Mòdul Professional 1: ACTIVITAT 7 - Atac per adjunts

Índex

1 Objectius

  • Simulació adversari.
  • Conèixer eines per simular adversaris de forma simple.
  • Verificar que podem detectar els atacs de força bruta i activar el playbook.

2 Enunciat

Per fer un escenari més complert i que permeti repassar el que hem vist fins al moment, desenvoluparem una estructura on poder desplegar sensors i indicadors que ens permetin detectar un atac de malware/backdoor que s'escampi com adjunt per correu electrònic. Bàsicament aquesta pràctica englobarà els tres mòduls (Incident Response, Forensic, Hacking) i l'objectiu serà:

  • Desplegar una infraestructura a M1 de forma que siguem capaços de detectar l'atac.
  • A forense, un cop fer l'atac, extreure una imatge de la VM i analitzar-la per trobar-ne les evidències i redactar un informe.
  • A Hacking, crear un metèrpreter i practicar les opcions avançades de getsystem, migrate, persistance, pivoting, etc.

Per fer l'escenari necessitarem inicialment:

2.1 Configuració de la màquina

  • Configurar el rellotge del sistema amb NTP.
  • Thunderbird Client configurat per rebre els correus del vostre compte @lacetania.cat
  • Crear una nova interfície a VirtualBox de tipus "Xarxa Interna" i configurar-la a Windows amb la ip estàtica 192.168.50.10/24
  • Desactivar Windwos Defender.
  • Crear una entrada a c:\windows\system32\drivers\etc\hosts que correspongui al domini atacant.cat i la IP de la vostra màquina atacant (la que contindrà el handler de Metasploit, així com algunes coses més).
  • Afegiu una segona interfície de xarxa des de VirtualBox, que sigui Xarxa Interna i s'anomeni LAN. Dins del Windows configureu aquesta amb la IP estàtica 192.168.50.10.

2.2 Establiment de controls per obtenir els IOC (Indicators Of Compromise)

  • Modelar l'atac amb la matriu MITRE ATT&CK.
  • Detectar els punts on ens serà més fàcil detectar l'atac.
  • Establir la recol·lecció dels indicadors d'atac en els punts anteriors.
  • Configurar el sistema (polítiques) per a que enregistri les dades pertinents.
  • Instal·lar i configurar BEATS per recollir les dades pertinents.

2.3 Màquina LAN

Per acabar l'escenari, i tot i que no sigui del tot "creible" munteu AQUESTA màquina a VirtualBox, arranqueu-la en paral·lel al Windows que heu configurat i, des d'aquest, comproveu que teniu ping a 192.168.50.20. Aquesta és la màquina que voldrà comprometre l'atacant, un cop hagi entrat a la de Windows i efectuat el pivoting.

2.4 Post Atac

Un cop realitzat l'atac caldrà des de Kibana fer consultes que ens permetin detectar l'atac. Feu-les per ordre i indiqueu-ne els resultat de cadascuna. És possible que els indicadors no siguin únics (una sola consulta) per tant enllaçeu les evidències de forma argumentada.

3 Entrega i avaluació

3.1 Entrega

PDF amb la memòria de les tasques fetes.

3.2 Avaluació

Es valorarà el format i el contingut del document.

4 Millora i ampliació

4.1 Millora

4.2 Ampliació

Data: 2021-07-29 dj. 00:00

Autor: Raul Gimenez Herrada

Created: 2022-03-03 dj. 12:24