Quelques consid\u00e9rations<\/h2>\n\n\n\n
Chaque \u00e9tape de la “cyber killchain” poss\u00e8de ses sp\u00e9cificit\u00e9s, et par cons\u00e9quent des TTPs (“Tactics, Techniques and Procedures”) propres. Ainsi, l\u2019infrastructure doit suivre quelque soit la phase dans laquelle nous nous situons et s\u2019adapter pour fournir la simulation la plus r\u00e9aliste possible d\u2019une attaque, et de surcro\u00eet la plus grande marche de man\u0153uvre possible pour les op\u00e9rateurs. En revanche, chacune de ces \u00e9tapes a ses exigences, que ce soit en terme de discr\u00e9tion, de communications, d\u2019interactions avec les humains derri\u00e8re notre cible (en raison des TTPs li\u00e9es et aux outils qui seront utilis\u00e9s). On doit donc r\u00e9partir, en fonction de ses besoins, l\u2019investissement en viabilit\u00e9, efficacit\u00e9 et rapidit\u00e9. N\u00e9anmoins il est presque, si \u00e7a ne l\u2019est pas, impossible de combiner enti\u00e8rement ces exigences. En outre, communiquer de mani\u00e8res efficaces (que ce soit en difficult\u00e9 d\u2019\u00eatre bloqu\u00e9 ou en quantit\u00e9 de donn\u00e9es qu\u2019il est possible d\u2019exfiltrer) peut se baser sur des protocoles pr\u00e9cis\u00e9ment peu rapide (comme l\u2019utilisation de services web externes), ou bien peu viable comme DNS qui se base sur UDP, beaucoup plus rarement TCP (perte de paquets possible et assez facilement d\u00e9tectable en cas de quantit\u00e9 de donn\u00e9es cons\u00e9quente). Pour mieux imager cela, prenons plusieurs exemples. Pour le maintient d\u2019acc\u00e8s, il est s\u00fbrement pr\u00e9f\u00e9rable de limiter l\u2019efficacit\u00e9 de la communication et de privil\u00e9gier la viabilit\u00e9 de celle-ci. En revanche lors de l\u2019exploitation active, on voudrait avoir un mixe entre viabilit\u00e9 et efficacit\u00e9 pour avoir un certain confort. L\u00e0 o\u00f9, pour l\u2019acc\u00e8s initial nous voudrions nous concentrer sur la rapidit\u00e9 d\u2019ex\u00e9cution et donc sur l\u2019efficacit\u00e9, pour rapidement obtenir un acc\u00e8s stable \u00e0 l\u2019environnement cible.<\/p>\n\n\n\n
Il faut de plus pr\u00e9voir d\u2019autres contraintes issues de constats simples:<\/p>\n\n\n\n
- La discr\u00e9tion des op\u00e9rations devra d\u2019une certaine fa\u00e7on \u00eatre assur\u00e9e par notre infrastructure. La quantit\u00e9 d\u2019informations que les attaquants laisseront voir, par exemple, devra \u00eatre minimiser pour emp\u00eacher la blue-team de trop rapidement se rendre compte de l\u2019attaque. Maximiser la diversit\u00e9 d’IPs ou de domaines engag\u00e9s, de m\u00e9thodes de communications, pour mieux se fondre dans le trafic et se cacher des d\u00e9fenseurs.<\/li>
- Malgr\u00e9 cela, il faut tout de m\u00eame anticiper les cas qui mettraient en p\u00e9ril la mission. En cas de d\u00e9couverte de domaines, de serveurs servant aux attaquants. Il faut ainsi avoir la capacit\u00e9 de rapidement se remettre d\u2019un tel \u00e9v\u00e8nement. Ou si cela est impossible, segmenter un maximum l\u2019infrastructure (en ne faisant pas cumuler les r\u00f4les d\u2019un m\u00eame serveur, par exemple) afin d\u2019\u00e9viter qu\u2019un seul \u00e9l\u00e9ment provoque la fin de l\u2019attaque.<\/li>
