web-dev-qa-db-fra.com

Réduisez le bruit lors des tests de pénétration

Récemment, j'ai participé à une compétition de capture du drapeau qui était jointe aux équipes d'analyse SOC surveillant notre trafic.

Là, on nous a dit que de nombreux outils étaient très bruyants. Par exemple Sqlmap qui a son en-tête complet.

Comme nous étions tous nouveaux, nous n'avons pas pu comprendre en plus de faire des analyses nmap -sS. Quoi d'autre pourrait être moins bruyant dans le processus de test de pénétration? Ou pour être plus précis sur les outils et les approches à privilégier pour atteindre cet objectif d'être le moins détectable.

penetration-testidstoolsdetectionctf
25
Khopcha

Vous souhaitez augmenter le signal et réduire le bruit lors d'un test au stylet?

Génial! Voici quelques éléments à méditer:

  1. Pour les réponses aux questions que vous vous posez - ont-elles déjà répondu ailleurs? Par exemple, les données Nmap d'un test de plume précédent fournissent-elles une vue suffisamment précise des données que vous attendez aujourd'hui? csrecon ou similaire fournissent-elles ces données? Si vous êtes sur le réseau local, ARP le fournit-il? Pouvez-vous accélérer la découverte ARP (netdiscover, arp-scan, arping, etc.) et la capture de paquets/MITM (par exemple, bettercap ) ou les combiner avec Nmap via xerosploit ?
  2. Pouvez-vous numériser à partir d'une source fiable ou tierce et noter les résultats avant de commencer votre propre numérisation à partir de votre propre infrastructure? Est-ce que scanless ou similaire fournirait cette perspective? Que diriez-vous d'utiliser le script ipidseq NSE pour pivoter vers scan idles ? Ou que diriez-vous d'utiliser dnmap à partir de tonnes de sources?
  3. Pouvez-vous modifier Nmap afin qu'il ne soit pas récupéré par IDS ou bloqué par IPS? Pouvez-vous utiliser un outil tel que sniffjoke avec une configuration préparée? Que diriez-vous d'utiliser un autre moyen d'analyse qui semble plus normal et plus convivial/efficace TCP, tel que pbscan ? Pouvez-vous effectuer les deux Nmap et MetaSploit simultanément avec metasploitHelper ?

Si vous avez déjà des crédits, alors fouillez avec numérisation SPN avant la numérisation IP/ICMP/TCP/UDP. Pivotez ensuite avec des outils tels que portia , autoDANE et CrackMapExec .

Parfois, d'autres protocoles sont en cours d'utilisation sur le réseau, tels que DCE-RPC sur Ethernet (par opposition à TCP/IP sur Ethernet), mais vous pouvez créer un pont entre les deux en utilisant Piper ou similaire . Vous souhaitez créer un backchannel (par exemple, C2, canal secret) sur ARP? Testez ensuite slarpd/slarpc .

D'autres fois, vous pouvez créer un canal secret dans les protocoles existants, comme en utilisant outil phcct pour le saut de protocole TCP/IP ou même méthode Forkitor sur SSH . Cachez-vous à la vue!

Et IPv6? Est-il activé sur le réseau mais l'équipe bleue ne le recherche pas? Si vous voulez voir si IPv6 est activé, saisissez une pile locale et utilisez ip -6 neighbor show, ndp -an, pour afficher passivement ces réseaux, ou même activement avec ping6, par exemple, ping6 -c 2 ff02::1 ou ping6 -a ag, ping6 -a al, ping6 -N. Exécutez ce module à partir du framework metasploit - auxiliary/scanner/discovery/ipv6_neighbor_router_advertisement

Essayez ces techniques - https://www.ernw.de/download/newsletter/ERNW_Newsletter_45_PenTesting_Tools_that_Support_IPv6_v.1.1_en.pdf - pour créer un pont entre vos outils IPv4 et les réseaux IPv6 cibles.

19
atdre

Vous devez faire un choix: optez-vous pour la furtivité, ou pour une large couverture et efficacité? Essentiellement tous les outils d'analyse, y compris nmap -sS, sont facilement détectés par un SOC compétent s'ils fonctionnent à une vitesse décente. Si vous voulez éviter la détection, vous devez soit faire moins de demandes, soit les faire plus lentement.

Avez-vous essayé d'exécuter des outils comme Snort, Bro ou Security Onion lors d'un test de pénétration dans un laboratoire? Quels signaux sont envoyés immédiatement? Comment fonctionnent ces outils? Si vous voulez éviter la détection, vous devez savoir comment fonctionne la détection.

Si la furtivité est votre objectif:

  1. Évitez les outils évidents (comme SQLMap) ou assurez-vous qu'ils ont des paramètres pour cacher des choses comme une chaîne User-Agent. (par exemple., sqlmap --user-agent=Benign/1.0)
  2. Allez lentement et aussi ciblé que possible. Connaissez votre cible avant d'essayer de l'atteindre. La précision chirurgicale est meilleure que la force brute si vous avez besoin de vous taire.
  3. Si vous prenez pied, faites pivoter votre trafic par là pour masquer la source.
  4. Si vous obtenez plusieurs points d'ancrage, répartissez votre trafic sur plusieurs sources.
13
David

Sans trop entrer dans les détails (car ils dépendent beaucoup des circonstances du test), vous pourriez penser à des choses comme ça.

Comment les SOC trouvent-ils les attaquants? Eh bien, il y a deux façons, ils peuvent rechercher les signatures des outils d'attaque connus, donc par exemple la plupart des IDS auront une signature pour l'analyse nmap, et si vous numérisez en utilisant nmap, vous la désactiverez.

Une autre façon pour l'équipe bleue de travailler est de rechercher des anomalies. Ainsi, par exemple, s'ils savent qu'il n'y a pas de service sur le réseau utilisant le port 23455/TCP et qu'ils commencent soudain à voir du trafic sur ce port, il est facile de l'utiliser comme un événement alertable.

Du point de vue de l'attaquant, comment éviter cela?

Eh bien pour le premier, évitez d'utiliser des outils bien connus dans leurs configurations par défaut. Au lieu de nmap, essayez d'utiliser des choses comme les outils du système d'exploitation qui vous permettent de vous connecter aux services (donc par exemple un client SSH dans une boucle à la recherche de serveurs SSH)

Utilisez également des techniques passives. Le reniflage de paquets peut révéler des systèmes diffusant du trafic qui révèlent les services qu'ils exécutent. Ainsi, par exemple, un serveur Windows peut effectuer certaines diffusions que vous pouvez capter. vous savez donc de quoi il s'agit et vous pouvez le contacter directement sur les ports Windows courants, qui n'apparaîtront probablement pas sur un tableau de bord SOC car c'est un trafic assez normal.

L'autre chose à éviter est les ports par défaut courants pour les outils d'attaque. Si l'outil est livré avec une valeur par défaut, utilisez autre chose et de préférence quelque chose qui est déjà utilisé sur le réseau, comme utiliser 443/TCP pour le trafic SSL, cela se fondra très bien, selon toute vraisemblance.

3
Rory McCune

En ce qui concerne Nmap, il existe un certain nombre d'options à lire directement dans le manuel, qui peuvent vous aider à effectuer des analyses plus furtives: Nmap: Firewall/IDS Evasion and Spoofing

0
Anonymous