Points clés
1. Red Teaming : Simuler des attaques réelles
La mission de l’équipe rouge est d’imiter les tactiques, techniques et procédures (TTP) des adversaires.
Au-delà des tests d’intrusion. Le red teaming dépasse le cadre des tests d’intrusion traditionnels en reproduisant les actions d’attaquants réels. Il s’agit de comprendre leurs motivations, outils et méthodes afin d’évaluer de manière exhaustive la posture de sécurité d’une organisation. Contrairement aux tests d’intrusion, souvent limités dans leur périmètre et leur durée, les exercices de red team peuvent s’étendre sur plusieurs semaines voire mois, offrant ainsi une simulation plus réaliste d’une menace persistante.
Accent sur la détection et la réponse. L’objectif principal d’une red team n’est pas seulement de déceler des vulnérabilités, mais d’évaluer la capacité d’une organisation à détecter, réagir et se remettre d’une attaque sophistiquée. Cela inclut la vérification de l’efficacité des outils de sécurité, des politiques en place et des compétences de l’équipe de sécurité. Les red teams fournissent des informations précieuses sur les failles du programme de sécurité, aidant ainsi les organisations à renforcer leur résilience globale.
Indicateurs de réussite. Les interventions de red team se mesurent à travers des indicateurs tels que le Temps de Détection (TTD) et le Temps de Mitigation (TTM). Le TTD correspond au délai nécessaire à l’équipe de sécurité pour identifier un incident, tandis que le TTM mesure le temps pour le contenir et le résoudre. Ces métriques offrent une vision claire de la capacité d’une organisation à gérer des menaces réelles et mettent en lumière les axes d’amélioration.
2. Reconnaissance : La base des opérations de Red Team
Pour les campagnes de red team, il s’agit souvent de saisir les opportunités d’attaque.
Collecte d’informations. La reconnaissance constitue la phase initiale de toute opération de red team, consistant à rassembler des données sur la cible. Cela inclut l’identification des plages IP, sous-domaines, adresses e-mail des employés et toute information publique pouvant servir à établir une première présence. Des outils comme Nmap, Shodan et Censys sont utilisés pour scanner les ports ouverts, services et vulnérabilités.
Surveillance des changements. Les red teams surveillent en continu l’environnement cible afin de détecter toute modification susceptible de créer de nouvelles opportunités d’attaque. Cela passe par la mise en place de scripts pour suivre les évolutions des ports ouverts, applications web et configurations cloud. Des comparaisons régulières avec Nmap et des captures d’écran web permettent d’identifier de nouveaux services ou vulnérabilités apparus.
Reconnaissance cloud. Avec l’adoption croissante des services cloud, les red teams doivent aussi se concentrer sur l’identification des actifs cloud et des erreurs de configuration. Cela implique de scanner les buckets S3 accessibles publiquement, les comptes de stockage Azure et autres ressources cloud exploitables. Des outils comme sslScrape permettent d’extraire les noms d’hôtes à partir des certificats SSL, fournissant des informations précieuses sur l’infrastructure cible.
3. Exploitation des applications web : une cible privilégiée
En examinant les récentes violations, on constate qu’elles touchent souvent de grandes entreprises matures.
Changement de focus. Les applications web représentent un point d’entrée fréquent pour les attaquants, en faisant une cible de choix pour les red teams. Il s’agit d’identifier des vulnérabilités telles que les Cross-Site Scripting (XSS), injections NoSQL ou attaques par injection de templates. Les red teams doivent se tenir informées des dernières vulnérabilités et techniques pour simuler efficacement des attaques réalistes.
Exploitation des vulnérabilités. Les failles XSS peuvent servir à voler des cookies, rediriger les utilisateurs ou compromettre l’ensemble du système. Les injections NoSQL permettent de contourner l’authentification et d’accéder à des données sensibles. Les attaques par injection de templates peuvent conduire à l’exécution de code à distance, offrant un contrôle total du serveur à l’attaquant.
