RED WIZARD - INFRASTRUTTURA AUTOMATIZZATA E FACILE DA USARE PER RED TEAMING - PARTE 1

Autore: Ben Brücker, Senior Security Specialist e Domain Manager Red Teaming di Bureau Veritas Cybersecurity.

Dove trovarlo? https://github.com/SecuraBV/RedWizard

Questa è una parte di una serie di blog su Red Wizard. La prima parte si concentrerà sul background dello strumento. Le prossime puntate si concentreranno sull'implementazione tecnica e sull'estensibilità dello strumento.

CHE COS'È RED WIZARD?

Red Wizard è uno strumento open-source progettato per fornire un'infrastruttura ripetibile e sicura dal punto di vista OPSEC per le operazioni di Red Teaming. Red Wizard è stato creato per affrontare la sfida di molti Red Team seri, dove le distribuzioni disponibili pubblicamente sono limitate o non sono facili da usare, richiedendo tempo e lavoro aggiuntivi da parte dei manutentori e degli operatori dell'infrastruttura.

Questo strumento automatizza la distribuzione di un'infrastruttura completa con reindirizzatori, sistemi backend, relè di phishing, macchine OSINT e altro ancora. È stato progettato per essere facile da usare, fornendo procedure guidate per guidare gli amministratori e gli operatori del Red Teaming attraverso il processo di distribuzione. L'infrastruttura è anche auto-documentata, rendendo la condivisione di tutti i dettagli rilevanti al team di operatori un compito facile.

ESEMPIO

Qui di seguito è riportato un esempio di infrastruttura di Red Teaming moderatamente complessa, che richiede circa 10 minuti per la configurazione e 30 minuti per la distribuzione. Include macchine OSINT, 2 server di phishing, un'istanza CobaltStrike, un callback catcher generico e un backend per gli impianti hardware:

COSA PUÒ FARE RED WIZARD

Red Wizard la aiuterà a eseguire il provisioning dei suoi server e ad installare tutti gli strumenti, i tunnel e le impostazioni predefinite necessarie.

Al momento non esegue il provisioning dei server sottostanti, in quanto ogni azienda ha i propri processi per lo spinning dei sistemi. Per questo motivo ci sono 4 requisiti di base che può automatizzare, ad esempio con terraform:

• Ubuntu 22.04 sul sistema di distribuzione (il suo computer portatile o una macchina virtuale va bene)
• Ubuntu 20.04 pulito su tutte le macchine di destinazione (supporterà 22.04 nel prossimo futuro)
• 1 utente di distribuzione (configurato per l'accesso SSH basato su chiave su tutte le macchine)
• L'utente di distribuzione ha una password sudo identica su tutte le macchine

COMPONENTI ATTUALMENTE RILASCIATI PUBBLICAMENTE

Attualmente sono stati rilasciati i seguenti 6 componenti che sono abbastanza comuni nelle operazioni di Red Teaming:

Le versioni future potrebbero includere:

• Integrazione con RedElk (Red Team SIEM di Outflank).

• MitM Phishing (EvilGinx / Modlishka)

• Supporto per relè non standard (fronting di dominio, ecc.)

COME INIZIARE?

Per istruzioni dettagliate, segua il Readme nel repository GitHub. Ma ad alto livello si riduce a quanto segue:

PRINCIPI DI PROGETTAZIONE

Abbiamo costruito questo strumento pensando alla resilienza, assicurando una configurazione sicura dal punto di vista OPSEC, recuperando tutto il materiale chiave critico dai server distribuiti, consentendole di ricostruire e continuare a ricevere le sue shell anche se uno dei suoi server si blocca e brucia. Red Wizard è basato principalmente su Ansible e Docker, il che lo rende facile da distribuire e gestire.

Altri principi di progettazione possono essere riassunti come segue:

• La semplicità vince sulla fantasia
• Sicurezza operativa (OPSEC)
• Deve essere robusta
• Nessuna scatola nera magica
• Tutto deve essere auto-documentato
• Facilmente estendibile
• Ascoltatori preconfigurati / profili Phishing
• Registrare tutto

L'implementazione vera e propria segue l'approccio collaudato per le infrastrutture di Red Teaming in cui si dispone di un'infrastruttura backend / relay:

In questo caso c'è un server di comando e controllo con, ad esempio, un'istanza di gophish. Questa istanza gophish è esposta a Internet tramite un relay pubblico. Questo relay decide, in base all'URL e ad altre caratteristiche, se si tratta di un callback reale o di altre scansioni da Internet. Un callback reale sarà inoltrato al backend, mentre il traffico internet non lo sarà, migliorando l'OPSEC del Red Teaming.

Red Wizard supporta molte modalità di distribuzione, ad esempio più componenti che chiamano ciascuno il proprio relè:

Oppure più componenti che condividono lo stesso relè:

AVANTI:

Il prossimo post del blog le mostrerà tutte le caratteristiche importanti di un'infrastruttura Red Wizard distribuita e la aiuterà a creare la sua prima distribuzione.

INFORMAZIONI SULLA SICUREZZA

Bureau Veritas Cybersecurity è uno dei principali esperti di cybersecurity. I nostri clienti spaziano dal settore governativo e sanitario a quello finanziario e industriale in tutto il mondo. Bureau Veritas Cybersecurity offre servizi tecnici, come valutazioni delle vulnerabilità, penetration testing e red teaming. Forniamo anche certificazioni per ambienti IoT e industriali, nonché audit, servizi forensi e formazione di awareness. Il nostro obiettivo è aumentare la sua cyber resilience.

Bureau Veritas Cybersecurity è un'azienda di Bureau Veritas. Bureau Veritas (BV) è un'azienda quotata in borsa specializzata in test, ispezioni e certificazioni. BV è stata fondata nel 1828, ha oltre 80.000 dipendenti ed è attiva in 140 Paesi. Bureau Veritas Cybersecurity è la pietra miliare della strategia di cybersecurity di Bureau Veritas.