Adotta il tuo hacker

Esempi di scenari e attività

 

Scenari web e infrastrutture

 

• Ricognizione delle risorse disponibili al pubblico nell'ambito dell'organizzazione mirata che soddisfano l'ambito del test:

  • Trasparenza dei certificati: standard di sicurezza Internet pubblicamente disponibile per monitorare i certificati digitali. Possiamo utilizzare questi record per OSINT poiché un'autorità di certificazione dovrà pubblicare tutti i certificati TLS che emettono. Queste informazioni contengono nomi di dominio, nomi di sottodomini e indirizzi e-mail, che possiamo estrarre poiché sono pubblici.

  • Google Dorking: i motori di ricerca come Google e DuckDuckGo supportano vari operatori di ricerca avanzati nella definizione delle query di ricerca, ad esempio, possiamo utilizzare l'operatore "sito" per trovare i sottodomini da una ricerca su Google.

  • Set di dati pubblici: esistono molti set di dati disponibili pubblicamente che raccolgono sottodomini e informazioni sulle risorse esterne, come Censys, DnsDumpster, RiskIQ, Shodan, ecc.

• Mappatura di interi intervalli IP che appartengono all'organizzazione e/o sono elencati sotto i numeri ASN dell'azienda.

• Esecuzione strumenti di screenshot e fingerprinting per raggruppare risorse simili in base alle loro tecnologie o altre caratteristiche condivise per comprendere la superficie di attacco.

• Esecuzione scansioni complete delle porte e delle vulnerabilità utilizzando Nmap, Nesuss, Nexpose, ecc. 

• Mappatura di versioni dei componenti, exploit noti con l'obiettivo finale di conquistare un obiettivo e prendere piede nella rete organizzativa.

• Mappatura di risorse strategiche come server SMTP, dispositivi di rete, server DNS ecc.  concentrandosi su qualsiasi configurazione errata all'interno dei servizi scoperti, inclusi problemi di sicurezza noti che possono causare perdite di dati critici (come PII) o persino l'acquisizione di componenti completi.

• Avviamento di exploit noti contro i server VPN esposti.

• Ricerca di vulnerabilità web comuni, tra cui XXE, SSRF, SQLi,

• Ottenimento dell'accesso a una postazione interna alla rete aziendale.

• Ricerca di infrastrutture relative ad ambienti sensibili, debug e applicazioni di staging e ricerca di portali per sviluppatori lasciati “aperti” o funzionalità che possono portare a un'acquisizione del server.

• Ricerca di infrastrutture vecchie o meno mantenute (ad esempio che utilizzano vecchie tecnologie) e che statisticamente possono essere più inclini a percorsi di attacco.

• Identificazione ulteriori superfici di attacco, sottodomini o API dalle app mobili dell'azienda disponibili pubblicamente, eseguendo query di ricerca su versioni decompilate dei pacchetti dell'applicazione e cercando chiavi API/credenziali/URL sensibili codificati, un'ispezione dei dati in uscita, traffico e ecc.

• Raccolta informazioni sensibili da una varietà di piattaforme informative, incluso il deep web, come nomi utente, indirizzi e-mail, mappatura delle e-mail aziendali trovate nelle fughe di dati insieme alle loro password in chiaro. Utilizzare le informazioni pertinenti per espandere la superficie di attacco a parti autenticate del perimetro esterno, abusando dei servizi di caricamento file e/o contattando dipendenti o amministratori dell'azienda.

• Utilizzo le e-mail dell'organizzazione raccolte dalla fase OSINT e utilizzare i dati raccolti per enumerare i nomi utente di dominio tramite servizi pubblicamente disponibili come ADFS, utilizzando attacchi Password Spray.

​

​

 

Scenari di assessment interno

 

• Accesso iniziale: accesso a una stazione all'interno del dominio come risultato di una valutazione esterna, di una campagna di phishing o per VPN e credenziali di dominio a un endpoint debole.

• Consapevolezza della situazione attuale (CSA – Current State Analysis)

  • Ispezione di applicazioni installate, soluzioni antivirus, endpoint e configurazioni errate di Active Directory

  • Determinare se sono presenti vulnerabilità a livello di sistema operativo.

• Escalation dei privilegi. Tentativo di elevare le autorizzazioni locali o di dominio ed espandersi all'interno del dominio.

