Un Red Team es un ejercicio que consiste en simular un ataque dirigido a una organización. Esto se traduce en un grupo de personas internas o externas a la empresa, comprueban la posibilidad de tener acceso a los sistemas, comprometerlos atacando puntos débiles y el impacto que esto podría tener en el negocio. Dentro de este ejercicio solo se buscan vulnerabilidades críticas que permitan el acceso a la organización, las vulnerabilidades más leves no son una prioridad. Otro aspecto de esta práctica es que los equipos de la organización que van a “sufrir” este ataque no están avisados previamente, ya que lo que se busca es demostrar si la organización está preparada o no ante este escenario. El único aviso lo tiene un grupo de personas llamado White Team, quienes son los que solicitan realizar el ataque y obtienen los resultados del ejercicio.
El fin principal es identificar la capacidad de reacción del Blue Team (equipo de defensa) para evaluar la seguridad, detectar intrusiones y eliminarlas en el menor tiempo posible. Desde el principio del ejercicio, al equipo de Red Team solo se le proporciona el nombre de la empresa y con esto se debe realizar todo el ataque. Estos son coordinados por el Purple Team.
Como funciona Red Team
Te sorprendería saber que los Red Team pasan más tiempo planeando un ataque que realizándolos. En efecto, los Red Team despliegan una serie de métodos para obtener acceso a una red. Por ejemplo, los ataques de ingeniería social se basan en el reconocimiento y la investigación para realizar campañas de spear phishing dirigidas.
Asimismo, antes de realizar una prueba de penetración, se utilizan rastreadores de paquetes y analizadores de protocolos para explorar la red y recopilar la mayor cantidad de información posible sobre el sistema.
Definición y planificación: Se define qué tipo de vectores o activos críticos serán utilizados y de qué manera serán atacados. Después de definirlos, se pasa a una etapa de planificación en el tiempo de las acciones que apoyan estos ataques.
Reconocimiento externo: Consiste en desarrollar todas las acciones posibles para identificar los activos que están expuestos en el ámbito que se vaya a comprobar, para después, empezar a probar cada parte y así identificar las vulnerabilidades para hacer una intrusión.
Compromiso inicial: Se identifica una vulnerabilidad lo suficientemente crítica que permita abrir paso a la intrusión, puede ser desde hacer ataques de fuerza bruta para obtener usuarios, hasta una subida de ficheros que permita pivotar a la red interna.
Acceso a la red interna: Una vez se compromete un primer activo, se debe buscar el camino y la forma para acceder a la red interna. Este proceso puede variar según la seguridad de la empresa y puede convertirse en un ejercicio de minutos o días.
Elevación de privilegios: En esta etapa del ejercicio se busca crear vías de acceso secundarias en caso que el Blue Team detecte el ataque al vector principal y lo detenga. De esta manera se podrá continuar con el ejercicio, incluso sin la detección del equipo de seguridad.
Reconocimiento interno: Cuando se tiene acceso pleno a toda la organización, lo primero que se debe hacer es un reconocimiento interno de todos los activos para evaluar cuáles podrían ser los ataques más radicales que se puedan hace.
Accesos a la Red Team
Activos en internet: uso de cualquier sistema expuesto en internet para lograr acceso interno.
Infraestructura wifi: acceso a través de puntos de conexión inalámbricos en la organización.
USB con malware: configuración de una USB con archivos maliciosos para que cualquier miembro del equipo que use este dispositivo, de manera silenciosa de acceso al Red Team.
Intrusión física: es una metodología más radical en la que se ingresa a la organización de manera presencial para buscar vulnerabilidades en la red, ordenadores, servidores.
Ejemplos de ejercicios de Red Team
Los Red Team utilizan una gran variedad de métodos y herramientas para explotar las debilidades y vulnerabilidades de una red. Es importante señalar que estos equipos usarán cualquier medio necesario, según los términos del compromiso, para irrumpir en el sistema.
Dependiendo de la vulnerabilidad, pueden desplegar malware para infectar a los hosts o incluso burlar los controles de seguridad física mediante la clonación de tarjetas de acceso.
Pruebas de penetración: también conocidas como hacking ético, se producen cuando el atacante trata de acceder a un sistema, a menudo utilizando herramientas de software. Por ejemplo, 'John the Ripper' es un programa para descifrar contraseñas con el que se puede detectar qué tipo de cifrado se utiliza e intentar evitarlo.
Ingeniería social: cuando se intenta persuadir o engañar a los miembros del personal para que revelen sus credenciales o permitan el acceso a un área restringida.
Phishing: la suplantación de identidad implica el envío de correos electrónicos aparentemente auténticos que atraen a los miembros del personal a realizar ciertas acciones, como iniciar sesión en el sitio web del hacker e introducir credenciales.
Herramientas de software de interceptación de comunicaciones: los rastreadores de paquetes y los analizadores de protocolos pueden utilizarse para trazar un mapa de la red o leer los mensajes enviados, es decir, para obtener información sobre el sistema. Así, si un atacante sabe que un servidor se está ejecutando en un sistema operativo de Microsoft entonces enfocaría sus ataques para explotar las vulnerabilidades del sistema.
Clonación de tarjetas de seguridad: con el fin de lograr acceso a áreas no restringidas, como una sala de servidores.
Comments