Exercice Red Team

Un exercice Red Team vise à simuler un attaquant extérieur motivé, ayant un ou des objectifs précis : vol de données stratégiques, extorsion, pillage, espionnage, déni de service, atteinte à l'image de marque, etc. A la différence d'un test d'intrusion classique, généralement restreint à une application spécifique et dans un contexte précis, le périmètre d'un exercice Red Team est habituellement bien plus large.

OBJECTIFS
  1. Effectuer une reconnaissance en collectant les informations publiques à la fois sur les collaborateurs et les technologies employées
  2. Identifier les services exposées les moins sécurisés, les scénarios permettant de piéger les utilisateurs, les batiments les plus vulnérables
  3. S'introduire sur le réseau interne au travers d'attaques multiples :
  4. Se déplacer silencieusement au sein du réseau, sans se faire détecter par le SOC ou un équipe dédiée (Blue Team)
  5. Tester le cloisonnement et la robustesse du système d'information de l'organisation ciblée
  6. Compromettre les trophées choisis par le commandataire

Durant la durée de la mission (de quelques semaines à quelques mois selon l'organisation ciblée et les objectifs fixés) des points d'avancement réguliers sont effectués avec le commanditaire afin de rendre compte de l'avancement.



Reconnaissance

L'exercice Red Team débute par une phase de collecte des informations publiques :
  1. le nom des filiales et des marques
  2. les pays d’implantation des bureaux
  3. les plages d’adresses publiques exposées sur Internet
  4. le nom des collaborateurs et leurs fonctions
  5. les mails et les numéros de téléphone
  6. les noms des fournisseurs et clients
  7. les noms des projets liés aux trophées
  8. les informations nécessaires aux attaques par phishing
A partir de l'ensemble des informations collectées, l'équipe RedTeam va créer des scenarii d'attaques qui le plus de probabilité de réussite



Attaque des défenses périmétriques

L'équipe RedTeam va ensuite tenter d'établir un premier accès au réseau interne via différentes méthodes :
  • exploitation d'une vulnérabilité logicielle sur services exposés sur Internet
  • bruteforce d'accès authentifiés
  • compromission de poste par pilotage téléphonique (Social Engineering)
  • phishing par mail, clé USB, wi-fi
  • dépot d'un mouchard réseau par intrusion physique dans un bâtiment



Propagation dans le réseau interne

Une fois notre accès au réseau interne établi, nous mettons en oeuvre des mécanismes de pivot persistent pour se propager au sein du réseau. Nous effectuons alors la localisation des systèmes supportant les trophées et les mécanismes d'accès associés. La RedTeam progresse alors discretement au travers de différentes techniques :
  • récupération d'identifiants
  • élévation de privilège
  • déplacement latéraux
  • compromission de forêt d'AD
  • prise de controle de serveurs linux
  • rebond depuis des bastions d'administration



Acquisition des trophées

Les trophées sont définis en amont de l'intervention et peuvent être de différente nature, voici quelques exemples :
  • Prise de contrôle et vision en temps réèl d’un poste de travail
  • Prise de contrôle d’un domaine AD
  • Prise de contrôle d’un serveur métier
  • Envoi d’un mail du PDG au commanditaire
  • Accès à un fichier stratégique et confidentiel de direction
  • Virement d’un euro symbolique



Bilan de l'exercice

En fin de mission nous rédigeons un rapport détaillant notre action, les moyens mis en œuvre pour atteindre les objectifs fixés et l'ensemble de mesures nécessaires pour se protéger. Selon l'architecture organisationnelle de l'organisation ciblée ce rapport peut être décliné en plusieurs documents à destination de chacune des entités ou BU concernées par l'exercice.
Avant de supprimer nos accès persistent, nos équipes s'assurent d'avoir effacer toutes les traces de compromission pour rendre le système d'information tel qu'il était avant l'exercice.