Abbiamo dimostrato la fase di armamento dell'ingaggio della squadra rossa. Abbiamo trattato gli scenari in cui un membro della squadra rossa o un utente malintenzionato creerebbe un carico utile come arma, sia che si tratti di una campagna di ingegneria sociale o di uno sfruttamento di vulnerabilità in un'applicazione web. I payload armati possono presentarsi sotto forma di payload abilitati per Microsoft Office Marco, payload di applicazioni HTML, payload PDF o con PowerShell. Questo faceva parte del percorso della squadra rossa nella piattaforma TryHackMe.

Ottieni shell inverse e script della squadra rossa

Cos'è l'armamento?

L’arma è la seconda fase del modello Cyber Kill Chain. In questa fase, l'aggressore genera e sviluppa il proprio codice dannoso utilizzando payload consegnabili come documenti Word, PDF, ecc. [1]. La fase di armamento mira a utilizzare l'arma dannosa per sfruttare la macchina bersaglio e ottenere l'accesso iniziale.

La maggior parte delle organizzazioni dispone di Windows sistema operativo correndo, che sarà un probabile obiettivo. La politica ambientale di un'organizzazione spesso blocca il download e l'esecuzione .exe file per evitare violazioni della sicurezza. Pertanto, i membri del team rosso si affidano alla creazione di payload personalizzati inviati tramite vari canali come campagne di phishing, ingegneria sociale, sfruttamento di browser o software, USB o metodi web.

Il grafico seguente è un esempio di utilizzo come arma, in cui un PDF personalizzato o un documento Microsoft Office viene utilizzato per fornire un payload dannoso. Il carico utile personalizzato è configurato per riconnettersi all'ambiente di comando e controllo dell'infrastruttura della squadra rossa.

Per ulteriori informazioni sui toolkit Red Team, visitare quanto segue: a Repositorio GitHub che ha tutto, incluso l'accesso iniziale, lo sviluppo del payload, i metodi di consegna e altro.

La maggior parte delle organizzazioni blocca o monitora l'esecuzione di .exe file all'interno del loro ambiente controllato. Per questo motivo, i membri del team rosso si affidano all'esecuzione dei payload utilizzando altre tecniche, come le tecnologie di scripting di Windows integrate. Pertanto, questa attività si concentra su varie tecniche di scripting popolari ed efficaci, tra cui:

  • L'host di script di Windows (WSH)
  • Un'applicazione HTML (HTA)
  • Applicazioni Visual Basic (VBA)
  • PowerShell (PSH)

Videoprocedura dettagliata

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli