Red Team Emulation с помощью Caldera

Дата: 01.07.2022. Автор: Игорь Б. Категории: Статьи по информационной безопасности
Red Team Emulation с помощью Caldera
Изображение: Fotis Fotopoulos (Unsplash)

В этой статье пойдет речь об осуществлении Red Team Emulation с помощью Caldera. Читатели смогут оценить фреймворк Breach & Emulation, с помощью которого можно легко выполнить Red Team.

Атака MITRE

Фреймворк MITRE включает в себя список всех тактик, техник и процедур (TTP) и соответствующих дополнительных стратегий нападения. Вся информация структурирована и может быть использована для осуществления Red Team.

Red Team Emulation с помощью Caldera

Caldera

Инструмент CALDERA Breach & Emulation предназначен для быстрой автоматизации киберучения, оказания помощи командам реагирования и автоматизации реагирования на инциденты.

Фреймворк состоит из двух компонентов:

  1. Основная система. Это код фреймворка, состоящий из данных репозитория; включает в себя асинхронный C&C-сервер (C2) с REST API и веб-интерфейсом.
  2. Плагины. Они расширяют основные возможности фреймворка и предоставляют дополнительные функции. К примеру, пользователь может вести отчетность, использовать особые агенты, ознакомиться с советами по работе с фреймворком.

Предустановки и необходимые компоненты

Ниже представлены требования к компьютеру, на котором будет запущена основная система фреймворка:

  • любой Linux или macOS;
  • Python 3.7+ (с Pip3);
  • рекомендуемое «железо» для корректной работы: 8 ГБ оперативной памяти и 2 мощных центральных процессора;
  • GoLang 1.17 (и более новые версии) для динамической компиляции агентов на основе GoLang.

Установка

Пользователь выполнит следующие шаги, чтобы произвести установку CALDERA. Необходимо ввести данную команду:

git clone https://github.com/mitre/caldera.git --recursive
Red Team Emulation с помощью Caldera

Далее пользователь вводит эту команду:

cd caldera
pip3 install -r requirements.txt
python3 server.py –insecure
Red Team Emulation с помощью Caldera

Интерфейс

Caldera имеет веб-интерфейс, который прост в навигации и использовании.

http://127.0.0.1:8888
username: red
Password: admin
Red Team Emulation с помощью Caldera
Red Team Emulation с помощью Caldera

Плагины

Здесь пользователь найдет список всех актуальных плагинов и сможет быстро и легко получить доступ к их функциям.

  • Access (инструменты первоначального доступа с Red Team);
  • Atomic (проект Atomic Red Https);
  • Builder (динамическая компиляция полезных нагрузок);
  • CalTack (встроенный веб-сайт ATT&CK);
  • Compass (визуализация ATT&CK);
  • Debrief (анализ операций);
  • Emu (планы эмуляции CTID);
  • Fieldmanual (ведение отчетности);
  • GameBoard (визуализация совместных «красных» и «синих» операций);
  • Human (создание имитации шума на конечных точках);
  • Manx (полезная нагрузка Shell и Reverse Shell);
  • Mock (имитация агентов в операциях);
  • Response (реагирование на инциденты);
  • Sandcat (установка агента по умолчанию);
  • SSL (добавление HTTPS для Caldera);
  • Stockpile (склад различных техник);
  • Training (сертификации и учебный курс).

Чтобы узнать больше о конкретном плагине, читателям стоит перейти по ссылке.

Кампании

Агенты, противники и операции входят в категорию «Кампании». Данный раздел может использоваться для создания многочисленных агентов, противников и операций, необходимых для осуществления Red Team и эмуляции машины жертвы.

Шаг 1. Развертывание агентов

Чтобы получить начальный доступ, нужно внедрить агента в целевую систему. Для этого сперва необходимо настроить агента или листенер. На вкладке «Кампании» пользователь кликнет на «Агенты».

Red Team Emulation с помощью Caldera

Затем он выберет тип агента (доступно три вида агентов).

