گزارش مشکلات و ارسال مطلب سوالات تست نفوذ وب سوالات تست نفوذ شبکه سوالات تست نفوذ موبایل سوالات تست رد تیم
نقشه راه RedTeam
- ردتیم چه چیزی هست؟
- ردتیم چه چیزی نیست؟
- ردتیم کجاها مورد استفاده قرار میگیرد
- گامهایی که یک ردتیم داخلی در سازمان باید طی کند
- انواع موقعیتهای شغلی ردتیم و مهارتهای لازم برای هر سطح از موقعیتهای شغلی
- اپراتور ردتیم Red Team operator
- مهندس ردتیم Red Team Engineer
- رد تیم لید Red Team lead
- مشاور ردتیم Red Team Consultant
- تفاوت ردتیم داخلی و خارجی
- چگونه یک ردتیمر بشوم؟
- کلیه مهارت های فیلد ردتیم
- فریمورکهای مطرح ردتیم
- بر اساس مایتراتک برای شبیه سازی هر تاکتیک چه مهارتهایی لازم است
- شبیه سازهای TTP مایتراتک
- آیا فریمورک مایتراتک پوشش کامل میدهد ؟
- گام های کلی که برای کار در فیلد ردتیم باید طی شود
- بازار کار ردتیم متوسط حقوق پوزیشن ردتیم در خارج از ایران
- نمونه سوالات ردتیم
از دید تاریخی ردتیم برگرفته از تمرینهای ارتش امریکا در طی جنگ سرد بوده است که در واقع ارتش شوروی تیم قرمز و ارتش آمریکا تیم آبی بوده است.اما در دنیای امنیت سایبری ردتیم به معنای شبیه سازی حمله متخاصم یا دشمن می باشد.به صورت کلی اگر بخواهید به عنوان ردتیمر فعالیت کنید بنابر نوع موقعیت شغلی به شما کارهای مختلف محول میشود که برای انجام کارها نیازمند داشتن مهارتها در طیف های مختلف هستید.
مثلا:
پیدا کردن و بهبود دادن زنجیره اجرایی فایل بدافزار در جهت ارزیابی blue team مثل زنجیره زیر
url > zip > js > curl > .dll
پیدا کردن روشهای جدید و مختلف برای دور زدن مکانیسمهای امنیتی
مثل
- Application whitelisting
- Uac bypass
- AV evasion
- EDR evasion
- و ...
تست نفوذ به خودی خود ردتیم نیست، بلکه یکی از تکنیک های نفوذ می تواند هک وب باشد.
سازمان ها دارای بلوغ امنیت تهاجمی مختلفی میباشند.در تمام سازمان Vulnerability scanning و Vulnerability Assessment انجام میشود.با توجه به بزرگی سازمانها بخش تست نفوذ را دارند یا این بخش را به بیرون out source می کنند یا حتی از برنامههای باگ بانتی استفاده میکنند.سازمانهایی که بلوتیم دارند برای ارزیابی عملکرد این تیم و کشف گپهای امنیتی از ردتیم داخلی یا خارجی استفاده میکنند.تمرینهای پرپل تیم یکی از روش برقراری تعادل و کمک به افزایش بهره وری ردتیم و بلوتیم میباشد تا به هدف میزان شناسایی را افزایش و false positive را کاهش دست پیدا کنند.شبیه سازی گروههای APT در جهت ارزیابی عملکرد تیم های دفاعی بسیار کاربردی میباشد.
شناخت شبکه و تجهیزات امنیتی و همچنین محلهایی که سنسور وجود دارد یا ندارد!
آمادهسازی تست طبق شبکه و تجهیزات امنیتی و پیادهسازی آن ها
کشف گپ های امنیتی و گزارش به بلوتیم
بررسی مجدد و اجرای تست تا مطمئن شود که گپها رفع شدند
بسته بلوغ بلوتیم شبیه سازی تکنیک یا APT گروه باید توسط ردتیم انجام شود
اگر سازمانی به بلوغ رسیده باشد و حداقل 4 سال بلوتیم داشته باشد تستها باید با سطح بالاتری پیادهسازی شوند و تمرکز بیشتر به دور زدن و نگاه به شناسایی و عدم شناسایی بلوتیم میباشد همچنین توسعه بدافزار جزو مهم ترین کارها میباشد.
