The S-Unit

Hoe gaat een red teaming in zijn werk?

The S-Unit biedt red teaming diensten aan op basis van modules. Hierdoor is het mogelijk een red teaming af te stemmen op de wensen en informatiebehoefte van onze klanten. De modules zijn gebaseerd op het TIBER-NL raamwerk en zijn onderverdeeld in vier fasen. Onderstaand schema toont de beschikbare modules per fase.

1. Voorbereidingsface

1.1 Briefing

Tijdens de briefing worden verschillende operationele aspecten van het project met de opdrachtgever afgestemd. Het gaat in ieder geval om de volgende zaken:

  • Kennismaking tussen betrokken teamleden van de opdrachtgever en The S-Unit;
  • Afstemming van een projectplanning, bestaande uit:
    • Mijlpalen voor de verschillende modules;
    • Tussentijdse bijeenkomsten om de voortgang van het project te bespreken;
  • Maken van operationele afspraken omtrent communicatie en escalatie paden;
  • Verificatie van de vrijwaringsverklaring;
  • Bespreken van openstaande actiepunten.

 

1.2 Scoping

In de scoping worden mogelijke einddoelen voor aanvalsscenario’s met een grote impact binnen en buiten een organisatie gedefinieerd.Dit gebeurt in drie stappen:

  1. Bepalen van de kritieke functies
  2. Bepalen van de kritieke systemen
  3. Bepalen van mogelijke vlaggen

Kritieke functies zijn de personen, processen en technologieën welke cruciaal zijn voor het leveren van een kerndienst van een organisatie en waarbij het verstoren van de functie leidt tot:

  • Impact op de stabiliteit van de organisatie;
  • Impact op de positie van de organisatie in de markt;
  • Impact op de klanten van de organisatie;
  • Maatschappelijke impact.

Kritieke systemen zijn de IT-systemen welke onderliggend zijn aan de kritieke functies. The S-Unit zal pogen aan te tonen dat het mogelijk is de kritieke functies aan te tasten door misbruik te maken van de onderliggende kritieke systemen. Hierbij wordt een vooraf afgesproken actie uitgevoerd. Dit wordt het veroveren van de vlag genoemd. Afhankelijk van de afgesproken actie kan gebruik worden gemaakt van dummy data als vlag. Dit kan wenselijk zijn wanneer de vlag zeer gevoelige informatie betreft.

 

2. Targeted threat intelligence fase

2.1 Digitale voetafdruk

Deze module wordt gebruikt om te bepalen welke aanvalstechnieken potentieel gebruikt kunnen worden tegen een organisatie. Ter illustratie: toegang krijgen tot het interne netwerk via een virtuele desktop is alleen mogelijk als de betreffende organisatie daadwerkelijk gebruik maakt van virtuele desktops. Om een scenario op te kunnen stellen wordt de digitale voetafdruk van de organisatie in kaart gebracht aan de hand van publieke en gesloten bronnen op het internet en het deep web. De digitale voetafdruk refereert naar alle informatie die digitaal wordt prijsgegeven, en welke voor een aanvaller relevant kan zijn om de organisatie binnen te dringen. Denk hierbij aan domeinnamen, IP-adressen en e-mailadressen, maar ook aan informatie welke relevant is voor het fysiek binnendringen, zoals informatie met betrekking tot ingangen van panden, type van beveiligingspoortjes en uiterlijk van toegangspassen. Dit kan gaan om informatie welke de organisatie zelf prijsgeeft, maar ook om informatie welke door werknemers en derde partijen wordt gedeeld.

 

2.2 Dreigingsactoren

Binnen deze module wordt informatie verzameld welke gebruikt kan worden om de potentiële aanvalstechnieken te sorteren op relevantie. Dit gebeurt door het in kaart brengen van dreigingsactoren die zich mogelijk tot een organisatie richten en hun modus operandi. Voor het selecteren van relevante dreigingsactoren wordt gekeken naar Advanced Persistent Threats (APT’s). Een APT is een aanvalsgroepering welke meerdere aanvallen op verschillende organisaties heeft uitgevoerd met een hoge mate van technische complexiteit. Door te kijken naar verschillende karakteristieken van historische doelwitten van een APT kunnen groeperingen worden aangewezen welke zich mogelijk tot een organisatie zouden richten. Voor ieder van deze relevante APT’s wordt de modus operandi, ook wel tactics, techniques en procedures (TTP’s), onderzocht. Dit geeft een beeld van de capaciteiten van mogelijke tegenstanders van de organisatie. Dit beeld kan vervolgens gebruikt worden om te bepalen welke TTP’s het meest relevant zijn om te testen tijdens de red teaming.