- Enfin, les serveurs lou\u00e9s, ou les services utilis\u00e9s devront correctement \u00eatre capable de s\u00e9curiser les donn\u00e9es qui vont \u00eatre exfiltr\u00e9es. Une entreprise engage une mission Red-Team pour \u00e9viter une attaque qui causerait la fuite de donn\u00e9es sensibles, et non provoquer ladite fuite !<\/li><\/ul>\n\n\n\n
L\u2019une des entit\u00e9s les plus importante dans notre infrastructure est le “Command & Control” qui assure la communication avec les utilisateurs compromis, et permet la continuation de l\u2019attaque une fois l\u2019environnement cibl\u00e9 atteint.<\/p>\n\n\n\n
Command & Control<\/h2>\n\n\n\n
Le terme de “Command & Control” (aussi abr\u00e9g\u00e9 C2) est originellement un terme militaire d\u00e9signant un mod\u00e8le organisationnel et structurel employant un certain nombre de ressources diff\u00e9rentes pour remplir un objectif pr\u00e9cis. L\u2019emploi qu\u2019il se fait de ce terme en est l\u00e9g\u00e8rement d\u00e9riv\u00e9 et d\u00e9signe un ensemble d\u2019outils permettant d\u2019assurer la communication et le contr\u00f4le de machines compromises. M\u00eame s\u2019il subsiste une id\u00e9e commune et g\u00e9n\u00e9rale entre ces deux d\u00e9finitions.<\/p>\n\n\n\n
On peut d\u00e8s lors se rappeler que nous sommes assez ais\u00e9ment capable de produire des programmes permettant d\u2019avoir une ex\u00e9cution de commandes sur une autre machine (les classiques et tr\u00e8s connus “reverse shell”). Nous avons perfectionn\u00e9 ces outils pour pouvoir optimiser diff\u00e9rents m\u00e9canismes de post-acc\u00e8s. Prenez Metasploit par exemple qui introduit des fonctionnalit\u00e9s comme l\u2019analyse de vuln\u00e9rabilit\u00e9s en vue d\u2019escalade de privil\u00e8ges, ou encore le d\u00e9ploiement de “proxysocks” permettant des mouvements lat\u00e9raux plus ais\u00e9s. Nous souhaitons d\u00e9sormais aller plus loin, en commen\u00e7ant par chercher les d\u00e9fauts de ces impl\u00e9mentations, puis en incluant certains des aspects que nous avons vu dans la section pr\u00e9c\u00e9dente. Lorsqu\u2019un acc\u00e8s est obtenu avec le syst\u00e8me de Metasploit (nomm\u00e9 meterpreter, les autres aussi ont des noms sp\u00e9cifiques) la fermeture du programme client entra\u00eene la fermeture du programme serveur, ainsi nous perdons notre acc\u00e8s. De plus, il n\u2019est pas confortable de l\u2019utiliser dans le cas du contr\u00f4le de plusieurs implants. En effet, il faut \u00e0 chaque fois relancer l\u2019\u00e9coute de potentielles nouvelles charges d\u00e9clench\u00e9es. De surcro\u00eet, l\u2019usage le plus commode consiste en l\u2019usage d\u2019un canal de communication TCP ce qui tr\u00e8s facilement d\u00e9tectable avec Wireshark par exemple.<\/p>\n\n\n\n
C\u2019est sur ces consid\u00e9rations (et d\u2019autres encore) qu\u2019ont \u00e9t\u00e9 pens\u00e9s la plupart des C2s modernes comme CoblaltStrike<\/a> (beacons), PowerShellEmpire<\/a> (agents), Covenant<\/a> (grunts), SharpC2<\/a> (drones), dnscat\/dnscat2<\/a>, Mythic<\/a> (agents), koadic (zombies), bruteratel<\/a>, PoshC2<\/a> (la l\u00e9gende raconte qu\u2019il a m\u00eame \u00e9t\u00e9 utilis\u00e9 par APT33<\/a>) pour n\u2019en citer que quelques uns. Le fonctionnement g\u00e9n\u00e9ral de ces derniers se base sur un syst\u00e8me tr\u00e8s simple qui offre une immense souplesse op\u00e9rationnelle, un “teamserver” et un client qui sont ind\u00e9pendant. Le premier assure un certains nombre de choses:<\/p>\n\n\n\n
