Статья Полигон BlueTeam vs ReadTeam pt.1 Настройка и Развертывание сети

[defaultuser0]

Создаем собственный полигон Blue Team vs Read Team pt.1
Настройка и Развертывание сети​

Авторство: defaultuser0​

Источник: xss.pro​

Приветствую форумчане! В этой серии статей я наглядно опишу процесс развертывания полигона (CTF) Blue Team vs Read Team. На данном поле боя будут воевать аналитики SOC против специалистов по анализу защищености сетей (Пентестеров). Тут будет использоваться полноценный стенд где будет сеть компании (на базе Windows Server/AD) и системы защиты.

Это огромный проект и данные представленные мной будут охватывать навыки администрирвоания коорпаротивной сети и так же incident response (Анализ инцидентов). Финалом этой серии будет статья в которой я позову пентестера и попрошу его провести аудит сети, а сам я буду сидеть по другую сторону баррикады и мониторить (НЕ Предотвращать) его активность. Для Специалистов SOC'a главной задачей будет выявить маршрут и векторы атак злоумышленника (пентестера), описание его маршрута и предоставление отчета после проделанной работы - Как пентестер проник, что он делал, как он повысил превилегии и само собой финалом будет захват всех DC. Для самого аудитора главным фактором конечно же будет забрать под свой контроль сеть и что не мало важно сделать это максимально "тихо". Постараться не создавать инциденты и не слишком сильно шуметь в самой сети.
Само собой сеть не проектировалась как "Непробиваймы щит", она имеет множество уязвимостей и системы защиты не стоят на "Адских настройках". Что касаеться систем защит, я постораюсь воплотить боевые настройки компаний (как они стоят в большенстве организаций = из своего опыта защиты сетей) и любой желающий сможет обратиться ко мне для того чтобы попробывать свои силы в борьбе против SOC'a. Тут будет все от теории, до беовой практикии и я вам обещаю несколько очень интересных статей как для специалистов по ИБ, так и для пентестеров.

Перед началом я хотел бы хотел бы в очередной раз поблагодарить всех кто оставляет реакции под статъями.
Так же отдельно поблагодарить ice80 admin и kosok11 за пожертвования, благодаря им у меня есть желание и мотивация писать о том, что не пишут рядовые бойцы BlueTeam! - Спасибо вам огромное!

Давайте начнем с самого основного! - Выбор сервера, для такого крупного мероприятия нам понадобиться серъезное железо. Я спросил у форумчан где достать качественное железо так еще и по дешевой цене

Один из форумчан посоветовал мне очень хорошего поставщика и для меня будет грехом не поделиться с вами)) Очень хорошие сервера по дешевым ценам + Оплата криптой. Сайт хостинга - powervps[.]net
Там кст попросят вериф с использованием документов, поэтому для тех кто хочет чернить на этих серверах= не советую))

Для нашего полигона очень важным фактором при выборе будет количество ядер + оперативной памяти.
Я остановился на выборе Core i9-9900K, 126GB RAM, 2x1 TB NVMe SSD. Цена за такой сервер 65USD.

После оплаты нам дадут доступ в панель и там ставим сразу же ubuntu 22.04 получаем креди и прыгаем на тачку.

Для развертывания уязвимой сети я буду использовать уже готовый проект GOAD - GAME OF ACTIVE DIRECTORY
GOAD — это Лабортаорный проект Active Directory по пентесту. Цель этой лабораторной работы — предоставить пентестерам уязвимую среду Active Directory, готовую к использованию для отработки атак.

Предвещая гневные комментарии - Я буду использовать GOAD + системы защиты поднимать которые и настраивать буду лично я Эти серии статьи не просто проход манула по развертыванию GOAD. Для того чтобы сохранить ваш интерес примерно так будет выглядить инфраструктура Blue Team = инфрастркутуру защиты + snort как система обнаружения вторжений (IDS/IPS)

Вернемся к развертыванию сети. У GOAD репозитория есть две лаборатории.

1. GOAD-Full = 5 виртуалок, 2 леса, 3 домена
2. GOAD-Light = 3 виртуалки, 1 лес, 2 домена (эта лаба для слабых серверов)

Я буду использовать GOAD-Full. Давайте поставим все на колеса.
Перед тем как начать ставить это все, нам нужно настроить VNC для нашего сервера = Это нужно для того чтобы в Виртуалбоксе настроить сеть (да да это можно и сделать в терминале) + развернуть дополнительно хост на которм будет впн для входа в сеть.

Ставим vncserver:​

sudo apt update && sudo apt upgrade

sudo apt install tigervnc-standalone-server

sudo apt install ubuntu-desktop

vncserver

Тут вас попросит ввести пароль от 6 до 8 символов, все что после 8 символа урежиться (вы его будет использовать для подключения к внцсерверу)
Теперь убиваем первый процесс и вводим в терминал:

vncserver -localhost no

Теперь берем любой удобный vnc viewer и вводим наш айпишник + порт 5901
Вводим туда пароль и получаем доступ к рабочему столу.

Окей теперь перейдем к уязвимой сети.

