Tijdens een Red Team operatie, ligt onze focus op het behalen van het doel dat samen met de klant is afgestemd. Het is de bedoeling om tijdens een Red Team operatie niet gedetecteerd te worden door het blue team. In dit deel van HACK stories vertellen we over een Red Team operatie die we hebben uitgevoerd bij een organisatie in de financiële sector.

Reconnaissance

Tijdens de reconnaissance-fase hebben we zoveel mogelijk informatie verzameld over het bedrijf, dit was zowel organisatorische als technische informatie. In deze fase maken wij veel gebruik van open source bronnen. Uit deze open source bronnen hebben wij onder andere e-mailadressen van medewerkers verzameld en een Outlook Web Access omgeving gevonden die vanaf het internet toegankelijk was. Door middel van password spraying hebben we toegang weten te krijgen tot de mailbox van een medewerker.

Weaponization

Om initieel toegang te verkrijgen, hebben we een payload gebouwd in een development omgeving die de omgeving van de organisatie simuleerde. De informatie die benodigd was om deze development omgeving op te zetten, hebben we ook tijdens de reconnaissance-fase achterhaald. Wij konden achterhalen dat het bedrijf gebruik maakt van verschillende beveiligingsmechanismen waaronder: monitoring, antivirus en EDR. Ook wisten we dat de klant gebruik maakt van een Active Directory omgeving.

In onze development omgeving hebben we het EDR-pakket onderzocht en een manier gevonden om de detectie hiervan te omzeilen. Vervolgens hebben we een payload gebouwd voor initiële toegang en ook andere payloads voor persistente toegang. Onze C2 was zodanig opgezet, dat het verkeer zich vermaskerd in al het normale netwerkverkeer.

Wij hebben de initiële payload dusdanig gemaskeerd zodat het in de vorm van een document verzonden kon worden. Zodra dit document word geopend, konden we toegang krijgen.

Delivery

Via de mailbox van de medewerker die eerder was overgenomen, hebben we een email verstuurd naar een aantal e-mailadressen van medewerkers met het malicieuze document als bijlage.

Wij hebben een pretext gebouwd voor de ontvangers van de e-mail, waarin werd gevraagd om het rapport in de bijlage te reviewen.

Exploitation

Na geduldig afwachten, had een medewerker in het bedrijf het bestand geopend en hebben we een sessie verkregen op de werkplek van de medewerker.

Installation

Na het verkrijgen van initieel toegang, is het de bedoeling om toegang te behouden in het netwerk. Om voor persistente toegang te zorgen, hebben we een andere malware gemaakt. We hebben de malware als startup programma toegevoegd aan de machine, zodat als de machine opnieuw wordt opgestart onze malware ook weer uitgevoerd wordt bij het opstarten van de werkplek.

Command & Control (C2)

In de command and control kunnen we onze geinfecteerde computers beheren. Hier kunnen we ook diverse scripts uitvoeren voor exploitatie, reconnaissance, lateral movement en meer. Tijdens dit red team onderzoek hebben we ook uiteraard een C2 gebruikt om de targets te beheren. Wij hebben gezorgd dat er stabiele en persistente verkeer tussen de target(s) en de C2 blijft draaien.

Action on Objectives

Na initiële toegang, hebben we stilletjes het bedrijfsnetwerk verkend. Hierbij is rekening gehouden om niet door het blue team gedetecteerd te worden. Wij hadden toegang tot een gebruikersaccount die in een custom active directory groep zat, de gebruiker had schrijfrechten op een andere gebruiker. Dit is een misconfiguratie, want hiermee konden we het andere account overnemen. Het andere account had toegang tot een applicatieserver. Op de applicatieserver hebben we local privilege escalation gebruikt om lokaal administratieve toegang te verkrijgen op de machine. De gebruiker had de privilege “SeImpersonatePrivilege” op Enabled staan, waardoor we met de printer service lokaal administratieve toegang konden verkrijgen.

Door het dumpen van opgeslagen credentials op de appserver, hebben we een gebruikerhash kunnen extraheren van een nieuwe gebruiker die toegang had tot een fileserver. Wij hebben een Ticket Granting Service (TGS) voor de CIFS service kunnen aanvragen en toegang verkregen tot de fileserver. Alle tools voor de bovenstaande aanvallen zijn natuurlijk onder de radar uitgevoerd, om detectie te voorkomen.

Door opgeslagen wachtwoorden te dumpen op de fileserver, hebben we een domain administrator account kunnen bemachtigen. Hierdoor hebben we het volledige domein kunnen overnemen. Doordat we na deze stap toegang hebben gekregen tot alle servers in het domein, hebben we hiermee toegang verkregen tot de doelserver en alle informatie buitgemaakt die nodig was. Nadat het doel bereik was zijn alle stappen uitvoerig uitgewerkt tot een allesomvattende rapportage.