- La communication avec les implants au travers de plusieurs protocoles simultan\u00e9ment.<\/li>
- La pr\u00e9servation des communications m\u00eame sans qu\u2019aucun client (op\u00e9rateur) n\u2019y soit connect\u00e9.<\/li>
- L\u2019utilisation des capacit\u00e9s de post-exploitation disponibles.<\/li><\/ul>\n\n\n\n
Et encore bien d\u2019autres. Aussi, il expose un acc\u00e8s pour le client, g\u00e9n\u00e9ralement en ouvrant un port sp\u00e9cifique.<\/p>\n\n\n\n
Le client lui, est l\u2019interface qui permet \u00e0 un op\u00e9rateur d\u2019user de toutes les capacit\u00e9s de son C2. Il existe plusieurs sch\u00e9mas: soit le client demande \u00e0 l\u2019op\u00e9rateur les informations permettant de se connecter au “teamserver” (l\u2019ip o\u00f9 il faut se connecter, le port, etc); soit le “teamserver” ouvre une interface web sur laquelle les op\u00e9rateurs se connectent directement.<\/p>\n\n\n\n
![\"\"](\"https:\/\/theredwindows.net\/wp-content\/uploads\/2021\/12\/schema1-1024x490.png\")
<\/figure><\/div>\n\n\n\nCette architecture nous donne donc un grand nombre de possibilit\u00e9s, multiplier les serveurs de contr\u00f4le, pouvoir \u00e9tablir une hi\u00e9rarchie et des r\u00f4les sp\u00e9cifiques en fonction de la structure dans laquelle ils sont utilis\u00e9s, pouvoir ais\u00e9ment segmenter l\u2019infrastructure\u2026 Usuellement, les fonctions de post-acc\u00e8s sont assez commune aux diff\u00e9rents C2, comme la capacit\u00e9 d\u2019ex\u00e9cuter du PowerShell avec PowerPick (si \u00e7a vous dit rien, j\u2019ai \u00e9cris un article sur le sujet<\/a>), ou encore l\u2019ex\u00e9cution d\u2019Assembly .NET en m\u00e9moire (via la R\u00e9flexion pour les C2 usant beaucoup de C# par exemple, l\u00e0 aussi si cela vous est inconnu regarder la section programmation du blog<\/a>). Ce qui diff\u00e8rent en revanche, sont les capacit\u00e9s de mouvement lat\u00e9ral, comme le C2 pair-\u00e0-pair (i.e, la capacit\u00e9 qu\u2019ont les implants \u00e0 se lier entre eux pour cr\u00e9er un r\u00e9seau de communication, ainsi le serveur de contr\u00f4le n\u2019est pas constamment interrog\u00e9), et les syst\u00e8mes de communications qui sont impl\u00e9ment\u00e9s. Les communications avec les machines compromises peuvent se faire au travers des techniques aussi diverses que vari\u00e9es:<\/p>\n\n\n\n
- Connexion TCP directe (le cas du “reverse-tcp”) mais rarement utilis\u00e9e car peu discr\u00e8te, le tunnel de communication est synchrone.<\/li>
- Protocoles Webs avec HTTP(s) par exemple, ce qui a pour int\u00e9r\u00eat de simuler un trafic l\u00e9gitime, certains C2 vont plus loin en cachant les commandes dans le contenu des pages dont on fait la requ\u00eate qui sont construites pour \u00eatre l\u00e9gitime (c\u2019est le cas de TrevorC2<\/a>). C\u2019est le protocole HTTP(s) qui constitue la m\u00e9thode la plus r\u00e9pandue. Cette m\u00e9thode est dite asynchrone, le malware fait des appels au C2, apr\u00e8s un intervalle de temps pr\u00e9cis (il est n\u00e9cessaire de le garder relativement \u00e9lev\u00e9 pour \u00eatre discret).<\/li>
