Mòdul Professional 1: ACTIVITAT 7 - Atac per adjunts
Índex
1 Objectius
- Simulació adversari.
- Conèixer eines per simular adversaris de forma simple.
- Verificar que podem detectar els atacs de força bruta i activar el playbook.
2 Enunciat
Per fer un escenari més complert i que permeti repassar el que hem vist fins al moment, desenvoluparem una estructura on poder desplegar sensors i indicadors que ens permetin detectar un atac de malware/backdoor que s'escampi com adjunt per correu electrònic. Bàsicament aquesta pràctica englobarà els tres mòduls (Incident Response, Forensic, Hacking) i l'objectiu serà:
- Desplegar una infraestructura a M1 de forma que siguem capaços de detectar l'atac.
- A forense, un cop fer l'atac, extreure una imatge de la VM i analitzar-la per trobar-ne les evidències i redactar un informe.
- A Hacking, crear un metèrpreter i practicar les opcions avançades de getsystem, migrate, persistance, pivoting, etc.
Per fer l'escenari necessitarem inicialment:
2.1 Configuració de la màquina
- Configurar el rellotge del sistema amb NTP.
- Thunderbird Client configurat per rebre els correus del vostre compte @lacetania.cat
- Crear una nova interfície a VirtualBox de tipus "Xarxa Interna" i configurar-la a Windows amb la ip estàtica 192.168.50.10/24
- Desactivar Windwos Defender.
- Crear una entrada a
c:\windows\system32\drivers\etc\hosts
que correspongui al dominiatacant.cat
i la IP de la vostra màquina atacant (la que contindrà el handler de Metasploit, així com algunes coses més). - Afegiu una segona interfície de xarxa des de VirtualBox, que sigui Xarxa Interna i s'anomeni LAN. Dins del Windows configureu aquesta amb la IP estàtica 192.168.50.10.
2.2 Establiment de controls per obtenir els IOC (Indicators Of Compromise)
- Modelar l'atac amb la matriu MITRE ATT&CK.
- Detectar els punts on ens serà més fàcil detectar l'atac.
- Establir la recol·lecció dels indicadors d'atac en els punts anteriors.
- Configurar el sistema (polítiques) per a que enregistri les dades pertinents.
- Instal·lar i configurar BEATS per recollir les dades pertinents.
2.3 Màquina LAN
Per acabar l'escenari, i tot i que no sigui del tot "creible" munteu AQUESTA màquina a VirtualBox, arranqueu-la en paral·lel al Windows que heu configurat i, des d'aquest, comproveu que teniu ping a 192.168.50.20. Aquesta és la màquina que voldrà comprometre l'atacant, un cop hagi entrat a la de Windows i efectuat el pivoting.
2.4 Post Atac
Un cop realitzat l'atac caldrà des de Kibana fer consultes que ens permetin detectar l'atac. Feu-les per ordre i indiqueu-ne els resultat de cadascuna. És possible que els indicadors no siguin únics (una sola consulta) per tant enllaçeu les evidències de forma argumentada.
3 Entrega i avaluació
3.1 Entrega
PDF amb la memòria de les tasques fetes.
3.2 Avaluació
Es valorarà el format i el contingut del document.