RED WIZARD - BENUTZERFREUNDLICHE, AUTOMATISIERTE INFRASTRUKTUR FÜR RED TEAMING - TEIL 1

Autor: Ben Brucker, Senior Security Specialist und Domain Manager Red Teaming bei Bureau Veritas Cybersecurity.

Wo Sie es finden https://github.com/SecuraBV/RedWizard

Dies ist ein Teil einer Blogserie über Red Wizard. Der erste Teil befasst sich mit dem Hintergrund des Tools. Weitere Teile werden sich mit der technischen Implementierung und der Erweiterbarkeit des Tools befassen.

WAS IST RED WIZARD?

Red Wizard ist ein Open-Source-Tool, das entwickelt wurde, um eine wiederholbare, OPSEC-gesicherte Infrastruktur für Red Teaming-Operationen bereitzustellen. Red Wizard wurde entwickelt, um die Herausforderung zu bewältigen, mit der viele ernsthafte Red Teams konfrontiert sind. Öffentlich verfügbare Implementierungen sind entweder begrenzt oder nicht benutzerfreundlich und erfordern zusätzlichen Zeit- und Arbeitsaufwand für Infrastrukturadministratoren und -betreiber.

Dieses Tool automatisiert die Einrichtung einer umfangreichen Infrastruktur mit Redirectors, Backend-Systemen, Phishing-Relays, OSINT-Maschinen und mehr. Es ist benutzerfreundlich gestaltet und bietet Assistenten, die Administratoren und Red Team-Mitarbeiter durch den Bereitstellungsprozess führen. Die Infrastruktur ist außerdem selbstdokumentierend, so dass die Weitergabe aller relevanten Details an das Team von Operatoren eine mühelose Aufgabe ist.

BEISPIEL

Nachfolgend finden Sie ein Beispiel für eine mäßig komplexe Red Teaming-Infrastruktur, für die Sie etwa 10 Minuten für die Konfiguration und 30 Minuten für die Bereitstellung benötigen. Sie umfasst OSINT-Maschinen, 2 Phishing-Server, eine CobaltStrike-Instanz, einen generischen Callback-Catcher und ein Backend für Hardware-Implantate:

Dieses Diagramm wird ebenfalls von Red Wizard erstellt, so dass Sie relevante Informationen leicht mit Ihrem Team teilen können.

WAS RED WIZARD LEISTEN KANN

Red Wizard hilft Ihnen bei der Vorbereitung Ihrer Server und der Installation aller erforderlichen Tools, Tunnel und Standardeinstellungen.

Die Einrichtung der zugrundeliegenden Server ist derzeit nicht vorgesehen, da jedes Unternehmen seine eigenen Prozesse für die Einrichtung der Systeme hat. Daher gibt es 4 Grundvoraussetzungen, die Sie mit terraform automatisieren können, zum Beispiel

Ubuntu 22.04 auf dem Bereitstellungssystem (Ihr Laptop oder eine VM ist in Ordnung)
Sauberes Ubuntu 20.04 auf allen Zielrechnern (Unterstützung für 22.04 in naher Zukunft)
1 Deployment-Benutzer (konfiguriert für schlüsselbasierten SSH-Zugang auf allen Rechnern)
Der Deployment-Benutzer hat auf allen Rechnern das gleiche sudo-Passwort

DERZEIT ÖFFENTLICH FREIGEGEBENE KOMPONENTEN

Derzeit sind die folgenden 6 Komponenten veröffentlicht, die für Red Teaming-Einsätze häufig verwendet werden:

Zukünftige Versionen können Folgendes beinhalten:

RedElk-Integration (Red Team SIEM von Outflank)

MitM Phishing (EvilGinx / Modlishka)

Unterstützung für nicht standardmäßige Weiterleitungen (Domain Fronting usw.)

WIE FANGEN SIE AN?

Eine detaillierte Anleitung finden Sie in der Readme-Datei im GitHub-Repository. Aber im Großen und Ganzen läuft es auf das Folgende hinaus:

KONSTRUKTIONSPRINZIPIEN

Wir haben dieses Tool mit Blick auf die Ausfallsicherheit entwickelt, um eine OPSEC-sichere Einrichtung zu gewährleisten, indem wir alle wichtigen Schlüsselmaterialien von den eingesetzten Servern abrufen. So können Sie Ihre Shells wieder aufbauen und weiter empfangen, selbst wenn einer Ihrer Server abstürzt und ausfällt. Red Wizard basiert hauptsächlich auf Ansible und Docker, was die Bereitstellung und Verwaltung erleichtert.