- Autres protocoles comme SMTP, FTP ou DNS (pour le premier, on a vu APT28 l\u2019utiliser<\/a>, pour le troisi\u00e8me on peut citer CobaltStrike ou bien s\u00fbr dnscat).<\/li>
- Au travers des services Web : dropbox, OneDrive, Outlook, github, reddit voir m\u00eame Twitter (c\u2019est le cas de PowerShell Empire, et du C3 de F-SecureLabs<\/a>, C3 pour Custom Command & Control il permet entre autres de d\u00e9ployer des canaux de communications \u00e9sot\u00e9riques).<\/li>
- Pour ce qui est du C2 paire \u00e0 paire, tout ce qui permet de cacher son trafic est utile, ouvrir un port TCP, utiliser les
NamedPipe<\/code> SMB, LDAP (les deux premiers sont tr\u00e8s souvent utilis\u00e9s, LDAP quant \u00e0 lui peut \u00eatre vu avec C3) ou m\u00eame RDP<\/a>.<\/li><\/ul>\n\n\n\nGlobalement il s\u2019ag\u00eet de jouer avec les protocoles disponibles pour mieux se cacher et rester silencieux, il n\u2019est ainsi pas exclu de se cacher dans des protocoles aussi exotiques que ICMP<\/a>. Les capacit\u00e9s des diff\u00e9rents C2 existant peuvent \u00eatre consult\u00e9es ici<\/a> (version actualis\u00e9e<\/a>). Attention cependant, pour des C2s comme CobaltStrike ou PowerShell Empire, leur comportement peut \u00eatre modifi\u00e9 gr\u00e2ce \u00e0 des profiles mall\u00e9ables, pour les autres, il faut modifier le code!<\/p>\n\n\n\n
En plus des diff\u00e9rents moyens de communication, il peut \u00eatre int\u00e9ressant de jouer sur d\u2019autres facteurs pour dissimuler et s\u00e9curiser son trafic, notamment avec la forme de ce dernier: en utilisant du chiffrement, de la st\u00e9ganographie<\/a> qui a \u00e9t\u00e9 utilis\u00e9e par APT29 par exemple, et beaucoup d\u2019autres que vous pouvez retrouver ici<\/a>.<\/p>\n\n\n\n
![\"\"](\"https:\/\/theredwindows.net\/wp-content\/uploads\/2021\/12\/steg.png\")
issue de cet article<\/a><\/figcaption><\/figure><\/div>\n\n\n\n Les serveurs C2s qui seront utilis\u00e9es sont souvent divis\u00e9es en fonction des t\u00e2ches \u00e0 accomplir, en particulier vous trouverez dans la plupart des documentations (y compris celle de CobaltStrike) les serveurs dis “short-haul” et “long-haul”. Traduit litt\u00e9ralement “court-terme” et “long-terme”, le premier d\u00e9signe un serveur C2 d\u00e9di\u00e9 aux op\u00e9rations actives (exploitation de l\u2019environnement), le deuxi\u00e8me est d\u00e9di\u00e9 \u00e0 la persistance dont les implants communiqueront avec un tr\u00e8s haut d\u00e9lai -Raphael Mudge, le cr\u00e9ateur de CobaltStrike recommande 24h entre les checkin -i.e le temps d\u2019intervalle qui s\u00e9pare les communications entre le C2 et le malware-. Ils doivent \u00eatre extr\u00eamement discret car c\u2019est eux qui permettent \u00e0 l\u2019op\u00e9ration de tenir dans la dur\u00e9e. Je dois ajouter cependant que dans le cas de Cobaltstrike, le processus est vraiment facilit\u00e9 car le client poss\u00e8de la capacit\u00e9 de se connecter \u00e0 plusieurs “teamserver” en m\u00eame temps. Les serveurs “short-haul” sont vou\u00e9s \u00e0 \u00eatre d\u00e9couvert et potentiellement chang\u00e9s. Il ne faut donc pas h\u00e9siter \u00e0 multiplier le nombre de ces serveurs pour pouvoir cr\u00e9er une diversit\u00e9 en terme de domaine et d\u2019IPs qui rendra l\u2019ensemble des communications plus discr\u00e8tes.<\/p>\n\n\n\n