Exploitation NodeJS. Avec la popularité croissante de NodeJS, les red teams doivent aussi identifier et exploiter les vulnérabilités dans les applications NodeJS. Cela nécessite de comprendre les implications sécuritaires de l’utilisation de JavaScript côté serveur et de repérer les erreurs de configuration courantes dans des frameworks comme Express ou Pug. Des techniques telles que JSF*ck permettent de contourner les filtres et d’exécuter du code JavaScript malveillant.
4. Compromission réseau : progresser en profondeur
Lors des pentests réseau, l’objectif est souvent d’atteindre le Domain Admin (DA) pour accéder au contrôleur de domaine (DC) et conclure.
Accès initial. Une fois une première présence établie, la red team cherche à se déplacer latéralement dans le réseau pour atteindre l’objectif visé. Cela passe par l’identification et l’exploitation de vulnérabilités internes, l’élévation de privilèges et le vol de credentials. Des outils comme Responder et CrackMapExec sont utilisés pour capturer des identifiants et repérer les systèmes vulnérables.
Exploitation des outils natifs. Les red teams privilégient souvent l’utilisation d’outils Windows intégrés pour éviter la détection. Cela inclut l’usage de PowerShell pour interroger Active Directory, énumérer utilisateurs et groupes, et exécuter des commandes à distance. Des techniques comme Pass-the-Hash ou Kerberoasting permettent d’accéder à des comptes privilégiés sans casser les mots de passe.
Bloodhound pour l’analyse des chemins d’attaque. Bloodhound est un outil puissant pour visualiser et analyser les chemins d’attaque dans les environnements Active Directory. Il utilise la théorie des graphes pour révéler des relations cachées et des privilèges non intentionnels, aidant les red teams à identifier rapidement la voie la plus efficace vers leur objectif. En important les données ACL dans Bloodhound, elles peuvent repérer les utilisateurs capables de réinitialiser des mots de passe ou modifier des permissions ACE, ouvrant la voie à l’escalade de privilèges et aux déplacements latéraux.
5. Ingénierie sociale : exploiter l’élément humain
Beaucoup d’exercices d’ingénierie sociale exigent de dépasser sa nervosité et de sortir de sa zone de confort.
Cibler les faiblesses humaines. L’ingénierie sociale est une technique puissante qui exploite la psychologie humaine pour accéder à des systèmes ou informations. Cela passe par la création d’e-mails de phishing crédibles, de sites web factices et l’usurpation d’identité de personnes de confiance. Les red teams doivent maîtriser les principes de l’ingénierie sociale pour manipuler efficacement les employés et les amener à divulguer des informations sensibles ou à réaliser des actions compromettantes.
Domaines doppelganger et collecte d’identifiants. Les domaines doppelganger, proches des noms de domaine légitimes, servent à tromper les utilisateurs pour qu’ils saisissent leurs identifiants sur de fausses pages de connexion. Ces pages sont conçues pour être quasi identiques aux originales, rendant la distinction difficile. Des outils comme ReelPhish permettent de contourner l’authentification à deux facteurs, donnant ainsi accès aux comptes malgré les mesures de sécurité renforcées.
Exploiter la confiance. Les red teams tirent souvent parti des relations existantes et de la confiance pour renforcer l’efficacité de leurs attaques d’ingénierie sociale. Cela consiste à se faire passer pour des collègues, fournisseurs ou même des membres de la famille afin de gagner la confiance de la victime. En élaborant des attaques très ciblées et personnalisées, elles augmentent considérablement leurs chances de succès.
6. Attaques physiques : contourner la sécurité matérielle
« Faire semblant de ne pas avoir peur, c’est presque comme ne pas avoir peur. »
Au-delà du numérique. La sécurité physique est un aspect souvent négligé de la posture globale de sécurité d’une organisation. Les red teams réalisent des évaluations physiques pour identifier les vulnérabilités des contrôles d’accès, systèmes de surveillance et personnel de sécurité. Cela implique de tenter de franchir barrières, portes et autres obstacles physiques pour accéder sans autorisation aux locaux.
