Cover photo

Infrastruttura Red Team

Durante le attività di Red Team, una delle componenti chiave per il successo dell'operazione è l'infrastruttura utilizzata per gestire tutte le fasi dell'ingaggio. Questa non solo deve essere solida, performante e sempre raggiungibile, ma deve anche rimanere "invisibile" alla squadra di difesa (Blue Team). Vediamo nel dettaglio quali sono le strutture e le componenti fondamentali di un'infrastruttura di Red Team.

Progettazione e Deploy

La prima scelta nella progettazione di un'infrastruttura di attacco riguarda il cloud provider. È essenziale selezionare un servizio affidabile e solido, ma soprattutto condurre un'attenta analisi dei servizi esposti dal target. L'ideale è utilizzare lo stesso cloud provider dell'obiettivo, sfruttando il trust dell'infrastruttura cloud per aumentare la probabilità di bypassare eventuali controlli di sicurezza.

Componenti chiave

Un'infrastruttura Red Team può essere suddivisa in quattro componenti principali:

  • Connessioni: VPN per gli operatori, regole firewall per il reindirizzamento interno, gestione della visibilità pubblica di server e macchine esposte.

  • Team Server: Server C2, macchine host, web server, vault server e payload server.

  • Offuscatori: Proxy web e redirector per mascherare i server critici.

  • Monitoraggio: SIEM per l'analisi dell'infrastruttura, monitoraggio delle attività del Blue Team e blacklist di IP/domini.

Connessioni

La scelta della region giusta aiuta ad ottenere indirizzi IP che corrispondano alla località del target, riducendo il rischio di blocchi basati su geolocalizzazione (GEOIP).

L'infrastruttura di rete deve essere suddivisa in almeno due sezioni:

  • Rete privata: accessibile solo agli operatori tramite VPN personali.

  • Rete pubblica: per esporre servizi esterni senza compromettere i sistemi interni.

Le VPN devono essere uniche e personali per ogni operatore, con i seguenti vantaggi:

  • Identificazione e tracciamento degli accessi.

  • Accesso limitato a specifiche sezioni della rete.

  • Possibilità di cambiare rapidamente gli IP pubblici in caso di blocchi.

Inoltre, il team dovrà acquistare nome di domini per:

  • Mascherare gli IP pubblici.

  • Eseguire campagne di phishing.

  • Generare certificati TLS.

  • Esporre servizi tramite FQDN.

Server

Durante un'attività di Red Team, saranno necessari diversi server e macchine host in cloud.

Server C2 (Comando e Controllo)

Il componente più critico dell'infrastruttura, responsabile della gestione degli attacchi e delle connessioni con le macchine compromesse. Le comunicazioni con i target possono avvenire tramite vari protocolli: HTTP, DNS, TLS, mTLS, WireGuard.

Un server C2 si compone di:

  • Server C2: Hub centrale che genera gli agenti (payload) e gestisce le sessioni.

  • Agent: Eseguito sui target, contatta periodicamente il listener del C2.

  • Listener: Attende le callback degli agent su porte e protocolli specifici.

  • Beacon: Mantiene la connessione con il server C2 e riceve i comandi.

Server Web

Utilizzato per creare siti vetrina e pagine di autenticazione false per attacchi di social engineering.

Server di Phishing

Gestisce campagne di phishing, dalla creazione delle email al monitoraggio delle aperture e dei click. Può generare finte pagine di login per catturare credenziali.

Server Payload

Contiene i payload consegnati alle vittime o utilizzati per operazioni di post-exploitation (privilege escalation, esfiltrazione dati, movimenti laterali).

Vault Server

Archivio sicuro per credenziali e dati esfiltrati, accessibile solo dalla rete interna e da operatori autorizzati.

Offuscatori

Alcuni server critici, come il C2 e il payload server, devono essere nascosti per evitare la loro identificazione e blocco. Questo può essere ottenuto con:

  • Proxy Web: Instradano il traffico HTTP verso i server interni.

  • Redirector: Utilizzano regole firewall per mascherare la destinazione finale delle connessioni.

L'uso di offuscatori permette di proteggere gli indirizzi IP dei server chiave, aumentando la resilienza dell'infrastruttura.

Monitoraggio

Durante l'ingaggio, il Blue Team analizzerà gli indicatori di compromissione (IoC), cercando di bloccare IP, domini e payload. Un monitoraggio costante dell'infrastruttura di attacco è essenziale per:

  • Identificare in tempo reale IP o domini bloccati.

  • Adattare rapidamente le strategie di attacco.

  • Ottimizzare campagne di phishing e processi di esfiltrazione dati.

Un SIEM (Security Information and Event Management) può essere utilizzato per tracciare le attività del Blue Team, monitorando blacklist e tentativi di analisi da parte dei difensori.

Un'infrastruttura di Red Team ben progettata è essenziale per il successo delle operazioni offensive. La scelta di un cloud provider strategico, la suddivisione della rete, l'uso di server dedicati e sistemi di offuscamento garantiscono un'efficace esecuzione degli attacchi, riducendo il rischio di rilevamento. Infine, un monitoraggio attento delle attività del Blue Team permette di adattarsi rapidamente e mantenere operativa l'infrastruttura per tutta la durata dell'ingaggio.