![\"\"](\"https:\/\/theredwindows.net\/wp-content\/uploads\/2021\/12\/schema2-1024x517.png\")
<\/figure><\/div>\n\n\n\nCependant pour \u00e9viter \u00e0 avoir remplacer les serveurs d\u00e9couvert, et optimiser la discr\u00e9tion il faut concevoir une nouvelle entit\u00e9 qui aura un r\u00f4le presque aussi important que celui du C2.<\/p>\n\n\n\n
“Redirecteurs”<\/h2>\n\n\n\n
Pour l\u2019instant nous avons une entit\u00e9 qui permet de contr\u00f4ler les machines compromises et qui de surcro\u00eet assure une certaine discr\u00e9tion. Probl\u00e8me, lorsqu\u2019un nouvel implant se connecte \u00e0 notre C2, c\u2019est ce dernier qui sera directement contacter. Or si un membre de la Blue-Team intercepte notre communication et remontre \u00e0 notre serveur, il en d\u00e9duira s\u00fbrement qu\u2019il s\u2019ag\u00eet d\u2019une potentielle attaque. Il nous faut donc trouver un moyen d\u2019avoir des relais qui peuvent \u00eatre d\u00e9couvert (et donc facilement rempla\u00e7able) sans pour autant compromettre les C2s. Pour cela il faudra s\u2019accorder avec la m\u00e9thode de communication choisie (il est assez \u00e9vident que pour certaines m\u00e9thodes, il n\u2019existe pas de relais). Il en existe globalement de 2 types, les redirecteurs HTTP et DNS, je ne vais traiter ici que le premier.<\/p>\n\n\n\n
![\"\"](\"https:\/\/theredwindows.net\/wp-content\/uploads\/2021\/12\/schema3-1024x709.png\")
<\/figure><\/div>\n\n\n\n3 m\u00e9thodes existent pour cr\u00e9er des redirecteurs HTTP(s). Les deux premi\u00e8res sont assez simples et naturelles. Avec socat:<\/p>\n\n\n\n
socat TCP4-LISTEN:80,fork TCP4:<ADRESSE DE VOTRE C2>:80<\/pre>\n\n\n\n
Mais aussi avec iptables:<\/p>\n\n\n\n
iptables -I INPUT -p tcp -m tcp --dport 80 -j ACCEPT\niptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination <ADRESSE DE VOTRE C2>:80\niptables -t nat -A POSTROUTING -j MASQUERADE\niptables -I FORWARD -j ACCEPT\niptables -P FORWARD ACCEPT\nsysctl net.ipv4.ip_forward=1<\/pre>\n\n\n\n
Ces m\u00e9thodes ont l\u2019avantage d\u2019\u00eatre simple et rapide \u00e0 mettre en place, mais elles posent un probl\u00e8me. Si effectivement les adresses de nos C2 sont cach\u00e9es, cela n\u2019emp\u00eache les \u00e9quipes de r\u00e9ponse \u00e0 incident d\u2019acc\u00e9der au contenu des serveurs puisque aucun filtrage n\u2019est effectu\u00e9. Pour r\u00e9pondre \u00e0 cette probl\u00e9matique on peut utiliser apache et son extension
mod_rewrite<\/code> qui est un module permettant d\u2019effectuer des tests conditionnels sur les requ\u00eates qui sont faites sur le serveur web. Voil\u00e0 un sch\u00e9ma pour illustrer cette id\u00e9e:<\/p>\n\n\n\n![\"\"](\"https:\/\/theredwindows.net\/wp-content\/uploads\/2021\/12\/schema5-1024x704.png\")
<\/figure><\/div>\n\n\n\nAvant d\u2019installer le module, il faut \u00e9diter la configuration de apache (
\/etc\/apache2\/apache.conf<\/code>) et changer un param\u00e8tre dans le bloc suivant (si vous choisissez \u00e9videmment\/var\/www<\/code> comme \u00e9tant le r\u00e9pertoire qui sera expos\u00e9 par apache):<\/p>\n\n\n\n<Directory \/var\/www\/>\n Options Indexes FollowSymLinks\n AllowOverride None\n Require all granted\n<\/Directory><\/pre>\n\n\n\n
le param\u00e8tre sera chang\u00e9