Загружаем репозиторий GOAD

git clone https://github.com/Orange-Cyberdefense/GOAD

Проваливаемся в основную папку и тут у нас есть выбор VirtualBox или VMware. Я хоть и за VMware, но в этом примере возьму VirtualBox
Ставим виртуалбокс.

sudo apt install virtualbox

Теперь поставим Vagrant (Благодаря нему в будующем мы можем одной командой поднимать или выключать всю лабораторию)
Копируем и вставляем в терминал это:

wget -O- https://apt.releases.hashicorp.com/gpg | gpg --dearmor | sudo tee /usr/share/keyrings/hashicorp-archive-keyring.gpg
echo "deb [signed-by=/usr/share/keyrings/hashicorp-archive-keyring.gpg] https://apt.releases.hashicorp.com $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/hashicorp.list
sudo apt update && sudo apt install vagrant

После устанавливаем вртуальное срежу и будем поднимать сеть при помощи Ansible
Копируем и вставляем в терминал (Прежде посмотрите какая версия питона если 3.10 то меняем 3.8 на 3.10)
Проверить версию питона python3 --version

cd GOAD/ansible
sudo apt install python3.8-venv
python3.8 -m virtualenv .venv
source .venv/bin/activate

Теперь поставим ansible и pywinrm в .venv

python3 -m pip install --upgrade pip
python3 -m pip install ansible-core==2.12.6
python3 -m pip install pywinrm

Поставим все требования ansible-galaxy:

ansible-galaxy install -r ansible/requirements.yml

У меня уже все стоит
Теперь давайте запустим установку всей сети. Тут важно если вы ставите GOAD-Light, то просто добавьте -Light после install -l GOAD

./goad.sh -t install -l GOAD -p virtualbox -m local

Теперь можем про это забыть на пару часов, т.к будут ставиться образы Windows Server, создаваться учетки, разворачиваться Базы данных и тд.
Через пару часов открываем virtualbox и видим такую картину (тачки будут выключенны)
Это и есть наш полигон, давайте проверим какая подсеть используеться

​

В сетевых адаптерах должен стоять vboxnet0 и IPv4 192.168.56.1/24

Так же у каждой виртуальной машины должно стоять 2 сетевых адаптера

1. сетевой адаптер NAT (используется для доступа в Интернет во время подготовки)
2. сетевой адаптер Host-only Adapter: vboxnet0

Когда мы удостоверились что все нормальо, запустим сценарий ansible

cd ansible/
ansible-playbook -i ../ad/GOAD/data/inventory -i ../ad/GOAD/providers/virtualbox/inventory main.yml

Тут прийдеться так же подождать пару часов =)
Если видите такую картину, значит все ок. Если есть хоть 1 failed, то проваливайтесь в лог и смотрит где проблема.

Теперь возвращаемсь в папку GOAD и поднимаем все хосты.

vagrant up

Спустя пару мин зайдем в VirtualBox и видим как все тачки подняты.

Вот как выглядит наша домменая сеть

Теперь встает вопрос аттакера, как ему получить доступ в сеть да конечно мы можем развернуть циско впн и сдлеать условно слабые креды (так же поставить на это детект в сием) но будем реалистами мы хотим обыкновенный CTF, для этого я предлагаю развернуть дополнительно убунту в сети 192.168.56.1/24 = Это будешь наш впн в уязвимую сеть (прям как в HackTheBox) на базе OpenVPN
Не забудьте в Виртуалбоксе дать сетевой адаптер убунте к сети 192.168.56.1/24, так же пробросить порт впна. Т.к виртуалка за натом и к ней из вне никак не приконектиться. Это все тоже делаеться в Виртуалбоксе
Как я писал выше использую OpenVPN и давайте настроим нашу убунту

Для того чтобы быстро это дело развернуть используем популярны скрипт - ТЫК

выгружаем гит клоном и запускаем дефолтный процесс установки.

После того как закончиться процесс, мы получим файл это и есть файл впн подключения в нашу уязвимую сеть.
Полноценна картина должна выглядить так, 3 доменн контроллера и 2 сервера а так же наш впн

Чисто для теста давайте прыгним на любой хост и посмотрим все ли ок.

Для удобства так же советую держать htop включенным для мониторинга потреблений ресурсов, т.к. каждой виртуалке в сети выдаеться по 2 ядра и 4гб озу, вообще можно руками поправить, но если вы взяли жирный сервак то сойдет.

Подводя итоги этой статьи - мы развернули полноценную уязвимую сеть + впн для атакующего подготовлен, в следующих статьях я буду разворачивать системы защиты SIEM/IDS/EDR/MISP и тд. для защиты наших хостов.
Кстати весь этот проект я поднимаю в прямом эфире на твиче, кому интересно:
ТГ: https://t.me/infosecetochto
Для тех кто хочет меня поддержать:
Безработному блютимеру на ход ноги:
BTC: bc1qxzw0u2hl40hxpw0zjz82zzkl5mgjtp9xwkex6f

Всем спасибо! Ждите следующей части!

 

[Eleven]

Все, что касается пентеста всегда интересно почитать. Годно. Увлекательное чтиво, пиши есчо. Ждём продолжения статьи

 

[defaultuser0]

Все, что касается пентеста всегда интересно почитать. Годно. Увлекательное чтиво, пиши есчо. Ждём продолжения статьи

Позвал солидного пентестера, думаю последняя статья будет самой интересной (где будет отчет об атаке на сеть)

 

[kosok11]

892f7307c9ede0e37e9d7e9745bd8f87570879aa6a2e7e2351611750387fa9e7

 

[Whisper]

Почему выбор между vmware и vbox, чем qemu не подходит?
Почему убунта а не debian?
И поправь.

(Прежде посмотрите какая версия питона если 3.10 то меняем 3.8 на 3.10)

 

[defaultuser0]

Почему выбор между vmware и vbox, чем qemu не подходит?
Почему убунта а не debian?
И поправь.

Потому что ансибл сценария (нормальных) только под VMware & vbox это уже вопрос к разрабам
Убунту сами разрабы указали как рекомендованной ОС для развертывания сети
Премки нет.

 

[defaultuser0]

Весь список