Outils du métier. Les red teams utilisent divers outils pour contourner la sécurité physique, tels que crochets, dispositifs de contournement de portails et clones de lecteurs de badges. Ces outils leur permettent d’accéder à des zones restreintes et potentiellement de compromettre des données ou systèmes sensibles. Le LAN Turtle et le Packet Squirrel servent à établir des connexions réseau discrètes, offrant un contrôle à distance des systèmes à l’intérieur des locaux.
Tester les temps de réaction. Un objectif clé des évaluations physiques est de mesurer les temps de réponse du personnel de sécurité. Cela passe par le déclenchement d’alarmes, l’observation des patrouilles et la documentation des faiblesses dans les procédures de sécurité physique. En identifiant ces failles, les red teams aident les organisations à renforcer leur posture de sécurité physique et à prévenir les accès non autorisés.
7. Évasion de la détection : rester sous le radar
En red team, l’origine d’une attaque importe peu. Ce qui compte, c’est d’apprendre des TTP.
Obfuscation et chiffrement. Éviter la détection est un aspect crucial des opérations de red team. Cela implique d’utiliser des techniques pour obscurcir le code, chiffrer les communications et contourner les contrôles de sécurité. Les red teams doivent comprendre le fonctionnement des antivirus, systèmes de détection d’intrusion et autres outils pour échapper efficacement à la détection.
Payloads et droppers personnalisés. Les red teams développent souvent des payloads et droppers sur mesure pour éviter les outils de sécurité basés sur les signatures. Ces outils sont conçus pour être petits, discrets et difficiles à analyser. Des techniques comme les code caves ou l’injection de DLL réflexive permettent de dissimuler du code malveillant dans des processus légitimes.
Obfuscation PowerShell. PowerShell est un outil puissant pour les red teams, mais son usage répandu en fait une cible privilégiée des outils de sécurité. Les red teams emploient diverses méthodes pour obscurcir le code PowerShell, notamment le chiffrement de chaînes, le renommage de variables et la fragmentation du code. Des outils comme Invoke-Obfuscation et HideMyPS automatisent ce processus d’obfuscation.
8. Automatisation et craquage de mots de passe : rapidité et efficacité
Avec les red teams, il faut démontrer une valeur ajoutée à l’entreprise.
Automatiser les tâches. Les red teams automatisent les tâches répétitives pour gagner en efficacité et réduire le risque de détection. Cela inclut l’utilisation de scripts pour scanner les ports ouverts, énumérer utilisateurs et groupes, et exécuter des commandes à distance. L’automatisation permet de collecter rapidement des informations et d’identifier des vecteurs d’attaque potentiels.
Password spraying. Le password spraying consiste à tenter de se connecter à plusieurs comptes avec un petit ensemble de mots de passe courants. Cette technique évite le verrouillage des comptes et augmente les chances d’accéder à au moins un compte. Des outils comme Spray et Ruler automatisent ce processus.
Craquage de mots de passe. Le craquage de mots de passe est une compétence essentielle pour les red teams, leur permettant d’accéder à des systèmes protégés par des mots de passe faibles ou par défaut. Elles utilisent des rigs puissants basés sur GPU et des listes spécialisées pour casser rapidement les hashs. Hashcat est un outil couramment employé pour ces attaques.
9. Exploitation des vulnérabilités cloud
À mesure que les entreprises migrent vers diverses infrastructures cloud, de nombreuses attaques nouvelles et anciennes refont surface.
Mauvaises configurations cloud. Les environnements cloud présentent souvent des défis spécifiques en matière de sécurité, liés à des erreurs de configuration ou à une mauvaise compréhension des bonnes pratiques. Les red teams se concentrent sur l’identification et l’exploitation de ces erreurs pour accéder illégalement aux ressources cloud. Cela inclut le scan des buckets S3 publics, comptes de stockage Azure et autres services cloud.
Énumération des buckets S3. Les buckets Amazon S3 sont une cible fréquente en raison de permissions souvent mal configurées. Les red teams utilisent des outils comme Slurp et Bucket Finder pour recenser les buckets et identifier ceux accessibles publiquement. Une fois un bucket vulnérable détecté, il est possible de télécharger des données sensibles, d’y déposer des fichiers malveillants ou même de modifier les contrôles d’accès pour en prendre le contrôle total.