اپراتورهای تیم قرمز مسئول انجام عملیات امنیتی تهاجمی، شبیه سازی حملات به سیستم های یک سازمان برای شناسایی نقاط ضعف و آسیب پذیری هستند. آنها اغلب آزمایش های نفوذ، توسعه بهره برداری و فعالیت های پس از بهره برداری را برای ارزیابی اثربخشی اقدامات دفاعی انجام می دهند.
Note
5.1.1 Junior Red Team operator:
• Familiarity with cybersecurity concepts.
• Knowledge of web and network penetration testing.
• Familiarity with scripting.
5.1.2 Mid-level Red team operator
• Proficiency in web and network penetration testing.
• Expertise in automation and tools customization.
• Active directory assessment.
• Post-exploitation techniques.
5.1.3 Senior Red Team operator
• Mastery in web and network penetration testing.
• Advanced skills in tools and exploit development.
• Knowledge of evasion techniques.
• Conducting APT emulation and simulation.
مهندس ردتیم مسئول توسعه ابزار و ویرایش و شخصی سازی ابزارهای امنیت تهاجمی و همچنین توسعه دهنده اکسپلویت و شخصی سازی اکسپلویت هستند.
Note
5.2.2 Junior Red Team Engineer
• Basic knowledge of network and system internals.
• Familiarity with scripting and programming.
• Understanding of virtualization, orchestration, and cloud technologies.
• Knowledge of web and network penetration testing.
5.2.2 Mid-level Red Team Engineer
• Proficiency in programming and scripting.
• Deep understanding of Windows, Linux, and macOS internals.
• Knowledge of cloud security.
• Skills in reverse engineering and malware analysis.
5.2.3 Senior Red Team Engineer
• Mastery in tools script development.
• Expertise in reverse engineering and vulnerability research.
• Advanced knowledge of cloud security.
• Advanced skills in malware development and exploit development.
ردتیم لید بر برنامه ریزی، اجرا و هماهنگی عملیات تیم قرمز نظارت می کنند. آنها مسئول تعیین اهداف استراتژیک، مدیریت منابع و اطمینان از همسویی فعالیت های تیم قرمز با اهداف سازمانی هستند. رهبران تیم قرمز اغلب ترکیبی از تخصص فنی و مهارت های رهبری دارند.
Note
5.3.1. Mid-level Red Team lead
• Proficiency in red team methodologies and tools.
• Strong understanding of cybersecurity principles and best practices.
• Expertise in planning and executing red team engagements.
• Knowledge of threat intelligence and threat actor emulation.
5.3.2. Senior Red Team lead
• Mastery in red team engagement.
• Skills in risk management.
• Expertise in threat intelligence and developing new techniques.
مشاور تیم قرمز معمولاً ترکیبی از تخصص در عملیات، تجزیه و تحلیل، مهندسی و رهبری تیم قرمز را به ارمغان میآورد تا به سازمانها در مورد ارتقای وضعیت امنیتی خود توصیه کند. در حالی که آنها ممکن است وظایف عملیاتی روزانه مانند اپراتور، مهندس یا تحلیلگر تیم قرمز را انجام ندهند، آنها راهنمایی های استراتژیک ارائه می دهند، ارزیابی ها را انجام می دهند و توصیه هایی را بر اساس تجربه و دانش گسترده خود ارائه می دهند.
Note
5.4.1 Junior Red Team consultant
• Proficiency in network, OS, and cybersecurity.
• Familiarity with web and network penetration testing.
• Knowledge of scripting.
• Basic understanding of threat intelligence.
• Ability to analyze logs.
5.4.2 Mid-level Red Team Consultant
• Advanced skills in web and network penetration testing.
• Proficiency with red team tools and frameworks.
• Experience in scripting and automation.
• Experience with exploiting vulnerabilities.
• Developing mitigation strategies.
5.4.3 Senior Red Team Consultant
• Expertise in web and network penetration testing.
• Proficiency in reverse engineering, malware analysis, and exploit development.
• Experience in conducting red team engagements.
• Skills in threat modeling and risk assessment on both technical and business sides.
• Developing mitigation plans for new threats.
