RED WIZARD - INFRAESTRUCTURA AUTOMATIZADA Y FÁCIL DE USAR PARA RED TEAM - PARTE 1

Autor: Ben Brücker, Especialista Senior en Seguridad y Director de Dominio de Red Teaming en Bureau Veritas Cybersecurity.

¿Dónde conseguirlo? https://github.com/SecuraBV/RedWizard

Esto forma parte de una serie de blogs sobre Red Wizard. La primera parte se centrará en los antecedentes de la herramienta. Las próximas entregas se centrarán en la implementación técnica y la extensibilidad de la herramienta.

¿QUÉ ES RED WIZARD?

Red Wizard es una herramienta de código abierto diseñada para proporcionar una infraestructura repetible y segura desde el punto de vista OPSEC para las operaciones de Red Teaming. Red Wizard se creó para abordar el reto al que se enfrentan muchos Red Teams serios, en los que los despliegues disponibles públicamente son limitados o no son fáciles de usar, lo que requiere tiempo y trabajo adicionales por parte de los mantenedores y operadores de la infraestructura.

Esta herramienta automatiza el despliegue de una infraestructura completa con redireccionadores, sistemas backend, relés de phishing, máquinas OSINT y mucho más. Está diseñada para ser fácil de usar, proporcionando asistentes para guiar a los administradores y operadores de Red Team a través del proceso de despliegue. La infraestructura también es autodocumentada, haciendo que compartir todos los detalles relevantes con el equipo de operadores sea una tarea sin esfuerzo.

EJEMPLO

A continuación encontrará un ejemplo de una infraestructura de Red Teaming moderadamente compleja que tarda aproximadamente 10 minutos en configurarse y 30 minutos en desplegarse. Incluye máquinas OSINT, 2 servidores de Phishing, una instancia de CobaltStrike, un captador de llamadas de retorno genérico y un backend para implantes de hardware:

QUÉ PUEDE HACER RED WIZARD

Red Wizard le ayudará a aprovisionar sus servidores e instalar todas las herramientas, túneles y valores predeterminados necesarios.

Actualmente no aprovisiona los servidores subyacentes, ya que cada empresa tiene sus propios procesos para poner en marcha los sistemas. Por eso hay 4 requisitos muy básicos que puede automatizar, por ejemplo, con terraform:

• Ubuntu 22.04 en el sistema de despliegue (Su portátil o una VM está bien)
• Ubuntu 20.04 limpio en todas las máquinas de destino (Soportará 22.04 en un futuro próximo)
• 1 usuario de despliegue (Configurado para acceso SSH basado en claves en todas las máquinas)
• El usuario de despliegue tiene idéntica contraseña sudo en todas las máquinas

COMPONENTES ACTUALMENTE LIBERADOS PÚBLICAMENTE

Actualmente están liberados los siguientes 6 componentes que son bastante comunes en las operaciones de Red Teaming:

Las futuras versiones podrían incluir:

• Integración de RedElk (Red Team SIEM por Outflank)

• MitM Phishing (EvilGinx / Modlishka)

• Soporte para relés no estándar (domain fronting etc)

¿CÓMO EMPEZAR?

Para obtener instrucciones detalladas, siga el Léame en el repositorio de GitHub. Pero a alto nivel se reduce a lo siguiente:

PRINCIPIOS DE DISEÑO

Construimos esta herramienta pensando en la resiliencia, garantizando una configuración a prueba de OPSEC mediante la recuperación de todo el material clave crítico de los servidores desplegados, lo que le permite reconstruir y seguir recibiendo sus conchas incluso si uno de sus servidores se bloquea y se quema. Red Wizard se basa principalmente en Ansible y Docker, lo que facilita su despliegue y gestión.

Otros principios de diseño pueden resumirse como sigue:

• La simplicidad triunfa sobre la extravagancia
• Seguridad operativa (OPSEC)
• Debe ser robusta
• Sin cajas negras mágicas
• Todo debe ser autodocumentable
• Fácilmente ampliable
• Escuchas / perfiles de Phishing preconfigurados
• Registrarlo todo

El despliegue real sigue el enfoque probado para las infraestructuras de Red Teaming en las que se dispone de una infraestructura de backend / relé:

En este caso existe un servidor de Mando y Control con, por ejemplo, una instancia de gophish. Esta instancia de gophish está expuesta a Internet a través de un relé público. Este relé decide, basándose en la URL y otras características, si se trata de una devolución de llamada real o de otras exploraciones desde Internet. Una devolución de llamada real será reenviada al backend, el resto del tráfico de internet no, mejorando la OPSEC del Red Team.

El Asistente Rojo soporta muchos modos de despliegue, por ejemplo múltiples componentes que llaman cada uno a su propio relé:

O varios componentes que comparten el mismo relé:

SIGUIENTE:

La próxima entrada del blog le mostrará todas las características importantes de una infraestructura Red Wizard desplegada y le ayudará a crear su primer despliegue.

ACERCA DE LA CIBERSEGURIDAD

Bureau Veritas Cybersecurity es un expert líder en ciberseguridad. Nuestros clientes abarcan desde la administración y la sanidad hasta las finanzas y la industria en todo el mundo. Bureau Veritas Cybersecurity ofrece servicios técnicos, como assessment de vulnerabilidades, Penetration Testing y Red Teaming. También proporcionamos certificación para entornos IoT e industriales, así como auditorías, servicios forenses y formación de awareness. Nuestro objetivo es aumentar su ciberresiliencia.

Bureau Veritas Cybersecurity es una empresa de Bureau Veritas. Bureau Veritas (BV) es una empresa que cotiza en bolsa especializada en ensayos, inspección y certificación. BV fue fundada en 1828, cuenta con más de 80.000 empleados y está presente en 140 países. Bureau Veritas Cybersecurity es la piedra angular de la estrategia de ciberseguridad de Bureau Veritas.