AllowOverride None<\/code> pourAllowOverride All<\/code>. Une fois cela fait, on peut d\u00e9sormais installer les modules n\u00e9cessaire avec:<\/p>\n\n\n\nsudo a2enmod rewrite proxy proxy_http <\/pre>\n\n\n\n
Et red\u00e9marrer le service apache: <\/p>\n\n\n\n
systemctl restart apache2 <\/pre>\n\n\n\n
Ensuite il faut cr\u00e9er les r\u00e8gles de tests. Pour cela il faut d\u00e9j\u00e0 inclure dans notre profil mall\u00e9able les urls qui seront utilis\u00e9 pour les diff\u00e9rentes requ\u00eates que l\u2019implant fera: stage, GET, POST \u2026 ainsi que le “user agent” qui sera utilis\u00e9. Les r\u00e8gles utilis\u00e9es par
mod_rewrite<\/code> sont des Regex coupl\u00e9es avec une syntaxe un peu particuli\u00e8re. En effet les tests sont effectu\u00e9s sur des variables g\u00e9n\u00e9r\u00e9es lorsqu\u2019une requ\u00eate est effectu\u00e9e. Le domaine sera d\u00e9sign\u00e9 par la variable%{HTTP_HOST}<\/code>, l\u2019uri par%{REQUEST_URI}<\/code>, les param\u00e8tres qui y seront ajout\u00e9s par%{QUERY_STRING}<\/code>, le user-agent par%{HTTP_USER_AGENT}<\/code>, l\u2019ip de requ\u00eate par%{REMOTE_ADDR}<\/code> et encore bien d\u2019autres que vous pourrez retrouver ici<\/a>. Pour effectuer un test on utilise l\u2019instructionRewriteCond<\/code> qui est suivie de la variable sur laquelle on effectue le test. Ensuite on indique par^<\/code> le test regex. On termine avec un petit flag qui modifie encore le comportement. Vous pouvez \u00e9videmment cumuler les tests. Pour cela on retourne \u00e0 la ligne et on replace un test (sur une autre variable par exemple). Ces deux tests \u00e0 la suite seront consid\u00e9r\u00e9s par apache comme unAND<\/code> par d\u00e9faut, si vous souhaitez un comportement autre, il faudra ajouter le flag[OR]<\/code> \u00e0 la fin du test. Maintenant que nous avons effectu\u00e9 notre test il faut donc construire la redirection qui sera effectu\u00e9e en fonction de la validation ou non du test. Pour cela on utilise l\u2019instructionRewriteRule<\/code>.<\/p>\n\n\n\nPour terminer la configuration, on modifie le fichier
.htaccess<\/code> \u00e0 la racine du site en ajoutant en premier lieuRewriteEngine On<\/code>, et en pla\u00e7ant vos tests \u00e0 la suite. De plus, pour activer le support du SSL, il faut modifier le contenu du fichier\/etc\/apache2\/sites-available\/000-default-le-ssl.conf<\/code>.<\/p>\n\n\n\nEn vue d\u2019une \u00e9conomie de temps certaine, il existe un outil permettant d\u2019automatiser ce processus: cs2modrewrite<\/a>. Cr\u00e9\u00e9 par Joe Vest<\/a> lorsqu’il \u00e9tait \u00e0 SpecterOps (et oui encore eux) il prend en argument 3 param\u00e8tres,
-i<\/code> qui est le chemin vers le profile mall\u00e9able,-<\/code>c qui est l\u2019h\u00f4te http(s) du c2 (au formathttp(s):\/\/domain.com<\/code> ouhttp(s):\/\/ip<\/code>),-r<\/code> l\u2019adresse de redirection au m\u00eame format que le param\u00e8tre pr\u00e9c\u00e9dent. Le r\u00e9sultat doit \u00eatre plac\u00e9 dans le.htaccess<\/code>, mais avant n\u2019oubliez pas de regarder pour de potentiels erreurs.<\/p>\n\n\n\nA noter qu\u2019il est \u00e9galement possible de faire des redirecteurs HTTP(s) avec d\u2019autres technologies comme par Nginx dont je n\u2019ai pas parl\u00e9 car je n\u2019ai pas du tout d\u2019exp\u00e9rience avec, ou encore AWS lambda, dont je ne connais que les tr\u00e8s grandes lignes alors en attendant que je m\u2019y attarde et \u00e9dite cette article je vous invite \u00e0 lire celui de @_xpn_<\/a> (en anglais) https:\/\/blog.xpnsec.com\/aws-lambda-redirector\/<\/a>.<\/p>\n\n\n\n
