیابیهایی بر روی میزان اثربخشی کل سیستم دفاعی سازمان انجام میشود. به عبارت دیگر، تیم قرمز لایههای مختلف امنیت سازمان را بهصورت جامع بررسی کرده و به دنبال کشف نقطهضعفهای حیاتی موجود در آن است.
عملیات تیم قرمز آکادمی راوین
تیم قرمز آکادمی راوین توانایی شبیهسازی انواع حملههای پیشرفتهی سایبری و برگزاری مانورهای امنیتی در زیرساختهای فناوری اطلاعات و صنعتی را براساس چهارچوب MITRE ATT&CK دارد. جزئیات این خدمت، بنابر نیاز و زیرساخت کارفرما متغیر خواهد بود؛ اما بهطور کلی در ۱۰ گام، به شرح زیر اجرا میشود.
۱
۲
۳
۴
۵
۶
۷
۸
۹
گام اول
دادههای سازمان هدف، گردآوری و تحلیل میشود تا برای طراحی یک حملهی چندمرحلهای و شناسایی داراییهای ارزشمند سازمان (شامل سامانهها و اطلاعات حیاتی) مورد استفاده قرار گیرد. این دادهها از منابع مختلف مرتبط و غیرمرتبط با سازمان کارفرما، جمعآوری خواهد شد.
شناسایی هدف
- OSINT
- IP Ranges
- Applications
- Employees
- Social Networks
- Email Harvesting
- Domains & Subdomains
- Passwords
- Remote Solutions
گام دوم
در این مرحله با استفاده از اطلاعات بهدستآمده از گام قبل، سناریوهایی برای نفوذ به سازمان طراحی و اجرا میشود. این سناریوها با توجه به ویژگیها و قابلیتهای دفاعی سازمان کارفرما طراحی خواهد شد.
دسترسی اولیه
- Social Engineering
- Phishing
- Password Spray
- Exploitation
گام سوم
پس از نفوذ موفق به زیرساخت سازمان، با استفاده از دستورهای سیستمی و همچنین، بارگذاری ابزارها و اسکریپتهای خود تلاش میکنیم تا اطلاعات تیم را تکمیل و دسترسی موجود را پایدارتر کنیم.
اجرا
- Execute Commands
- AD Recon
- Internal Recon
- Drop Tools & Scripts
گام چهارم
در این مرحله نوبت به گسترش دسترسی میرسد؛ بهگونهای که با استفاده از روشهای مختلف تلاش میکنیم تا ابتدا بر روی سیستم قربانی و سپس در سطح زیرساخت، به دسترسی Admin یا Root برسیم.
گسترش دسترسی
- Local Exploitation
- Remote Exploitation
- Password Spray
- Vulnerable Services
- DLL Based Attacks
- Sniffing
- Process Injection
- Social Engineering
- Kerberos Attacks
- Active Directory Attacks
گام پنجم
از لحظهی ورود به زیرساخت، به احتمال زیاد با راهکارهای امنیتی مختلف در زیرساخت سازمان کارفرما روبهرو خواهیم شد. بهاینترتیب، نیاز است تا برای انجام فعالیتهای خود، بدون ایجاد حساسیت در سازمان، راهکارهای امنیتی مختلف، مانند آنتی ویروس، IDS و سایر موارد را دور بزنیم.
دور زدن راهکارهای امنیتی
- Sandbox Evasion
- SIEM Evasion
- EDR Evasion
- Firewall Bypass
- IDS Evasion
- Antivirus Evasion
گام ششم
با توجه به اطلاعات و دسترسیهایی که در مراحل قبل به دست آوردیم، دسترسی خود را در نقاط مختلف شبکه تثبیت میکنیم تا درصورت از بین رفتن یک دسترسی (به دلایل مختلف، مانند لو رفتن دسترسی، بهروزرسانی یا خاموش شدن سامانهی قربانی و غیره) امکان بازگشت به زیرساخت و ادامهی پروژه وجود داشته باشد.
تثبیت دسترسی
- WMI Based Backdoor
- Service Installation
- Process Hallowing
- DLL Hijacking
- Account Manipulation
- Scheduled Tasks
- Auto Start Scripts
- Software Extensions
گام هفتم و هشتم
پس از تثبیت دسترسی، نوبت به شناسایی اهداف داخل زیرساخت سازمان کارفرما و حرکت در شبکه به سمت این اهداف میرسد. در این مرحله تلاش میکنیم تا از سامانههای هدف، دسترسی بگیریم.
شناسایی هدف، مسیر و حرکت خیزشی
- High Privilege Services
- Find Admins
- Infrastructure Zones
- Access Controls
- Network Mapping
- Files & Config Searching
- Tunneling
- Session Hijacking
- Internal Phishing
- Critical Business Services
- Critical Data Stores
گام نهم
اطلاعات مورد نظر را (از هر نوعی که باشد) جمعآوری کرده و آنها را برای خروج از زیرساخت، بهگونهای که موجب حساسیت تیمهای امنیتی نشود، به مکانهای مورد نظر داخلی منتقل خواهیم کرد.
جمعآوری
- Archived Audios
- Sniffed Voices
- Archived Videos
- Infrastructure Zones
- Critical Shared Files
- Collect Databases
گام دهم
· عملیات با استخراج دادههای مورد نظر و تحویل آنها به کارفرما، به اتمام میرسد. در این گام نیز با استفاده از تکنیکهای مختلف Tunneling، تغییر فرمت فایلها و غیره تلاش میشود تا قابلیتهای شناسایی سازمان کارفرما ارزیابی شود.
استخراج
- Exfiltration Over Protocols
- Data Format Obfuscation
- Compress & Segment
- Find Exfiltration Points
- Email Data
- Download From Web Servers
- Upload to Internet
- Scheduled Exfiltration
یک سناریوی تیم قرمز
همانگونه که ذکر شد، با توجه به اطلاعات به دست آمده در گامهای ابتدایی پروژه، سناریوهایی برای نفوذ به زیرساخت کارفرما طراحی و اجرا میشود. مهمترین تفاوت این سناریوها، در روشهای مورد استفاده برای نفوذ، گسترش دسترسی، حرکت خیزشی و استخراج دادههای هدف از زیرساخت کارفرما است. در شکل زیر یک نمونه از این سناریوها نمایش داده شده است.
شناسایی
۱
جمع آوری اطلاعات
ارسال بدافزار
۲
دسترسی به رایانه ی کاربر
گسترش دسترسی
۳
دسترسی به شبکه
دسترسی به منابع
۴
سرور
ذخیره سازی
پایگاه داده
استخراج اطلاعات
۵
اینترنت
در این سناریو پس از جمعآوری اطلاعات اولیه، یک یا چند فایل آلوده برای قربانیان مورد نظر ارسال خواهد شد. پس از آلوده سازی رایانهی کاربران، دسترسی خود را گسترش داده و تلاش میشود تا به سامانههای مختلف ذخیرهسازی داده دست پیدا کنیم. در گام آخر این اطلاعات بر روی یک سرور بیرون از سازمان و در محیط اینترنت بارگذاری میشود. در این سناریو فرض بر این است که هدف تیم قرمز شبیهسازی سرقت دادههای محرمانهی سازمان بوده است.