Red Team Emulation с помощью Caldera

После пользователь выберет платформу: Windows, Linux или Darwin (macOS).

Red Team Emulation с помощью Caldera

Как только платформа будет выбрана, необходимо указать IP, порт и имя имплантата.

Red Team Emulation с помощью Caldera

Пользователь также увидит набор команд, возможных для выполнения на целевом объекте.

В случае использования Linux или macOS команды выполняются в терминале.

Red Team Emulation с помощью Caldera

Развертывание агента внутри целевой машины происходит простым копированием и вставкой команды.

Red Team Emulation с помощью Caldera

В случае использования Windows команды выполняются в PowerShell. Стоит подчеркнуть, что сначала нужно обойти политику защиты.

Red Team Emulation с помощью Caldera

Развертывание агента внутри целевой машины происходит также простым копированием и вставкой команды.

Red Team Emulation с помощью Caldera

Агент возвращается к Caldera, видно, что команда, выполненная на стороне жертвы, была успешной.

Red Team Emulation с помощью Caldera

Шаг 2. Способности (англ. «Abilities»)

Способность – это конкретная реализация тактики/техники ATT&CK, которая может быть использована на запущенных агентах. Способности будут включать в себя команду (команды) для запуска, платформы / исполнители, на которых могут выполняться команды (например, Windows / PowerShell), а также полезные нагрузки и ссылку на модуль для анализа выходных данных на сервере Caldera.

Red Team Emulation с помощью Caldera

Как можно заметить на картинке, пользователь может выбрать платформу и соответствующий TTP. В данном практическом примере была выбрана Discovery в качестве тактики и Linux в качестве платформы (та же тактика продемонстрирована и для Windows в этой статье).

Red Team Emulation с помощью Caldera

Шаг 3. Настройка выполнения операций

После настройки агента пришло время активировать способности или даже целый набор параметров. Для этого необходимо настроить выполнение операции.

Чтобы сделать это, следует выполнить шаги, представленные ниже:

  • под вкладкой «Кампании» нужно выбрать «Операции» (англ. «Operations»);
  • кликнуть на «Создать операции» (англ. «Create operations»).
Red Team Emulation с помощью Caldera

Далее пользователь выбирает противника (англ. «adversary»). Профили противников – это наборы ATT&CK TTP, предназначенные для добавления определенных эффектов хосту или сети. Профили можно использовать для наступательных или оборонительных действий.

Red Team Emulation с помощью Caldera

Пользователь указывает детали и спецификации операции, которую он хочет выполнить.

Red Team Emulation с помощью Caldera

После следует нажать на «Старт». Через некоторое время пользователь увидит, что операция была запущена, а ее результаты стали появляться на экране.

Red Team Emulation с помощью Caldera

Весь набор запущенных команд представлен в формате base64nopadd (можно выбрать и другие параметры). Стоит отметить, что пользователь видит команду и может просматривать ее выходные данные и статус.

Red Team Emulation с помощью Caldera
Red Team Emulation с помощью Caldera

Шаг 4. Экспорт полученных данных

После завершения операции можно создать отчет двумя способами:

  • Непосредственно с вкладки загрузки, которая появляется после завершения операции.
Red Team Emulation с помощью Caldera
  • Перейти на вкладку «Отчетность» (англ. «Debrief»), выбрать показатели, которые будут включены в отчет, затем скачать полный отчет в формате PDF.
Red Team Emulation с помощью Caldera
Red Team Emulation с помощью Caldera

Заключение

Таким образом, пользователь смог выполнить симуляцию противника с помощью Caldera. Используя этот фреймворк, человек легко сможет выполнять операции Red/Purple Team.

Важно! Информация исключительно в учебных целях. Пожалуйста, соблюдайте законодательство и не применяйте данную информацию в незаконных целях.

Об авторе Игорь Б

Представитель редакции CISOCLUB. Добавляю статьи на сайт.
Читать все записи автора Игорь Б

Добавить комментарий

Ваш адрес email не будет опубликован.