Les redirecteurs sont une unit\u00e9 extr\u00eamement puissante par les possibilit\u00e9s qu\u2019ils offrent.<\/p>\n\n\n\n
Serveurs de Phishing<\/h2>\n\n\n\n
J\u2019entends ici par Phishing tout ce qui est attrait avec une interaction avec les utilisateurs profitable offensivement parlant : acc\u00e8s initial par mails, capture d\u2019identifiant voir m\u00eame relais de ces derniers. Commen\u00e7ons par le plus simple, les serveurs SMTP. Le serveur SMTP permet l\u2019envoie de mails en vu d\u2019une campagne de (spear) phishing, contrairement \u00e0 ce qu\u2019on pourrait intuitivement penser, lorsque les mails sont bien faits, et envoyer au bon moment, les r\u00e9sultats sont g\u00e9n\u00e9ralement tr\u00e8s probants. Pour en installer un, on peut utiliser opensmtpd ou postfix si on veut tout faire \u00e0 la main, sinon des solutions d\u00e9j\u00e0 faite comme poste.io, iredmails. Une fois cela termin\u00e9, vous pourrez utiliser des outils comme sendemail ou cobaltstrike pour envoyer vos mails. Pour vous simplifier la t\u00e2che, on peut \u00e9galement installer des frameworks d\u00e9di\u00e9s au phishing comme gophish. Son installation est simple mais il faut installer plusieurs d\u00e9pendances comme go, ce qui peut ajouter du travail en vu d\u2019un d\u00e9ploiement automatique.<\/p>\n\n\n\n
Pour un acc\u00e8s initial on peut \u00e9galement utiliser des redirecteurs apache pour optimiser la livraison des charges malveillantes avec
mod_rewrite<\/code>. Par exemple, si vous voulez restreindre l\u2019acc\u00e8s en fonction du syst\u00e8me d\u2019exploitation pour \u00e9ventuellement d\u00e9tourner de rare personnes sur Linux, vous pouvez<\/a>. Si vous voulez restreindre les acc\u00e8s en fonction de l\u2019heure et du user-agent, vous pouvez<\/a>. Ces possibilit\u00e9s sont utiles pour maximiser la difficult\u00e9 de potentiels d\u00e9fenseurs d\u2019analyser trop en profondeur notre infrastructure. Il y a bien d\u2019autres astuces que vous pouvez utiliser, @bluescreenofjeff <\/a>en a d\u00e9di\u00e9 une petite s\u00e9rie (en anglais) qui commence \u00e0 cet article<\/a>.<\/p>\n\n\n\nIl faut ajouter, pour maximiser l\u2019anonymat des op\u00e9rateurs et des infrastructures en jeu, des redirecteurs (m\u00eame si l\u2019utilisation de ce terme est un peu extrapol\u00e9e) SMTP qui auront pour but d\u2019effacer certains headers compromettant. Ainsi ces redirecteurs sont tout comme les redirecteurs HTTP(s)\/DNS, c\u2019est \u00e0 dire qu\u2019ils doivent \u00eatre facilement rempla\u00e7able.<\/p>\n\n\n\n
On peut \u00e9galement \u00e9tendre l\u2019utilisation du mot Phishing pour d\u00e9signer les r\u00e9sultants d\u2019une interaction directe avec l\u2019un des utilisateurs de l\u2019environnement cibl\u00e9. En effet, il existe un nombre tr\u00e8s cons\u00e9quent d\u2019attaques qui vise particuli\u00e8rement les utilisateurs. Lorsqu\u2019on a besoin d\u2019obtenir de nouveaux identifiants, et qu\u2019on identifie un moyen de forcer l\u2019authentification d\u2019un compte \u00e0 une ressource externe, serveur SMB, serveur HTTP qui n\u00e9cessite l\u2019authentification NTLM, (JEA qui exhibe une Cmdlet comme
