RED WIZARD - UNE INFRASTRUCTURE AUTOMATISÉE ET CONVIVIALE POUR RED TEAM - PARTIE 1

L'auteur : Ben Brücker, spécialiste en sécurité senior et Domain Manager Red Teaming chez Bureau Veritas Cybersecurity.

Où l'obtenir ? https://github.com/SecuraBV/RedWizard

Cet article fait partie d'une série de blogs sur l'assistant rouge. La première partie se concentre sur l'historique de l'outil. Les prochains articles se concentreront sur la mise en œuvre technique et l'extensibilité de l'outil.

QU'EST-CE QUE RED WIZARD ?

Red Wizard est un outil open-source conçu pour fournir une infrastructure reproductible et sécurisée par l'OPSEC pour les opérations de Red Teaming. Red Wizard a été créé pour relever le défi auquel sont confrontées de nombreuses Red Teaming sérieuses, où les déploiements disponibles publiquement sont soit limités, soit peu conviviaux, exigeant du temps et du travail supplémentaires de la part des mainteneurs et des opérateurs de l'infrastructure.

Cet outil automatise le déploiement d'une infrastructure complète comprenant des redirecteurs, des systèmes dorsaux, des relais de Phishing, des machines OSINT, etc. Il est conçu pour être convivial et propose des assistants qui guident les administrateurs et les opérateurs de Red Teaming tout au long du processus de déploiement. L'infrastructure est également auto-documentée, ce qui facilite le partage de tous les détails pertinents avec l'équipe d'opérateurs.

EXEMPLE

Vous trouverez ci-dessous un exemple d'infrastructure de Red Teaming modérément complexe dont la configuration prend environ 10 minutes et le déploiement 30 minutes. Elle comprend des machines OSINT, 2 serveurs de Phishing, une instance CobaltStrike, un collecteur de rappel générique et un backend pour les implants matériels :

Ce diagramme a également été créé par Red Teaming, ce qui facilite le partage d'informations pertinentes avec votre équipe.

CE QUE RED WIZARD PEUT FAIRE

Red Wizard vous aidera à approvisionner vos serveurs et à installer tous les outils, tunnels et paramètres par défaut nécessaires.

Il ne provisionne pas actuellement les serveurs sous-jacents, car chaque entreprise a ses propres processus de mise en service des systèmes. C'est pourquoi il y a 4 exigences de base que vous pouvez automatiser avec terraform par exemple :

Ubuntu 22.04 sur le système de déploiement (votre ordinateur portable ou une VM est parfait)
Ubuntu 20.04 propre sur toutes les machines cibles (supportera 22.04 dans un futur proche)
1 utilisateur de déploiement (configuré pour un accès SSH basé sur une clé sur toutes les machines)
L'utilisateur de déploiement a le même mot de passe sudo sur toutes les machines.

COMPOSANTS ACTUELLEMENT DISPONIBLES PUBLIQUEMENT

Actuellement, les 6 composants suivants sont publiés et sont assez courants dans les opérations de Red Teaming :

Les prochaines versions pourraient inclure

Intégration de RedElk (Red Team SIEM par Outflank)

MitM Phishing (EvilGinx / Modlishka)

Prise en charge de relais non standard (domain fronting, etc.)

COMMENT COMMENCER ?

Pour des instructions détaillées, veuillez suivre le Readme dans le dépôt GitHub. Mais à un niveau élevé, cela se résume à ce qui suit :

PRINCIPES DE CONCEPTION

Nous avons construit cet outil en gardant à l'esprit la résilience, en garantissant une configuration sûre pour l'OPSEC en récupérant tous les éléments clés critiques des serveurs déployés, ce qui vous permet de reconstruire et de continuer à recevoir vos shells même si l'un de vos serveurs s'effondre et brûle. Red Wizard est principalement basé sur Ansible et Docker, ce qui le rend facile à déployer et à gérer.

