Membangun Red & Blue Team Lab Realistis
Meningkatnya serangan siber setiap tahun mulai dari serangan APT sampai dengan Human-Operated ransowmare membuat organisasi harus siap dalam menghadapi serangan siber, dan juga berkembangnya dengan cepat mengenai teknologi, vulnerability maupun taktik, teknik dan prosedur (TTP).
Belajar mengenai penetration testing saja tidak cukup saat ini, jika ingin belajar yang lebih advanced seperti Red-Teaming/Adversary Simulation, Purple Teaming, dan Threat Hunting disarankan memiliki lab sendiri. Cara terbaik untuk meningkatkan skill yaitu dengan praktik langsung di lingkungan lab yang realistis.
“The best way to learn to hack is by hacking. Put together a laboratory with virtual machines and start testing things, taking a break to investigate anything you don’t understand. At the very least you will want a windows server as a domain controller, another normal Windows vm attached to the domain, and a development machine with visual studio to compile and modify tools. Try to make an office document with macros that launch meterpreter or another RAT, and try meterpreter, mimikatz, bloodhound, kerberoasting, smb relaying, psexec and other lateral movement techniques” — PHINEAS FISHER (HackBack — A DIY guide to rob banks)
Untuk membangun sebuah lab yang realistis memiliki tantangan tersendiri mulai dari konfigurasi yang cukup kompleks dan memerlukan resources yang cukup banyak dikarenakan banyak virtual machine yang dibangun tidak hanya 1–5 VM saja tetapi bisa diatas 10 VM.
Banyak keuntungan yang didapatkan jika memiliki lab yang realistis contoh sebagai red team dapat dengan mudah mengembangkan tradecraft dengan menguji TTPs agar mengetahui bagaimana serangan tersebut bekerja dan membuat serangan tersebut sulit terdeteksi oleh blue team.
Sementara sebagai blue team dapat mengetahui bagaimana mencegah serangan tersebut dan Indicator of Compromise (IoC) apa saja yang dihasilkan sehingga dapat mengembangkan deteksi dan bagaimana merespon dari serangan tersebut.
Menentukan Environment Lab
Sebelum membangun lab lebih jauh, hal pertama harus menentukan terlebih dahulu seperti apa environment lab yang akan dibangun dengan tujuan untuk membuat red team skenario yang nanti dijadikan sebagai objective. Beberapa jenis environment lab yang bisa dibuat :
- Banking : Mendapatkan data customer dan mengakses critical server seperti core banking dan swift.
- ICS/SCADA : Mengakses layanan OT.
- Healthcare : Mendapatkan informasi mengenai data pasien.
- E-Commerce : Mendapatkan informasi mengenai data pelangan dan transaksi.
User Simulator
Untuk membuat lab yang semakin relaistis dibutuhkan sebuah aktivitas yang mirip dengan perilaku pengguna asli seperti aktivitas membuka program, mengakses file sharing, membuka browser, maupun membuka dokumen yang dikirimkan melalui email. Untuk melakukan aktivitas tersebut bisa dijalankan secara otomatis dengan bantuan tools berikut :
Active Directory
Saat ini APT dan human-operated ransomware menargetkan active directory, banyak organisasi yang bergantung pada active directory untuk mengelola aturan, hak akses, dan security pada pengguna atau jaringan komputer. Maka dengan hal itu active directory merupakan komponen utama yang harus dipasang didalam lab.
Berbagai macam kerentanan dan misconfiguration yang dapat dimanfaatkan oleh penyerang untuk mendapatkan domain admin, jika penyerang berhasil mendapatkan domain admin maka akan dapat dengan mudah mendapatkan tujuan akhir dari serangan. Berikut ini diantaranya Active Directory Vulnerability dan Misconfiguration yang dapat dieksploitasi dan disalah gunakan :
- Unconstrained Delegation
- Constrained Delegation
- Kerberoasting
- Weak ACLs
- Zerologon, AD CS PetitPotam, PrintNightmare
Untuk membuat active directory yang mirip dengan corporate :
- Minimal terdapat 4 departement terdiri dari IT, HR, Sales, Finance
- Minimal terdapat 1 File Server, 1 SQL Server dan 1 Mail Server (MS Exchange/Hmailserver)
- Terdapat 1 Service Account
- Local Admin Password Solution (LAPS) — Optional
Red Team
Sebagai seorang red team tentunya untuk berhasil mendapatkan sebuah objective harus didukung dengan tools yang memadai, berikut tools yang disarankan untuk dipakai :
- Command & Control : Cobalt Strike, PoshC2, Empire 4.0, Covenant, Metasploit
- Weaponization : Donut, Hot Manchego, SharpShooter
- Internal Recon : PowerView, GhostPack (Rubeus, Seatbelt), BloodHound, PowerUpSQL
- Credential Dumping : Mimikatz
- Lateral Movement : Impacket, CrackMapExec, Responder
- Exfiltration : Egress-Assess
- Password Cracking : JTR, Hashcat
Blue Team
Sebagai blue team untuk mendeteksi aktivitas dari red team dan mencegah serangan sebelum mendapatkan objective.
- SIEM : ELK, Splunk, Security Onion, HELK, SOF-ELK, Wazuh
- Threat Intelligence Platform : MISP
- Endpoint Monitoring : Velociraptor, OSQuery
- Network Security Monitoring : Zeek, Suriata, Moloch, RITA
- SOAR : Shuffle, Cortex
- Data Sources : Sysmon, SilkETW, Windows Events (Security, Application, System, WMI, PowerShell Logging), auditd
Khusus untuk antivirus jika tidak cukup dengan windows defender bawaan bisa mencoba menggunakan Microsoft Defender for Endpoint Trial selama 90 hari.
Membangun Lab dengan DetectionLab
DetectionLab mempermudah untuk membuat lab dengan cepat dengan mengotomatisasi proses pembuatan Active Directory terdapat logging dan alat keamanan blue team menggunakan berbagai macam platform.
Membangun Instan Lab dengan Snap Labs
Snap Labs (former: Ubeeri) membuat sebuah inovasi yang mana memungkinkan siapa saja dapat membangun lab dengan cepat dan dapat disesuikan sendiri, berbasis cloud dengan biaya yang cukup terjangkau. Terdapat lab templates yang bisa dipilih dan kemudian di deploy menggunakan AWS dan untuk mengakses lab-nya dapat menggunakan VPN.