ردتیمر داخلی Internal Red Teamer دامنه کاری: داخل سازمان، چک کردن کنترل امنیتی داخلی، سیاست های امنیتی و فرآیندهای امنیتی، شبیه سازی حملات تهدید داخلی و گروه های APT میزان دسترسی: دانش روی زیرساخت، سیستم های امنیتی و در بعضی موارد خود SIEM اهداف: gap analysis، همکاری با بلوتیم، همکاری در incident response, threat hunting و mitigation
ردتیمر خارجی External Red Teamer دامنه کاری: سازمان و شرکت های وابسته، شبیه سازی حملات APT میزان دسترسی: هیچ دانشی از تجهیزات امنیتی و زیرساختی ندارد و همچنین هیچ ارتباطی با اعضای داخلی ندارد. اهداف: دسترسی اولیه و رسیدن به استخراج اطلاعات قوانین تست: انجام تمام تست ها بدون هیچ گونه عملیات تخریب در دارایی های سازمان، عدم استخراج اطلاعات مشتریان و اطلاعات حساس مثل دیتابیس ها
امروزه تخصص ردتیم یکی از ترندهای امنیت سایبری تبدیل شده است به گونهای که تاثیر آن را در موقعیتهای شغلی در سرتاسر جهان میبینید و شاید علاقه مند شده باشید که واقعا این ردتیم چیست؟ چه بدردی میخورد آیا من میتونم ردتیمر بشوم چه دانشی نیاز دارد چه مهارتهایی نیاز دارد و آیا منابع رایگان وجود دارد تا من بتوانم به صورت خودخوان بخوانم یا حتما باید در کلاس خاصی شرکت کنم؟
به عنوان یک شخص تازه وارد در این حوزه شما باید دانش های زیر را کسب کنید تا وارد محل کار شوید:
- دانش ابتدایی روی امنیت سایبری : شبکه، سیستم عاملها(ویندوز،لینوکس و مک).
- تست نفوذ دانش مفاهیم اصلی و کار با ابزارها و توانایی انجام تست نفوذ بر اساس فریمورک مطرح مثل owasp که به صورت کلی 7 مرحله دارد . information gathering, vul scanning, exploiting, maintain access , privilege escalation, post exploitation, reporting
- دانش اتومات سازی یا ساخت ابزار خاص منظوره برای بخشی از پروژه که حداقل نیاز دارید یک زبان برنامه نویسی یا اسکریپت نویسی بلد باشید ( python, powershell, bash,… )
- دانش بر کشف آسیب پذیریهای شناخته شده روی برنامه ها و شبکه شما باید به مرور سعی کنید به مهارت بیشتری دست پیدا کنید به عنوان مثال یک ردتیمر سنیور مهارتهای زیر را دارد:
- تسلط به اینترنالز سیستم عامل ویندوز لینوکس و مک abolfazl kazemi-WI,mohammad reza ramezani-WI,parsa sarrafian-WI,abolfazl kazemi-LI
- مسلط به تاکتیکهای مایتراتک و توانایی شبیه سازی تکنیکهای جدید APT گروهها
- توانایی توسعه ابزارهایی در جهت پیادهسازی تکنیکهای APT گروهها مثل C2
- آشنایی با معماری شبکههای پیچیده نحوه کار کرد IDS/IPS, SIEM, EDR,XDR, honeypot, deception& decoy, AV, WAF, firewall
- تسلط بر روی مایتراتک و توانایی برنامه ریزی برای شبیه سازی تکنیکها
- توانایی شناخت بیزینس و ارایه تحلیل ریسکها موجود در بیزینس
- توانایی توسعه فردی و یادگیری به صورت دائمی و آپدیت کردن خودش Free Resources
- توانایی تحلیل اکسپلویتها و بدافزارهایی که گروههای APT از آنها استفاده کردند و قابلیت ارائه گزارش مبنی بر اینکه نحوه کارکرد بدافزار واکسپلویت چیز از چه آسیب پذیری استفاده میکند و هدف اصلی آن ها چیست
- توانایی در ارزیابی محصولات کنترلی مثل application whitelisting, AV, EDR در جهت FUD کردن تا لاگی از این تجهیزات نباشد و ارزیابی کند از حرکات بعدی یا artifact های موجود در سیستم یا شبکه تیم آبی توانایی شناسایی آن را دارند یا نه
- توانایی مدیریت و منتور بودن نیروهای تازهکار و کمک در پروژههای مختلف حل مشکلات
- توانایی ارائه دادن گزارش نوشتن برقراری جلسه و مدیریت جلسات
TIBER-EU (Threat Intelligence-based Ethical Red Teaming for the European Union):
• Developed by the European Central Bank (ECB), TIBER-EU aims to enhance cyber resilience within the European Union's financial sector.
• It focuses on conducting controlled red team exercises informed by threat intelligence to identify and address cybersecurity weaknesses.
• TIBER-EU emphasizes collaboration, standardized methodologies, and scenario-based testing to improve cybersecurity posture.
