Red Teamin työkalut: Tomin työkalupakki
F-Securen turvallisuuskonsultti Tom Van de Wiele lähti #CyberSaunan löylyyn podcast-sarjamme toisessa jaksossa “Breaking Into Infosec: Advice from an Ethical Hacker”. Hän sai runsaasti kysymyksiä Red Teaming -työstä ja yrityssalaisuuksien varastamisesta osana Red Team -toimintaa.
Tämä innosti häntä osallistumaan ensimmäiseen “kysy minulta mitä tahansa” -istuntoonsa reddit-sivustolla.
Viestiketjussa Tunkeudun tilauksesta yrityksiin ja varastan yrityssalaisuuksia työkseni! nousi “kysy minulta mitä tahansa” -viestiketjujen huipulle ja reddit-palvelun etusivulle, jossa se myös pysyi miltei koko viikonlopun. Viestiketjuun tuli yli 3 000 kommenttia. Redditin käyttäjät kysyivät muun muassa, onko hän koskaan joutunut kahnauksiin lainvalvojien kanssa, kuinka hän päätyi tekemään red teaming -työtä ja mihin outoihin asioihin hän on törmännyt tietoturvatyössä.
Koko ketju on kiinnostava, mutta Tomin vastaus kysymykseen, ”mitä varusteita käytät työssäsi” on herättänyt erityisesti kiinnostusta tietomurroista kiinnostuneissa henkilöissä ja myös F-Secure-kollegoissa.
Tom ymmärtää, miksi työkalut kiinnostavat, mutta pelkät välineet eivät kuitenkaan tee ketään tilattujen yritysmurtojen asiantuntijaksi.
“Voin katsoa huippukokkien TV-ohjelmia, selvittää kokkien käyttämät veitset ja uunin ja käydä ostamassa ne itselleni. Oikea veitsi ei kuitenkaan korvaa vuosien kokemusta”, hän toteaa. “Työkalut ovat vain keino päästä tavoitteeseen. Tärkeintä on kyky ymmärtää ja hyödyntää inhimillisiä heikkouksia sekä ymmärtää, kuinka yritykset toimivat. Näin voit käyttää hyväksi kaikkien vastuulle jakautuneita asioita, jotka liittyvät teknologian käyttämiseen, prosesseihin tai ihmisiin organisaatiossa.”
Tomin työkalut eivät ole saatavissa sellaisenaan mistään.
“Elektroniikkaa on muokattu tarpeidemme mukaan, jotta meillä on laaja valikoima hyökkäystyökaluja vanhoista uusimpiin ja tehokkaimpiin. Näin työmme on mahdollisimman kustannustehokasta sekä hyökkäystemme mahdollisuus onnistua mahdollisimman hyvä. Hyökkäystyökalut ja -laitteet on helppo havaita, jos niitä käytetään oletusasetuksin. Niissä ei ole ominaisuuksia, joita tarvitsemme hyökkäyksissä sekä omien toimiemme kirjaamisessa. Todelliset rikolliset eivät tietenkään kerää tietoa omasta toiminnastaan, mutta Red Team -työhön kuuluu seuranta, jota asiakkaat voivat jälkikäteen käyttää purkaessaan tilannetta. Työkalujen muokkaaminen on ratkaisevan tärkeää. Se auttaa meitä pysymään huomaamattomina ainakin hyökkäyksen alkuvaiheessa, jotta asiakkaamme saavat työstämme mahdollisimman suuren hyödyn.”
Tom kertoi esittelevänsä mielellään välineitään tarkemmin. Välineet ovat:
1: Kirjoituslevy, heijastinliivi, kypärä tai muu vaatetus, joka auttaa sopimaan kohdeympäristöön. Varustuksen on sovittava peitetarinaan, joka on kehitetty ennakkoon tehdyn tiedonkeruun pohjalta.
2: Lähiverkko-USB -sovittimet, Wi-Fi -sovittimet tunnusten hankintaan laitteen (4) kanssa.
3: Lähiverkkokaapelit ja muut kaapelit
4: Yritysverkkoon soluttautumislaite (rogue network implant), jolla avataan F-Securen hallitsema pääsy yritysverkkoon suoraan internetistä.
5: Proxmark3-laite RFID/NFC-sirujen tutkimiseen & (sen alapuolella valkoinen) laite erityisesti RFID/NFC -kulkukorttien ja -tunnisteiden kopiointiin ja kloonaukseen.
6: Räätälöity “Rubberducky”-laite tai muu vastaava automatisoitava näppäimistöä, hiirtä tai muuta ohjauslaitetta esittävä laite, joka syöttää suuren määrän tekstiä, esimerkiksi mahdollisia avauskoodeja, salasanoja tai muuta murtautumista helpottavaa tietoa laitteelle hyvin nopeasti.
7: Wi-Fi -antennillinen “PocketCHIP” -minitietokone nopeisiin Wi-Fi -tukiasemahyökkäyksiin, käyttäjätunnusten keruuseen tai tunnusten varastamiseen lähiverkossa, kahden tahon väliseen viestintään tunkeutumiseen haittaohjelmien levittämiseksi. Virtapankit (ei kuvassa)
8: Banaani antaa mittakaavaa laitteille ja samaan aikaan se antaa tuntemattomille henkilöille syyn liikkua rakennuksissa. Tavaroita käsissään piteleviä ihmisiä ei pidetä epäilyttävinä, vaan ”sulautuu ympäristöön”.
9: Pihdeillä, ruuvimeisseleillä ja muilla työkaluilla avataan lukkoja, lokeroita (joissa kulkulupia, varmuuskopioita, avaimia, sähköavaimia) ja räkkien lukituksia.
10: Tiirikkasetti (ei näkyvissä), lukkopyssy, bumping-avaimet ja jiggler- avaimet
11: Kokoontaitettava näppäimistö
12: Kaulanauha, jossa on kiinni avain ja USB-muistitikku. Tikun valetiedostot on nimetty houkuttelevasti, jotta kaulanauhan löytäjä avaisi ne. Tiedostojen avaaminen käynnistää tietokoneen suojauksen murtavan haittaohjelman, mutta vain jos kyseinen laite kuuluu kohdeyritykselle. Nauhoja jätetään mahdollisuuksien mukaan kohdeyrityksen rakennuksien sisään tai pysäköintipaikalle ja pyöräsuojaan, jotta ihmiset uskovat kollegansa hukanneen avaimet.
13: “LAN Turtle” -laitteita erilaisiin verkkohyökkäyksiin.
14: Älypuhelimeen liitettävä FLIR-infrapunakameramoduuli mahdollistaa työntekijöiden näppäimistön jälkilämmön kuvaamiseen läheltä. Vaikka työntekijät voivat peittää näppäimistön kädellään syöttäessään erilaisia PIN-koodeja, jälkilämpö voi paljastaa naputellut numerot jopa minuutin myöhemmin.
15: USB-näppäilyntallentajat, joissa on Wi-Fi -yhteys, välittävät kaiken koneella kirjoitetun rakennuksen ulkopuolelle tai internetiin, kun niitä käytetään verkon soluttautumislaitteen (4) kanssa.
Seuraa Tomia Twitterissä pysyäksesi ajan tasalla hänen seikkailuistaan yritystietojen suojaamiseksi tunnisteella #protectyouraccesscard. Tiedät, milloin hän tulee taas vastaamaan kysymyksiin joko #CyberSauna-podcastissamme tai reddit-palvelussa.
Cyber Security Saunaa pääset kuulemaan sivuiltamme.
Kategoriat