 

2.3 TTI-rapportage

Indien u gebruik wenst te maken van de digitale voetafdruk en/of de dreigingsactoren module, dan communiceren wij onze tussentijdse bevindingen in de TTI-rapportage module. De TTI-rapportage module betreft een tussentijdse rapportage met de resultaten van de scoping module en de TTI-fase. Deze rapportage bevat de volgende elementen:

  • Managementsamenvatting;
  • Business overview;
  • Kritieke functies en systemen;
  • Digitale voetafdruk;
  • Dreigingsactoren;
  • Voorbeeld aanvalsscenario’s.

 

3. Red Team test fase

3.1 Testplan

Het testplan beschrijft in grote lijnen het aanvalsscenario dat uitgevoerd gaat worden. Een testplan bevat de volgende elementen:

  • Het einddoel van het scenario;
  • Het kritieke systeem dat misbruikt zal worden om dit doel te bereiken;
  • De dreigingsactor welke gesimuleerd wordt;
  • De TTP’s welke gebruikt zullen worden;
  • Milestones en deadlines voor onderdelen van het scenario;
  • Mogelijke leg-ups voor de verschillende modules;

De TTP’s welke worden vastgelegd in het testplan vormen een richtlijn. Het is vooraf niet exact te bepalen welke technieken benodigd zijn om het doel te behalen en of iedere techniek van toepassing is op de omgeving van de organisatie. Indien de TTP’s uit het testplan ontoereikend zijn om het doel te behalen zullen additionele TTP’s worden gebruikt. Indien een TTP niet van toepassing is op de omgeving kan een vervanging worden gebruikt.

3.2 Reconnaissance

Reconnaissance betreft het verzamelen van de benodigde informatie voor het binnendringen van de organisatie middels de in het testplan gedefinieerde technieken. Welke informatie benodigd is hangt af van de gekozen techniek voor het verkrijgen van initiële toegang. Ter illustratie vergelijken we twee technieken: het versturen van een phishingdocument en het plaatsen van een drop device. Onderstaande tabel toont voor beide technieken voorbeelden van informatie die relevant kan zijn.

Phishingdocument Drop device
  • E-mailadressen van doelwitten
  • Telefoonnummers van doelwitten
  • Uiterlijk van e-mail signatures binnen de organisatie
  • Gebruikte antivirussoftware
  • Type desktop (fysiek/virtueel)
  • Type toegangspoortjes
  • Uiterlijk van toegangspassen
  • Plattegrond van het gebouw
  • Tijdstip van "spitsuur" bij de ingang
  • Aanwezigheid van publieke ruimtes
  • Aanwezigheid van netwerkpoorten

Informatievergaring in deze module kan onder andere plaatsvinden door:

  • Het raadplegen van openbare en gesloten bronnen op het internet en deep web;
  • Het uitvoeren van actieve scans op infrastructuur van een de organisatie;
  • Het uitvoeren van social engineering-aanvallen op medewerkers van de organisatie;
  • Het fysiek bezoeken van (kantoor)locaties van de organisatie.

Vergeleken met de Digitale voetafdruk module wordt in deze module gezocht naar veel specifiekere informatie met een groter arsenaal aan technieken. Dit laatste maakt ook dat de informatievergaring in deze fase van het project gedetecteerd kan worden door het blue team.

3.3 In

De In module betreft het voorbereiden en uitvoeren van een aanval om initieel toegang te verkrijgen tot de organisatie. Zowel de voorbereiding als uitvoering zijn sterk afhankelijk van het gedefinieerde scenario. Ter illustratie vergelijken we dezelfde twee technieken als in de Reconnaissance module: het versturen van een phishingdocument en het plaatsen van een drop device.