Les autres principes de conception peuvent être résumés comme suit :

La simplicité l'emporte sur la fantaisie
Sécurité opérationnelle (OPSEC)
Doit être robuste
Pas de boîtes noires magiques
Tout doit être auto-documenté
Facilement extensible
Écouteurs préconfigurés / profils de Phishing
Tout enregistrer

Le déploiement proprement dit suit l'approche éprouvée pour les infrastructures de Red Teaming où vous disposez d'un backend / d'une infrastructure de relais :

Dans ce cas, il y a un serveur de commande et de contrôle avec, par exemple, une instance de gophish. Cette instance de gophish est exposée à l'internet via un relais public. Ce relais décide, sur la base de l'URL et d'autres caractéristiques, s'il s'agit d'un rappel réel ou d'autres scans provenant de l'internet. Un véritable rappel sera transmis au backend, mais pas le reste du trafic Internet, ce qui améliore l'OPSEC de la Red Teaming.

Red Wizard prend en charge de nombreux modes de déploiement, par exemple plusieurs composants qui appellent chacun leur propre relais :

Ou plusieurs composants qui partagent le même relais :

Le prochain billet de blog vous présentera toutes les caractéristiques importantes d'une infrastructure Red Wizard déployée et vous aidera à créer votre premier déploiement.

À PROPOS DE L'AUTEUR

Ben Brücker

Ben Brücker est spécialiste senior en sécurité et Domain Manager Red Teaming chez Bureau Veritas Cybersecurity. Il a étudié l'informatique, la cyber sécurité et l'intelligence artificielle à l'université Radboud de Nimègue. Depuis 8 ans, Ben travaille chez Bureau Veritas Cybersecurity. Il est spécialisé dans le Red Teaming et a mené avec succès de nombreuses assessments.

PLUS D'INFORMATIONS SUR LE RED WIZARD ET LE RED TEAMING

Vous souhaitez en savoir plus sur Red Wizard et nos services de Red Teaming ? Remplissez le formulaire et un expert vous contactera dans un délai d'un jour ouvrable.

First Name

Last Name

Company / Organization

Phone Number

Country

How can we help you?

I give permission to process my data as described in the Privacy Policy and agree to the Terms and Conditions.

I consent to let Bureau Veritas Cybersecurity use this data to provide me with additional information from their services, events or topics that may be of interest to me

A PROPOS DE SECURA

Bureau Veritas Cybersecurity est un expert de premier plan en matière de cybersécurité. Nos clients vont des gouvernements et des soins de santé à la finance et à l'industrie dans le monde entier. Bureau Veritas Cybersecurity propose des services techniques, tels que des évaluations de vulnérabilités, des tests d'intrusion et du Red Teaming. Nous fournissons également des certifications pour les environnements IoT et industriels, ainsi que des audits, des services forensiques et des formations de sensibilisation. Notre objectif est d'accroître votre résilience Cyber.

Bureau Veritas Cybersecurity est une société de Bureau Veritas. Bureau Veritas (BV) est une société cotée en bourse spécialisée dans les tests, l'inspection et la certification. Fondé en 1828, BV emploie plus de 80 000 personnes et est présent dans 140 pays. Bureau Veritas Cybersecurity est la pierre angulaire de la stratégie de cybersécurité de Bureau Veritas.

Pourquoi choisir Bureau Veritas Cybersecurity

Bureau Veritas Cybersecurity est votre expert partner en cybersécurité. Nous aidons les organisations à identifier les risques, à renforcer leurs défenses et à se conformer aux normes et réglementations en matière de cybersécurité. Nos services couvrent les personnes, les processus et la technologie, allant de la formation à la sensibilisation et à l'ingénierie sociale aux conseils en matière de sécurité, de conformité et de tests d'intrusion.

Nous intervenons dans les environnements IT, OT et IoT, et accompagnons aussi bien les systèmes numériques que les produits connectés. Avec plus de 300 professionnels de la cybersécurité à travers le monde, nous combinons une expertise technique approfondie et une présence mondiale. Bureau Veritas Cybersecurity fait partie du Bureau Veritas Group, leader mondial de l'inspection, de la certification et des services aux entreprises.