Despliegue de entornos de laboratorio en Azure y otros sistemas para red team y blue team.

 Estimados amigos de Inseguros !!!

Una de las tendencias actuales en el mundo IT es el de "as a code". Infraestructura como código lleva siendo algo habitual desde hace unos años para con, otras prácticas DevOps, nos permiten crecer de manera automática y controlada nuestros escenarios.

Podemos llevarlo al desarrollo, usando Terraform, Ansible, Kubernetes, lo que sea, pero en esta ocasión vamos a hablar de algunos repositorios para Azure en formato ARM. 

Las plantillas de las que vamos a hablar están desarrolladas en Json, pero hay un nuevo lenguaje de uso más sencillo denominado Biceps, para poder usar las plantillas de Azure Resource Manager.

Lo hagas con el lenguaje o tecnología que mas te guste, la idea es muy sencilla, y para ti lector asiduo a los sistemas y/o seguridad, lo que queremos es desplegar máquinas para laboratorios. Si, es mi caso. No me dedico a instalar estos sistemas, pero si que ando instalando/rompiendo laboratorios cada dos por tres.

*En los entornos de operaciones suelen desplegar este tipo de soluciones mediante plantillas, para que con el paso del tiempo, se más fácil, homogeneo y barato hacerlo en distintos clientes. Mi nivel en ARM no es este, y lo uso como usuario para ahorrarme el trabajo solamente*

Instalar un Windows Server, el Directorio, añadir el equipo... llevo 20 años haciéndolo, me apetece un doble click...

Es aquí donde entran en juego las plantillas ARM. No es mi propósito explicart. como funciona. Mi propósito de este post es indicarte algunos repositorios de plantillas que me parecen útiles, por ejemplo...

Microsoft Sentinel To-go, del genio Roberto Rodriguez principalmente. En este repositorio tenemos plantillas relacionadas con Microsoft Sentinel.

Un click, unas cuantas preguntas y tenemos estor entornos desplegados. BRUTAL !!!

BlackSmith, entre otros, el mismo genio anterior. En este caso tenemos plantillas para desplegar entornos similares sin Sentinel, con bases de datos, etc.

Si eres fan o asiduo a Mitre, conocerás el documento APT29/The Dukes. En este documento, o más bien proyecto,  tenemos la documentación detallada del tipo de ataque, o mejor dicho de la campaña completa de ataques, pero con los detalles técnicos a bajo nivel. Tan a bajo nivel que tenemos las configuración de simulación de adversarios disponible para cargar en Caldera...alucina vecina...

Pero para poder ejecutar este proyecto, al final necesitas la infraestructura sobre la que se van a correr las simulaciones... 

Aquí es donde tenemos otra vez al genio con la plantilla para desplegarla...SimuLand. Pero si no fuera suficiente, el hombre nos pasa 3 artículos en donde nos dice como "casarlo todo" y ejecutar el proyecto de manra global. Artículos uno, dos y tres. 

Otro proyecto que me gusta mucho por su vinculación con MITRE es https://github.com/BlueTeamLabs/sentinel-attack . En el que podemos desplegar varias opciones interesantes sobre nuestro Sentinel, como son:

• An ARM template to automatically deploy Sentinel ATT&CK to your Azure environment
• A Sysmon configuration file compatible with Azure Sentinel and mapped to specific ATT&CK techniques
• A Sysmon log parser mapped against the OSSEM data model
• 117 ready-to-use Kusto detection rules covering 156 ATT&CK techniques
• A Sysmon threat hunting workbook inspired by the Threat Hunting App for Splunk to help simplify threat hunts
• A Terraform script to provision a lab to test Sentinel ATT&CK
• Comprehensive guidance to help you use the materials in this repository

Por supuesto que la propia Microsoft nos ofrece en sus repos. plantillas de inicio sencillas, en concreto estas de las demo me parece útiles para empezar, para instalar extensiones en máquinas, cositas interesantes. 

Otra cuestión más allá de crear la infraestructura, es hacerla vulnrerable. En este blog hemos hablado largo y tendido por ejemplo con Adaz,  donde ademas teníamos máquinas blue team como ELK, o por ejemplo hacerlo con ARM y DSC en este artículo. El proyecto original es DefendTheFlag de la firma de Redmon. Detections Lab es otro clasico para desplegar entornos Vulnerables y de Blue Team.

Si lo que quieres es solo las vulnerabilidad, segurmente Vulnerable-AD es el más conocido. Game Of Active Directory no he tenido ocasión de probarlo pero creo que aporta pocos más ataques, vulnerabilidades.

Otro interesante, esta vez para la herramienta BloodHound es BadBlood. Nos permite "nutrir" nuestro entorno de eso tan preciado que buscamos con la teoría de visualización de la herramienta.

Al final es cuestión de buscar más o menos lo que necesitas, y buscando más o menos es fácil cambiar las opciones para adaptarlo al máximo a tu entorno deseado y a las ganas que tengas de invertir tiempo en esto. 

Lo que es innegable es que hace unos años meteríamos varias veces un disco de 3,5" en varios equipos. Luego usamos unas Iso en fichero... unas máquinas virtuales... unos entornos cloud y ahora ya esto. La sencillez es abrumadora. 

Espero que te haya parecido interesante este artículo y que te animes a comentarme más recursos útiles.

Gracias por leerme !!!