UK’s CBEST (UK's CBEST)
Hongkong’s iCAST (Intelligence-led Cyber Attack Simulation Testing):
• iCAST (Intelligence-led Cyber Attack Simulation Testing) is a framework developed by the Hong Kong Monetary Authority (HKMA) for assessing and enhancing cybersecurity resilience in the financial sector of Hong Kong.
• It employs an intelligence-led approach, incorporating threat intelligence to simulate realistic cyber attack scenarios.
• iCAST emphasizes scenario-based testing, collaboration among stakeholders, and provides detailed reports for participating institutions to prioritize remediation efforts and improve their cybersecurity posture.
Saudi Arabia’s FEER (Financial Entities Ethical Red Teaming): • Saudi Arabia's FEER (Financial Entities Ethical Red Teaming) framework is designed to enhance cybersecurity resilience specifically within the financial sector of Saudi Arabia.
• It employs ethical red teaming methodologies to simulate cyber attacks and assess the effectiveness of cybersecurity defenses in financial institutions.
• FEER promotes collaboration among financial entities, regulatory authorities, and stakeholders, and encourages continuous improvement of cybersecurity defenses based on insights gained from red team exercises.
Singapore’s AASE (Adversarial Attack Simulation Exercises): • Singapore’s AASE (Adversarial Attack Simulation Exercises) framework employs simulation-based approaches to assess cybersecurity readiness by mimicking real-world cyber attacks.
• AASE fosters cross-sector collaboration among government agencies, critical infrastructure operators, and private enterprises to ensure comprehensive coverage and sharing of insights.
• The framework emphasizes continuous improvement by providing actionable recommendations based on exercise outcomes to enhance cybersecurity resilience over time.
NATO’s framework • NATO's red team framework is tailored for military and defense operations, focusing on enhancing operational planning, decision-making, and preparedness.
• It conducts strategic assessments by analyzing military plans and exercises, employing diverse expertise to challenge assumptions and uncover vulnerabilities.
• The framework aims to improve operational effectiveness by generating insights from simulated adversarial engagements, facilitating learning, adaptation, and refinement of military strategies and tactics.
MITRE(Mitre’s ATT&CK framework):
• The MITRE ATT&CK framework categorizes adversary behaviors into tactics and techniques, aiding in understanding how attackers operate.
• It maps adversary techniques to real-world scenarios, allowing organizations to assess their defensive capabilities and prioritize defensive measures.
• Continuously updated and community-driven, the framework encourages collaboration among cybersecurity professionals to share knowledge and develop effective defensive strategies against evolving threats.
1. Reconnaissance
• Skills: OSINT techniques, network scanning, footprinting.
• Knowledge: Information gathering methodologies, threat intelligence.
• Tools: Maltego, theHarvester, Shodan, Amass, Sn1per, Recon-ng, Nikto, spiderfoot, Gobuster
• References:"Open Source Intelligence Techniques" by Michael Bazzell. Recon-Persian
2. Resource Development
• Skills: Exploit development, scripting, programming.
• Knowledge: Software vulnerabilities, programming languages (e.g., Python, C/C++).
• Tools: Immunity Debugger, IDA Pro, Msfvenom, GDB, chimera, shellter, offensive VBA
• References: "Hacking: The Art of Exploitation" by Jon Erickson, "Gray Hat Python" by Justin Seitz,Resource Development - Persian
3. Initial Access
• Skills: Understanding of common attack vectors (e.g., phishing, exploitation), reconnaissance techniques.
• Knowledge: Network architecture, common vulnerabilities, and exposures (CVEs).
• Tools: Metasploit, Cobalt Strike, SET (Social Engineering Toolkit), Aircrack-ng, Luckystrike, Wifi-pumpkin, gophish, sqlmap, bash bunny, evilginx2
• References: "The Hacker Playbook 3" by Peter Kim, "Metasploit: The Penetration Tester's Guide" by David Kennedy et al.,Initial Access-Persian
4. Execution
• Skills: Ability to execute payloads, shell scripting, understanding of command execution techniques.
• Knowledge: Operating system internals, scripting languages (e.g., PowerShell, Python).
• Tools: PowerShell Empire, Metasploit, Cobalt Strike, macro_pack, donut, Unicorn, responder, evil-winrm, powersploit, Rubeus, sqlrecon
• References: "PowerShell for Pentesters" by Nikhil Mittal, "Violent Python" by TJ O'Connor.,Execution
5. Persistence
• Skills: Familiarity with persistence mechanisms (e.g., registry keys, scheduled tasks), privilege escalation techniques.