Invoke-WebRequest<\/code>, un partage accessible \u00e0 des utilisateurs dans lequel on peut placer un fichierscf<\/code>, l\u2019exploitation des nodes ADIDNS…) il peut \u00eatre utile de r\u00e9server ce r\u00f4le \u00e0 un unique VPS. A noter ici qu\u2019il est \u00e9galement possible d\u2019utiliser des redirecteurs vers ce genre de serveur.<\/p>\n\n\n\nAutres serveurs<\/h2>\n\n\n\n
Les id\u00e9es qui seront d\u00e9velopp\u00e9es ici font sans doute partie des moins importante compar\u00e9es \u00e0 celles que nous avons vu au dessus.<\/p>\n\n\n\n
En plus de tout cela, vous pouvez encore ajouter deux types de serveurs. Le premier accueil une multitude de protocole destin\u00e9e \u00e0 transf\u00e9rer les malwares vers les victimes de de votre Phishing par exemple, ou bien de vos dropper. Comme je l\u2019ai dis vous pouvez user de diff\u00e9rents syst\u00e8mes pour livrer vos charges : un serveur web, FTP ou m\u00eame SMB. Ces derniers seront d\u2019autant plus efficace si vous pr\u00e9parez un syst\u00e8me qui permet de choisir al\u00e9atoirement le serveur qui sera contact\u00e9, et m\u00eame le type de payload qui sera utilis\u00e9.<\/p>\n\n\n\n
Beaucoup plus accessoire, vous pouvez d\u00e9ployer des serveurs d\u00e9di\u00e9s aux DevOps, j\u2019y reviendrais dans un article c\u2019est sure. L\u2019id\u00e9e de ces derniers est de randomiser les outils\/payloads qui seront utilis\u00e9s. Cela \u00e0 plusieurs avantages: d\u2019un point de vue professionnel, cela assure l\u2019individualit\u00e9 des outils et malwares ce qui ajoute du r\u00e9alisme \u00e0 l\u2019engagement, mais aussi donne des artefacts forensiques moins g\u00e9n\u00e9rique, en d\u2019autres termes renforce notre discr\u00e9tion; d\u2019un autre c\u00f4t\u00e9 plus pratique, cela peut aider \u00e0 fournir des moyens simples et efficaces pour le contournement d\u2019antivirus (m\u00eame si dans les faits ils ne sont pas vraiment d\u00e9rangeant). Cela dit, ce composant pr\u00e9cis n\u2019a pas besoin d\u2019\u00eatre individualis\u00e9 avant chaque op\u00e9ration, car son installation est lourde de configuration.<\/p>\n\n\n\n
![\"\"](\"https:\/\/theredwindows.net\/wp-content\/uploads\/2021\/12\/schema4-1-1024x681.png\")
<\/figure><\/div>\n\n\n\nExemples<\/h2>\n\n\n\n
Maintenant qu\u2019on a d\u00e9finit les \u00e9l\u00e9ments g\u00e9n\u00e9riques d\u2019une infrastructure, il ne reste plus qu\u2019\u00e0 \u00e9valuer les besoins de votre mission pour en adapter les composants (il va de soit qu\u2019il est inutile de d\u00e9ployer ce genre d\u2019architecture pour un prolab de HackTheBox, sauf peut-\u00eatre le C2) ! Mais pour vous donner une petite id\u00e9e de comment certaines \u00e9quipes Red-Team g\u00e8rent leur infrastructure, voil\u00e0 comment praetorian<\/a> s\u2019organise:<\/p>\n\n\n\n
- Autres protocoles comme SMTP, FTP ou DNS (pour le premier, on a vu APT28 l\u2019utiliser<\/a>, pour le troisi\u00e8me on peut citer CobaltStrike ou bien s\u00fbr dnscat).<\/li>
![\"\"](\"https:\/\/theredwindows.net\/wp-content\/uploads\/2021\/12\/praetorian-1024x791.png\")
<\/figure><\/div>\n\n\n\n![\"\"](\"https:\/\/theredwindows.net\/wp-content\/uploads\/2021\/12\/safe.png\")
<\/figure><\/div>\n\n\n\n