• Esecuzione di tecniche di sfruttamento note e collaudate che sfruttano vulnerabilità a livello di sistema operativo.

• Esame delle condivisioni e degli script dell'azienda alla ricerca di password in chiaro o architettura di rete aggiuntiva.

• Scansione delle porte per raggiungere server o applicazioni di sviluppo sensibili.

• Movimenti laterali

  • Esecuzione di dump della memoria nel processo Lsass, estrazione di credenziali di dominio memorizzate nella cache o estrazione di hash locali dagli hive del registro.

  • Mappatura delle relazioni di dominio: chi ha una sessione e dove, chi ha accesso a dove, ACL, ecc. e correlazione delle informazioni mappate per costruire un percorso di attacco dal punto attuale fino ai privilegi di amministratore di dominio.

  • Impatto – con privilegi sufficientemente elevati all'interno del dominio, ottenendo l'accesso alle risorse critiche predefinite con il cliente.

 

 

​

Scenari fisici (opzionale)

 

• Ottenimento dell'accesso alla rete locale

  • Accedere a una delle principali filiali o sedi centrali dell'azienda e individuare punti di connessione RJ-45 accessibili, collegandosi a questi punti imitando i dispositivi di rete autorizzati per accedere alla rete interna.

  • Accedere a una delle filiali o sedi centrali dell'organizzazione, connettersi alla rete Wi-Fi ospite, tentare di entrare in reti organizzative arbitrarie e passare da esse alla rete principale.

  • Individuazione dei punti di accesso chiave privi di sicurezza fisica e/o accessibili al pubblico per trovare punti strategici da cui eseguire le nostre prossime operazioni.

• Ingegneria Sociale

  • Accedere a un ramo d'azienda e utilizzare l'Ingegneria Sociale (attraverso vari scenari come l'identificazione come appaltatore, la falsificazione dell'ID di un dipendente, l'identificazione come nuovo dipendente di una filiale diversa, ecc.) per ottenere l'accesso privilegiato agli uffici, individuando e mappando i punti di accesso strategici per l'installazione di hardware personalizzato che fornisce l'accesso remoto capacità alla rete interna del cliente.

  • Partecipare di nascosto a un tour dei fornitori programmato in una delle filiali per eseguire lo stesso.

  • Tailgating e tentativo di entrare attraverso una porta o un percorso che è stato lasciato aperto.

  • Utilizzo dell'hardware RFID per clonare le tessere di accesso dei dipendenti e utilizzarle per accedere alle strutture e accedere alla rete interna

​

​

Ingegneria sociale remota (opzionale)

​​

• Utilizzo dell'ingegneria sociale per contattare i dipendenti ei rappresentanti dell'azienda sui social media come LinkedIn, Facebook, Twitter, ecc., per sviluppare relazioni con i dipendenti e creare un livello di fiducia di base prima di inviare documenti dannosi come un curriculum.

• Contatto dei dipendenti dell'organizzazione con un'ipotesi plausibile sui contenuti che saranno rilevanti per loro personalizzando i contenuti in modo che assomiglino a ristoranti o luoghi di ritrovo nelle vicinanze (ad es. inviando loro un link con un coupon per uno sconto presso una caffetteria locale).

• Utilizzo scenari di Spear Phishing mirati sui dipendenti dell'organizzazione, ad esempio inviando variazioni di curriculum che contengono codice dannoso per farci entrare nella rete dell'organizzazione senza generare allarmi.

• Realizzazione di un portale pubblico, fake, con contenuti personalizzati, adattato alle informazioni raccolte in fase di mappatura per aumentare le possibilità per i target di inserire le credenziali di dominio, e raccolta delle indicazioni dei click sui link e delle credenziali inviate.

• Simulazione di identità di dipendenti dell'azienda diversi e utilizzo la fiducia creata per trasferire file dannosi (ad esempio, avvicinando un dipendente per conto del suo capo tramite Mail Spoofing o utilizzando un indirizzo e-mail simile).

• Creazione di relazione a lungo termine e la fiducia investendo e alimentando un account falso che verrà lentamente collegato nei social media ai dipendenti dell'azienda. Fornire consigli in forum pubblici come StackOverflow e GitHub e, a un certo punto, trovare un'apertura per inserire codice dannoso minimo in uno snippet o in qualsiasi altro formato accettabile nelle circostanze date