lunes, 30 de septiembre de 2019

Uber Metta...Simulación de adversarios 2/n

Estimados amigos de Inseguros !!!

En otro artículo de la serie introducimos el concepto de simulación de adversarios con el software Caldera. Te refresco, lanzar ataques de manera controlada sobre un sistema para evaluar sus capacidades de detección.


Al más puro estilo caldera, con línea de comandos, hoy presentamos Uber Metta.

El sistema Metta trabaja con Vagrants, lo que son un conjunto de configuraciones para desplegar imágenes virtualbox con un setting concreto. Lo que podría ser un contenedor basado en VirtualBox.

La parte de instalación de muy sencilla, podemos seguir el tutorial del autor. 

Para este prueba, vamos a usar un Vagrant con Windows 10, en concreto el siguiente que os acompaño y que usamos para algunas cosas. 

Uses el que uses, como indica el autor, habilita la comunicación hacia él mediante WINRM, al menos, para poder operar con las pruebas que trae por defecto Metta.


https://github.com/uber-common/metta/wiki/Vagrants
vagrant init StefanScherer/windows_10
vagrant up

Al final, el autor de la herramienta "evita" la parte de RAT de Caldera con el despliegue de una máquina Windows 10 con Sysmon para probar las detecciones. No es lo más elegante ni funcional, ya que tienes tu que acceder al Windows virtualizado para ver a mano los logs, los eventos que han aparecido, pero bueno, demasiado ha hecho y agradecidos estamos !!!

El placer de las cosas bien hechas aparece:


Lo que realmente estamos lanzando son las acciones descritas en el yaml.

enabled: true
meta:
author: cg
created: 2017-06-01
decorations:
- Purple Team
description: On Target Recon Atack Simulation.
link: https://carnal0wnage.attackresearch.com
mitre_attack_phase: Discovery
mitre_attack_technique: Account Discovery
purple_actions:
1: cmd.exe /c net user
2: cmd.exe /c net user /domain
3: cmd.exe /c net localgroup administrators
4: cmd.exe /c net view
5: cmd.exe /c net view /domain
6: cmd.exe /c net groups \"Domain Admins\" /domain
7: cmd.exe /c net use
8: cmd.exe /c net share
9: cmd.exe /c ipconfig /all
10: cmd.exe /c tasklist /v
11: cmd.exe /c gpresult /z
12: cmd.exe /c nltest /dclist:corp
os: windows
name: On-target Recon Simulation
uuid: 017df153-470e-43d6-8e91-24c6b7cf62c4
En este caso, muy sencillitas, y tiene algún repositorio con algunas cosas graciosas.

Al final, no deja de ser una manera de ejecutar los comandos, lo que denomina las Purple Actions.

Habrá que ver como evoluciona el proyecto.