الفرق الحمراء او red teams تعتبر الجانب الهجومي offensive من الامن الرقمي، ولكي تتم الهجمات بشكل ناجح يجب على الفرق الحمراء استخدام بعض الادوات التي تفيدهم في عملية الهجوم، في سلسلة التغريدات هذه سوف اتكلم على النهج الذي يتم عملة في الهجمات وماهي الادوات المستخدمة.
تقسم عملية الهجوم في الفرق الحمراء الى ٩ مراحل وفي كل مرحلة يتم استخدام ادوات يتم توظيفها لكي يتم استخراج افضل نتائج منها من اجل البدء بالمرحلة التي تليها.
وسوف اذكر كل مرحلة وماهي الادوات المستخدمة بها مع نبذة بسيطة عن كل اداة.
المرحلة الاولى الاستكشاف Reconnaissance
وهي عملية الاستكشاف الاولية وجمع المعلومات information gathering ويتم بها جمع اكبر عدد من المعلومات عن الهدف، وكلما زادت المعلومات كلما كان الهجوم ناجح بشكل استثنائي.
والادوات المستخدمة هي:
nmap وهذا البرنامج هو الاحسن في استكشاف البورتات المفتوحة في الهدف وايضاً ماهي انظمة التشغيل المستخدمة
Nessus البرنامج الافضل لعمل vulnerability assessment وفيه سوف تجد بيانات اكثر عمقاً، ولكنه مدفوع
OpenVAS عملة مثل برنامج Nessus ولكنه نسخة مفتوحة المصدر ومجانية
Nikto اداه لفحص مواقع الويب ومعرفة التقنيات المستخدمها بها وماهي الثغرات ان وجدت في السيرفرات
Spiderfoot وهي واحدة افضل ادوات ال OSINT وبها يمكنك تجميع معلومات كثيرة ومتعددة
Maltego اداة لجمع ال OSINT بشكل خرائط ذهنية
OSINT Framework وهي اداة لجمع المعلومات بشكل مفصل
Shodan محرك البحث الافضل للمخترقين حيث فيه ستجد الكثير من المعلومات خصوصاً عن السيرفرات واجهزة ال IOT
Wireshark لمراقبة الشبكة والحزم التي يتم ارسال البيانات واستقبالها
المرحلة الثانية التسليح Weaponization
وهي المرحلة الثانية بعد الاستكشاف وبعد تجميع المعلومات وفيها يتم بناء الهجمات على الهدف، فبناء على المعلومات يتم اختيار النهج approach الافضل لعمل الهجوم
الادوات:
Metasploit وهي الاداة المفضلة للهجمات هي الاشهر عالمياً
Social Engineering Toolkit (SET) هي اداه لعمل هجمات الهندسة الاجتماعية
Veil وهي اداة لعمل مراوغة evasion لمكافحات الفيروسات
حيث في هذه المرحلة سيتم التجهيز لارسال ملفات للهدف ومن المؤكد ان لديه مكافح فيروسات لذلك يجب تجاوزة
مرحلة التوصيل والاستغلال Delivery and exploitation ومن الاسم يتضح انه سوف يتم عمل ارسال ملفات للهدف وعمل هجمات هندسة اجتماعية عالية التيكنيك.
ومن الادوات المستخدمة:
Gophish وهي اداة لعمل حملات الاصطياد ويمكن تنظيم عملها عبر هذه الاداة
Hashcat لكسر الباسوردات في حال مصادفتنا لها
King Phisher وهي اداة متخصصة ايضا في عمل هجمات الاصطياد
wifi phisher وهي اداه لعمل هجمات الاصطياد على الشبكات اللاسلكية
BeEF وهي اداة لعمل استهدافات متصفحات الويت
مرحلة تصعيد الامتيازات Privilege escalation وبها تقوم الفرق الحمراء بالسيطرة على الهدف وتصعيد المستخدمين الذين تم اختراقهم للوصول الى صلاحيات اعلى ك administrator او root على الاجهزة والسيرفرات التي سيطرو عليها.
الادوات المستخدمة:
PowerUp وهي اداة تعمل في على اجهزة ويندوز وعلى ال PowerShell وتبحث على الاعدادت الغير صحيحة في الاجهزة من اجل استهدافها
BeRoot وهذه الاداة تعمل على لينكس لتصعيد الامتيازات لكي تحصل على صلاحيات الرووت
مرحلة الحركة الجانبية Lateral movement ويمكننا ان نقول انها مرحلة مابعد الاستغلال post-exploitation، وفيها يتم طبخ الهدف على نار هادئة والتعمق فيه، ويتم الدخول من اجهزة وسيرفرات الى سيرفرات اعمق.
ومن الادوات المستخدمة:
Mimikatz وهي الاداة الافضل لاستخراج كلمات المرور من انظمة ويندوز
LaZagne وهي اداة لاسترجاع كلمات المرور من انظمة ويندوز
CrackMapExec وهي اداة يتم استخدامها في ال active directory من اجل معرفة كلمات المرور
مرحلة القيادة والسيطرة Command and control وايضاً يرمز لها ب C2
وهي مرحلة يتم تثبيت الاختراق بشكل كامل ويتم عمل فيه قيادة وسيطرة للسيرفرات والاجهزة المخترقة ويتم بها ارسال اوامر للاجهزة المخترقة لكي تقوم بتنفيذها بشكل دوري.
الادوات المستخدمة:
Cobalt Strike وهي من اعظم الادوات في مرحلة القيادة والسيطرة وايضاً الهندسة الاجتماعية ولكن سعرها غالي جداً.
Pupy وهي اداة تعمل على كل انظمة التشغيل لعمل ال payloads وايضاً تشغيل الاوامر على اجهزة عديدة بنفس الوقت
Empire وهو مشروع يعمل على powershell بدون تشغيلة وفعال جدا للتملص
مرحلة الترشيح والانهاء Exfiltrate and complete وفيها يتم ترشيح البيانات وفلترتها من اجل اخذها وايضاً انهاء الهجوم بمسح اثار الهجمة من على الاجهزة والسيرفرات.
ومن الادوات المستخدمة:
اداة Cloakify Factory ويتم تخزين البيانات على شكل strings من اجل اخفاءها عن الشبكة.
اداة DNSExfiltrator ويتم بها اخفاء البيانات وارسالها كطلبات DNS صحيح انها بطيئة ولكنها فعالة جداً.
اداة Powershell-RAT ويتم بها ارسال البيانات على شكل مرفقات ايميلات
وهناك مرحلة اخيرة وهي التاسعة وهي كتابة التقرير وبها يتم شرح كيف تم عمل الهجوم وايضاً ماهي البيانات التي تم اكتشافها وايضاً ماهي السيرفرات التي تم السيطرة عليها والمدى الكلي للهجوم.