Prise de contrôle de sous-domaines. Les prises de contrôle de sous-domaines surviennent lorsqu’une entreprise pointe un sous-domaine vers un service tiers sans le configurer ou le supprimer correctement. Cela permet aux attaquants de revendiquer le sous-domaine et de l’utiliser à des fins malveillantes, comme héberger des sites de phishing ou distribuer des malwares. Des outils comme tko-subs aident à identifier ces sous-domaines vulnérables.
10. Post-exploitation : vivre sur place
Défier le système… Fournir des données réelles pour prouver les failles de sécurité.
Se fondre dans le décor. Une fois à l’intérieur du réseau, les red teams cherchent à se fondre dans le trafic légitime pour éviter la détection. Cela passe par l’utilisation d’outils Windows natifs comme PowerShell et WMI pour effectuer de la reconnaissance, se déplacer latéralement et maintenir la persistance. En « vivant sur place », elles limitent leur dépendance aux outils personnalisés et évitent de déclencher des alertes.
Collecte d’identifiants. Les red teams emploient diverses techniques pour récolter des identifiants sur les systèmes compromis, notamment le dump de mémoire, l’extraction de mots de passe depuis le Windows Credential Store et le vol de cookies de navigateur. Ces identifiants servent ensuite à accéder à d’autres systèmes et ressources. Des outils comme Mimikatz et SessionGopher automatisent cette collecte.
Maintien de la persistance. Les red teams établissent des mécanismes de persistance pour garantir un accès durable aux systèmes compromis, même après redémarrage ou correctifs. Cela inclut la création de tâches planifiées, la modification de clés de registre et l’installation de portes dérobées. En multipliant ces mécanismes, elles augmentent leurs chances de conserver l’accès à l’environnement cible.
Résumé des avis
The Hacker Playbook 3 suscite des avis partagés, avec une note globale de 4,39 sur 5. Les lecteurs apprécient particulièrement les nouveaux contenus, notamment les chapitres consacrés au phishing, au contournement des antivirus et à l’OSINT. Ce livre s’avère utile tant pour les pentesters débutants que pour les plus expérimentés. Toutefois, certains reprochent une mise en page défaillante, des erreurs grammaticales et un manque d’organisation. Plusieurs lecteurs ont également ressenti une certaine précipitation par rapport aux éditions précédentes. Si l’ouvrage est salué pour ses références et son traitement des sujets avancés, il est conseillé de le lire en complément de la deuxième édition afin d’en saisir pleinement la portée.
Les lecteurs ont aussi lu
Immersif
FAQ
What's The Hacker Playbook 3 about?
- Focus on Red Teaming: The Hacker Playbook 3 by Peter Kim emphasizes Red Team tactics, techniques, and procedures to simulate real-world attacks, providing a practical guide to penetration testing.
- Comprehensive Coverage: It covers topics like reconnaissance, web application exploitation, network compromise, social engineering, and physical attacks, while distinguishing between penetration testing and Red Team operations.
- Hands-On Labs: The book includes numerous labs and exercises, offering readers practical experience in a controlled environment to reinforce learning.
Why should I read The Hacker Playbook 3?
- Real-World Application: Designed for security professionals, it helps understand attacker mindsets and improve defensive strategies by providing insights into real-world attacks.
- Updated Techniques: The book includes the latest vulnerabilities and attack methods, covering advanced web attacks, cloud vulnerabilities, and social engineering tactics.
- Author's Expertise: Peter Kim, with over 12 years of experience, shares practical knowledge and teaching experience, making it valuable for both beginners and seasoned professionals.
What are the key takeaways of The Hacker Playbook 3?
- Red Team vs. Penetration Testing: It clarifies the differences, emphasizing a mindset shift in security assessments, with Red Teams focusing on emulating real-world attacks.
- Importance of Reconnaissance: A significant portion is dedicated to reconnaissance techniques, highlighting their critical role in successful attacks.
- Hands-On Labs and Tools: The book provides practical labs and covers tools like Metasploit, Cobalt Strike, and PowerShell Empire for real-world testing.