• Knowledge: Windows Registry, Group Policy Objects (GPOs), file system permissions.
• Tools: Covenant, Metasploit, Empire, impacket, sharpersist, pwncat
• References: "Windows Internals" by Pavel Yosifovich et al., Persistence-Persian
6. Privilege Escalation:
• Skills: Understanding of privilege escalation techniques, kernel exploitation.
• Knowledge: Windows and Linux internals, vulnerability analysis.
• Tools: PowerSploit, Mimikatz, Linux Exploit Suggester, Rubeus, UACme, sharpup, certify, PEASS-ng, sherlock, Watson, ADFSDump, Beroot, sweetpotato
7. Defense Evasion:
• Skills: Anti-forensics techniques, obfuscation, bypassing security controls.
• Knowledge: Security products (e.g., antivirus, EDR), encryption techniques.
• Tools: Veil, Shellter, Meterpreter, Proxychains, invoke-obfuscation, sharpblock, Alcatraz, mangle, AMSI fail, scarecrow, moonwalk
8. Credential Access:
• Skills: Password cracking, phishing, credential dumping techniques.
• Knowledge: Cryptography, authentication protocols, password storage mechanisms.
• Tools: Mimikatz, Hydra, John the Ripper, Hashcat, responder, Lazagne, SCOMDecrypt, nanodump, eviltree, dploot
9. Discovery:
• Skills: Active directory, network penetration testing.
• Knowledge: Network protocols, enumeration methods.
• Tools: Nmap, Pingcastle, seatbelt, ADrecon, adidnsdump, bloodhound, kismet
10.Lateral Movement:
• Skills: Exploiting misconfigurations, post-exploitation techniques.
• Knowledge: Active Directory, Windows file sharing, SSH.
• Tools: CrackMapExec, PowerShell Empire, mimikatz, psexec, wmiops, infection monkey, powerlessshell, liquidSnake, ADFSpoof, kerbrute, coercer
11.Collection:
• Skills: Data exfiltration methods, network packet analysis.
• Knowledge: Data storage formats, network protocols.
• Tools: powersploit, powerupsql
12.Command and Control:
• Skills: Setting up covert communication channels, using custom protocols.
• Knowledge: Networking fundamentals, encryption techniques.
• Tools: Cobalt Strike, Metasploit, Covenant, pupy, merlin, poshc2, sliver, havoc, brute ratel, nimplant, hoaxshell
13.Exfiltration:
• Skills: Data compression, encryption, covert communication.
• Knowledge: Steganography, network traffic analysis.
• Tools: Cryptcat, OpenStego, dnscat2, cloakifyfactory, powershell-rat, pyExfil, GD-Thief
14.Impact:
• Skills: Understanding of destructive techniques (e.g., ransomware), data manipulation.
• Knowledge: File system structures, database internals.
• Tools: pseudo ransomware, slowloris, LOIC
دو از ابزارهای متن باز که در شبیه سازی تاکتیک تکنیک و روشها به بسیار کاربردی هستند:
Caldera, atomic red team Emulation & Simulation APT همچنین ابزارهای تجاری مثل
- Cobalt strike
- Cymulate
- Brute ratel
- و...
به صورت کلی مایتراتک یک فریمورک ما بین کامیونیتی امنیت است که بسیاری از شرکتهای امنیتی در طول سال وقتی به تکنیکهای جدیدی دست پیدا کنند به مایتر گزارش میکنند و تیم مایتر پس از بررسی اضافه میکند لذا این فرآیند زمان بر است و مایتر در لحظه آپدیت نیست. منابع برای آپدیت گزارشهای هوش تهدید، مقالات محققین امنیتی، گزارشهای IR که پس هک سازمانها منتشر می شود، بلاگها و تویتتر محقیقن امنیتی می تواند منابعی برای افزایش گستره پوشش TTP باشد.
با توجه به اینکه تو ایران هیچ آمار دقیقی از حقوقها نیست. صرفا حقوقهای ردتیم در آمریکا قرار داده شده است.
(Based on the job advertisement on LinkedIn):
Junior: $60,000 - $90,000
Mid-level: $90,000 - $120,000
Senior: $120,000 - $150,000+
(Based on the job advertisement on LinkedIn):
Junior: $70,000 - $100,000
Mid-level: $100,000 - $130,000
Senior: $130,000 - $160,000+
Mid-level: $120,000 - $150,000
Senior: $150,000 - $200,000+
Junior: $70,000 - $100,000
Mid-level: $100,000 - $130,000
Senior: $130,000 - $160,000+