Phishingdocument Drop device

Voorbereiding

  • Opzetten van command & control infrastructuur.
  • Uitkiezen van doelwitten.
  • Creëren van:
    • Malware.
    • Phishing document.
    • Phishing website.
    • Digitale alter ego's (e-mail, telefoonnummer, social media-accounts, etc.).
    • Persistence-machanisme om toegang tot het geïnfecteerde systeem te behouden.
  • Opzetten van command & control infrastructuur.
  • Bouwen van een drop device (hardware en software).

Uitvoer

  • Versturen van phishing.
  • Nabellen van doelwitten.
  • Installeren van het persistence-mechanisme.
  • Fysiek binnendringen.
  • Aansluiten van drop device op het netwerk.

3.4 Through

De Through module betreft de fase tussen het moment waarop initiële toegang wordt verkregen en het moment waarop het einddoel van het scenario uitgevoerd kan worden. Binnen deze fase wordt gewerkt aan het:

  • Behouden van toegang tot de omgeving door:
    • Het voorkomen van detectie;
    • Het compromitteren van additionele systemen om een sterkere positie in het netwerk te verkrijgen;
  • Verhogen van rechten in de omgeving;
  • Verzamelen van informatie welke vereist is om vlag te veroveren.

Omdat het voorkomen van detectie een belangrijke rol speelt wordt geen gebruik gemaakt van geautomatiseerde scans. Daarnaast wordt door de opdrachtgever geen technische informatie met betrekking tot de IT-omgeving gedeeld. Het red team weet hierdoor bijvoorbeeld niet:

  • Waar de kritieke systemen zich in het netwerk bevinden.
  • Welke netwerkpaden toegang geven tot kritieke systemen.
  • Hoe authenticatie voor kritieke systemen is ingericht.

Om toegang te krijgen tot kritieke systemen verzamelt het red team zelf de benodigde technische informatie middels de verkregen toegang tot de omgeving. Afhankelijk van de vlag kan daarnaast ook procesmatige informatie vereist zijn. Ter illustratie, wanneer de vlag gedefinieerd is als “het uitvoeren van een malafide betaling van €5,00 middels applicatie X”, dan is het verkrijgen van toegang tot applicatie X vaak onvoldoende om daadwerkelijk een malafide betaling uit te voeren. Dit vereist namelijk een begrip van het betalingsproces en de rol die systeem X in dit proces speelt. Pas wanneer duidelijk is hoe betalingen worden geïmporteerd, wie deze goedkeurt en welke additionele controles er plaatsvinden kan daadwerkelijk een betaling gedaan worden. Deze factoren maken dat de Through module, hoewel deze lijkt op een penetratietest, een stuk tijdsintensiever is.

3.5 Out

Met de Out module wordt de impact van de aanval aangetoond door het veroveren van de vlag. Wanneer een vlag veroverd wordt door het red team is het scenario afgerond. Een scenario kan ook afgerond zijn wanneer de geplande tijd is verstreken of wanneer de opdrachtgever vraagt het scenario voortijdig te stoppen.

 

4. Afsluitingsfase

4.1 Red Team test rapportage

Na afronding van de red team test fase zal een rapportage met resultaten worden opgeleverd met gedetailleerde informatie over de uitvoering, uitkomsten en adviezen.

4.2 Purple Teaming

Tijdens een Purple teaming workshop werkt The S-Unit samen met het blue team van de opdrachtgever om de detectie en responscapaciteiten van een organisatie te verbeteren.  Het blue team zijn alle individuen die verantwoordelijk zijn voor detectie en respons voor bij een organisatie. Dit kan bijvoorbeeld gaan om een intern security operations center (SOC) maar ook om SOC-diensten welke afgenomen worden bij een derde partij. Tijdens een interactieve sessie herhaalt The S-Unit verschillende acties uit de uitgevoerde scenario’s om input te genereren voor de tooling van het blue team. Vervolgens werken beide teams samen om nieuwe views en detectieregels te creëren. Daarnaast kan The S-Unit gedetailleerde adviezen en actiepunten meegeven voor verdere verbetering na afloop van de workshop. De exacte invulling van een purple teaming workshop is afhankelijk van de wensen van de organisatie maar ook van de beschikbare tooling en de configuratie van deze tooling.