Red Teaming
1. Informationsbeschaffung
# Informationen über Ihr Unternehmen aus öffentlichen Quellen sammeln.
# Identifikation der aus dem Internet erreichbaren IT-Dienste.
# Ermittlung von Namen, E-Mail-Adressen, Telefonnummern und der Benutzernamenskonvention der Mitarbeiter.
# Standorte von Gebäuden und Liegenschaften recherchieren.
2. Initiale Kompromittierung der IT
# Eindringen in das Unternehmensnetzwerk über fehlkonfigurierte oder für öffentlich bekannte Schwachstellen verwundbare IT-Dienste.
# Einsatz des Zeitkatalysators Phishing für IT-Umgebungen mit extern begrenzter Angriffsfläche.
# Ermittlung weiterer Eingliederungsmöglichkeiten in die IT des Unternehmens durch Social Engineering sowie Physical Assessment.
# Persistieren des temporären Zugangs in das interne Unternehmensnetzwerk.
3. Enumeration der internen Angriffsfläche
# Identifikation der Netzwerkstruktur und IP-Adressbereiche.
# Rekursive Enumeration der Active Directory Struktur und deren Assoziation mit dem Organigramm des Unternehmens.
# Priorisierung von ermittelten Diensten für die Folgephasen des Assessments.
# Kompromittierung einzelner Dienste mithilfe öffentlich bekannter Schwachstellen, Einsatz von Trivialzugangsdaten usw.
# Umgehung von vorhandenen Schutzmaßnahmen durch Anpassung von öffentlich bekannter Exploits.
# Installation von permanenten Kommunikationsschnittstellen zu den IT-Systemen des Red Teams (C&C Server)
4. Rechteeskalation im internen Netzwerk
# Auf Einsatz von Passwortwiederverwendung, aktiviertem Standardadministratorkonto, Einhaltung des Least-Privilege-Prinzips usw. prüfen.
# Sichten der aktiven Sitzungen hoch privilegierten Benutzerkonten und nach Möglichkeit für weitere Rechteeskalation im Unternehmensnetzwerk übernehmen.
# Ermittlung der für einen Angreifer höchstmöglich erreichbaren Berechtigungsstufe innerhalb der Windows Umgebung und deren Ausnutzung.
# Erfüllung der individuell vereinbarten Ziele wie beispielsweise das Entwenden von Daten und Geräten.
# Ermittlung der lokalen Rechteeskalation an Zielsystemen.
5. Stresstest der IT-Prozesse
# Iterative Wiederholung einzelner Abschnitte des Assessments mit offensiveren Werkzeugen, Techniken und Methoden.
# Ermittlung der Interaktion-schwelle technischer und organisatorischer Kontrollinstanzen
# Überprüfung des Zusammenspieles von Abwehrmaßnahmen wie beispielsweise des Blue Teams, SIEMs usw.
# Test des erfolgreichen Identifizierens und Isolierens des Red Teams.
# Getroffene Abwehrmaßnahmen zum Schutz des Unternehmensnetzwerks prüfen.
6. Erfüllung der vereinbarten Ziele
# Bsp. Einrichtung eines eigenen (Enterprise) Domänen Administrator Kontos.
# Bsp. Entwendungen von Dokumenten und/oder Geräten.
# Bsp. Kopieren von Forschungsdaten/Personalakten/usw.
# Bsp. Übernahme von Einzelkonten wie Vorstand usw.
Im Anschluss unterstützen wir auf Anfrage auch gerne Ihre interne IT bei der Bereinigung Ihres Netzwerks nach Ende des Assessments.