What are the best quotes from The Hacker Playbook 3 and what do they mean?
- Holistic Approach: "Red Teaming is not just about finding vulnerabilities; it’s about testing the entire security posture of an organization." This emphasizes assessing security policies and employee awareness.
- Automation Importance: "Automation is key to efficiency in Red Team operations." It highlights automating repetitive tasks to focus on complex and strategic aspects.
- Understanding Adversaries: "Understanding the adversary's tactics is crucial for effective defense." This underscores knowing attacker tactics to inform better defensive strategies.
What techniques are covered in The Hacker Playbook 3?
- Web Application Exploitation: Covers attacks like Cross-Site Scripting (XSS), SQL Injection, and Server-Side Request Forgery (SSRF) with practical examples.
- Lateral Movement Strategies: Discusses techniques for moving laterally within a network, emphasizing understanding network architecture and user privileges.
- Social Engineering Tactics: Explores phishing and doppelganger domains, highlighting the human element in cybersecurity.
How does The Hacker Playbook 3 address social engineering?
- Human Factors: Emphasizes social engineering as a critical component, exploiting human psychology rather than just technical vulnerabilities.
- Practical Campaigns: Provides guidance on crafting effective campaigns, including phishing emails and doppelganger domains, with real-world examples.
- Training and Awareness: Stresses the need for employee training to recognize social engineering attempts, reducing successful attacks.
What tools are recommended in The Hacker Playbook 3?
- Metasploit Framework: A powerful tool for penetration testing, providing a wide range of exploits and payloads, essential for automating attack vectors.
- Cobalt Strike: Highlighted for simulating advanced threats and managing Red Team operations, effective for both exploitation and post-exploitation tasks.
- PowerShell Empire: A framework for post-exploitation, allowing command execution on compromised systems, emphasizing PowerShell's importance in modern attacks.
How can I set up a lab to practice the techniques in The Hacker Playbook 3?
- Virtual Environment: Use tools like VMware or VirtualBox to create isolated environments for safe experimentation without risking real systems.
- Target Systems: Install vulnerable applications and operating systems, using software like DVWA or OWASP Juice Shop for hands-on learning.
- Automation Tools: Incorporate automation tools and scripts to enhance learning by focusing on complex tasks while automating repetitive ones.
What is Bloodhound, and how is it used in The Hacker Playbook 3?
- Active Directory Enumeration: Bloodhound maps Active Directory environments, visualizing relationships and permissions to identify attack paths.
- Graph Theory Application: Uses graph theory to reveal hidden relationships, aiding in understanding complex privilege relationships.
- Integration with Other Tools: Can be integrated with tools like PowerView and SharpHound to enhance reconnaissance efforts, with practical examples provided.
What is the significance of reconnaissance in Red Team operations according to The Hacker Playbook 3?
- Foundation for Attacks: Reconnaissance lays the groundwork for all subsequent attack phases, identifying vulnerabilities and entry points.
- Continuous Monitoring: Emphasizes ongoing reconnaissance, suggesting regular scanning and monitoring to reveal new vulnerabilities.
- Open Source Intelligence: Teaches leveraging open-source tools and techniques, using services like Shodan and Censys to discover exposed services.
How does The Hacker Playbook 3 suggest handling post-exploitation?
- Gathering Credentials: Emphasizes extracting credentials and sensitive information after gaining system access, discussing techniques for pulling passwords.
- Privilege Escalation: Covers methods for escalating privileges, providing practical examples of exploiting unquoted service paths and weak permissions.
- Living Off the Land: Discusses strategies for maintaining access and moving laterally without detection, using built-in tools to avoid alarms.
What are some best practices for reporting findings from a Red Team engagement in The Hacker Playbook 3?
- Clear and Actionable Reports: Emphasizes clear, concise, and actionable reports, allowing stakeholders to understand risks and take actions.
- Focus on Security Gaps: Reports should highlight security program gaps and provide improvement recommendations, strengthening defenses.
- Metrics and Measurements: Suggests including metrics like Time To Detect (TTD) and Time To Mitigate (TTM) for insights into security posture effectiveness.