Weitere Designprinzipien lassen sich wie folgt zusammenfassen:

Einfachheit vor Extravaganz
Operative Sicherheit (OPSEC)
Muss robust sein
Keine magischen Black Boxes
Alles muss selbstdokumentierend sein
Leicht erweiterbar
Vorkonfigurierte Listener/Phishing-Profile
Alles protokollieren

Die eigentliche Implementierung folgt dem bewährten Ansatz für Red Teaming-Infrastrukturen, bei denen Sie über eine Backend-/Relay-Infrastruktur verfügen:

In diesem Fall gibt es einen Command-and-Control-Server mit z.B. einer gophish-Instanz. Diese gophish-Instanz ist über ein öffentliches Relais mit dem Internet verbunden. Dieses Relais entscheidet anhand der URL und anderer Merkmale, ob es sich um einen echten Rückruf oder andere Scans des Internets handelt. Ein echter Rückruf wird an das Backend weitergeleitet, anderer Internetverkehr nicht, wodurch die OPSEC von Red Team verbessert wird.

Red Wizard unterstützt viele Einsatzmodi, z.B. mehrere Komponenten, die jeweils ihr eigenes Relais ansprechen:

Oder mehrere Komponenten, die sich dasselbe Relais teilen:

Fortsetzung folgt...

Im nächsten Blog-Beitrag werden wir Ihnen alle wichtigen Funktionen einer implementierten Red Wizard-Infrastruktur vorstellen und Ihnen bei der Erstellung Ihrer ersten Implementierung helfen.

Über den Autor

Ben Brücker

Ben Brücker ist Senior Security Specialist und Domain Manager Red Teaming bei Bureau Veritas Cybersecurity. Er studierte Informatik, Cybersicherheit und Künstliche Intelligenz an der Radboud Universität in Nijmegen. Ben arbeitet seit 8 Jahren bei Bureau Veritas Cybersecurity. Er ist auf Red Teaming spezialisiert und hat viele erfolgreiche Red Teaming-Bewertungen geleitet.

WEITERE INFORMATIONEN ÜBER RED WIZARD UND RED TEAMING

Möchten Sie mehr über Red Wizard und unsere Red Teaming Services erfahren? Füllen Sie das Formular aus und ein Experte wird sich innerhalb eines Arbeitstages mit Ihnen in Verbindung setzen.

First Name

Last Name

Company / Organization

Phone Number

Country

How can we help you?

I give permission to process my data as described in the Privacy Policy and agree to the Terms and Conditions.

I consent to let Bureau Veritas Cybersecurity use this data to provide me with additional information from their services, events or topics that may be of interest to me

ÜBER SECURA

Bureau Veritas Cybersecurity ist ein führendes Unternehmen im Bereich der Cybersicherheit. Unsere Kunden reichen von Behörden und dem Gesundheitswesen bis hin zum Finanzwesen und der Industrie. Secura bietet technische Dienstleistungen wie Schwachstellenbewertungen, Penetrationstests und Red Teaming. Außerdem bieten wir Zertifizierungen für IoT- und Industrieumgebungen sowie Audits, forensische Dienstleistungen und Sensibilisierungsschulungen an.

Unser Ziel ist es, Ihre Cyber-Resilienz zu erhöhen. Wir sind ein Unternehmen von Bureau Veritas. Bureau Veritas (BV) ist ein börsennotiertes Unternehmen, das sich auf Tests, Inspektionen und Zertifizierungen spezialisiert hat. Das 1828 gegründete Unternehmen hat über 80.000 Mitarbeiter und ist in 140 Ländern tätig. Bureau Veritas Cybersecurity ist der Eckpfeiler der Cybersecurity-Strategie von Bureau Veritas.

Warum sollten Sie sich für Bureau Veritas Cybersecurity entscheiden?

Bureau Veritas Cybersecurity ist Ihr kompetenter Partner für Cybersicherheit. Wir unterstützen Unternehmen dabei, Risiken zu identifizieren, ihre Abwehrmaßnahmen zu stärken und Cybersicherheitsstandards und -vorschriften einzuhalten. Unsere Dienstleistungen umfassen Menschen, Prozesse und Technologien, von Sensibilisierungsschulungen und Social Engineering bis hin zu Sicherheitsberatung, Compliance und Penetrationstests.

Wir sind in IT-, OT- und IoT-Umgebungen tätig und unterstützen sowohl digitale Systeme als auch vernetzte Produkte. Mit über 300 Cybersicherheitsexperten weltweit verbinden wir fundiertes technisches Fachwissen mit einer globalen Präsenz. Bureau Veritas Cybersecurity ist Teil der Bureau Veritas Group, einem weltweit führenden Unternehmen im Bereich Prüfung, Inspektion und Zertifizierung.