H8

Questions and Answers

Wat is de primaire taak van een red team?

Het ontwikkelen van nieuwe beveiligingssystemen.

Het beheren van de dagelijkse operationele beveiligingsprocessen.

Het testen van de verdediging en blootleggen van zwakke punten. (correct)

Het uitvoeren van regelmatige beveiligingsaudits volgens wettelijke normen.

Welke van de volgende activiteiten valt niet onder de reikwijdte van een red team?

Het verifiëren van backups en disaster recovery plannen. (correct)

Het stelen van papieren documenten.

Het onschadelijk maken van veiligheidscamera's.

Proberen een gebouw fysiek binnen te dringen.

Wat wordt bedoeld met 'reconnaissance' in het kader van red teaming?

Het actief zoeken naar kwetsbaarheden in een systeem.

Het op onopvallende wijze verzamelen van informatie over een systeem. (correct)

Het onderhouden van toegang tot systemen via backdoors.

Het proberen ongeautoriseerde toegang tot een systeem te verkrijgen.

Wat is het verschil tussen 'reconnaissance' en 'scanning & enumeration'?

Bij reconnaissance wordt informatie breed verzameld, terwijl scanning & enumeration zich richt op specifieke zwakheden.

Waarom wordt het red team principe pas in het 3e jaar van de studie 'Cybersecurity' verder uitgewerkt

De benodigde technische vaardigheden worden pas in het derde jaar aangeleerd.

Wat is de benaming voor de verdedigende partij tijdens een red team oefening?

Blue Team

Wat is het doel van de reconnaissance fase volgens de gegeven tekst?

Het proberen van het doelwit te begrijpen en de potentiële zwakke plekken in kaart te brengen.

Wat is de meest nauwkeurige beschrijving van 'white hat hackers' in de context van deze tekst?

Legale hackers die in dienst van de organisatie werken.

Wat is het primaire doel van het beperken van het aanvalsdomein?

Het accurater maken van de toekomstige aanval.

Waarom wordt data vaak opgeslagen in een informatiedatabank tijdens een red team oefening?

Om het red team gemakkelijk verbanden te laten leggen tussen bevindingen.

Wat is het belangrijkste kenmerk van actieve reconnaissance?

Direct contact met het doelwit, waarbij het doelwit informatie over de aanvaller verkrijgt.

Welke van de volgende acties wordt beschouwd als een voorbeeld van passieve reconnaissance?

Het in de gaten houden van aankomend en vertrekkend personeel.

Waarom wordt het bezoeken van een website meestal als passieve reconnaissance beschouwd, ondanks dat de server informatie verzamelt?

Omdat het moeilijk is een specifiek bezoek te linken aan een toekomstige aanval door de hoeveelheid website bezoekers.

Wat is het belangrijkste om te onthouden bij het gebruik van zoekmachines voor reconnaissance?

Gebruik de eigen specifieke operatoren van elke zoekmachine.

Wat is een belangrijk kenmerk van openbare databanken?

Ze bevatten publiek beschikbare, maar soms zeer interessante informatie.

Waarom zijn zoekmachine operatoren belangrijk bij reconnaissance?

Ze helpen om zoekopdrachten efficiënter uit te voeren en meer gerichte resultaten te vinden.

Welke van de volgende opties is een voorbeeld van een publiek document dat nuttige data kan bevatten tijdens de reconnaissance fase?

Het Belgisch staatsblad

Welke informatie over vacatures is relevant tijdens de reconnaissance fase?

Informatie over belangrijke openstaande posities en gebruikte technologieën

Waar delen mensen onbewust gevoelige informatie die gebruikt kan worden tijdens de reconnaissance fase?

Op sociale media

Welke van de volgende tools wordt gebruikt om informatie van sociale media te verzamelen via de commandline?

theHarvester

Wat is het primaire doel van het gebruik van tools zoals Netcraft en BuiltWith tijdens de reconnaissance fase?

Het identificeren van de gebruikte technologieën op een website

Waarom zou je een hele website downloaden tijdens de reconnaissance fase?

Om onopvallend te experimenteren met de website

Welke informatie kan men verkrijgen via een 'Whois' zoekopdracht?

Informatie over de registratie van een domein

Wat is de functie van DNS in de context van reconnaissance?

Het vertalen van domeinnamen naar ip-adressen

Welke van de volgende omschrijvingen past het best bij de hoofdtaak van een red team?

Het identificeren van zwakke plekken in een organisatie door middel van gecontroleerde aanvallen.

In welke fase van het red teaming proces wordt er voornamelijk gekeken naar de beschikbaarheid van manieren om terug in te breken?

Maintaining access

Welke term beschrijft het meest accuraat een persoon die legaal beveiligingssystemen test met de toestemming van een organisatie?

White hat hacker

Wat is het cruciale verschil tussen de 'reconnaissance'-fase en de 'scanning & enumeration'-fase van een red team operatie?

Reconnaissance verzamelt breed informatie over mogelijk nuttige aspecten, en scanning & enumeration focust specifiek op potentiele aanvalspistes.

Een red team heeft na het verkrijgen van toegang tot een systeem de intentie om deze toegang te behouden. Welke fase beschrijft deze intentie het best?

Maintaining access

Welke actie is een belangrijk onderdeel van de 'reconnaissance' fase van een red team operatie?

Het zo onopvallend mogelijk verzamelen van informatie om het doelwit te begrijpen.

Wat is het belangrijkste doel dat een red team probeert te bereiken in de reconnaissance fase ?

Een gedetailleerd beeld vormen van het doelwit, met alle aspecten die mogelijk nuttig kunnen zijn voor een cyberaanval.

Welke van de volgende opties is geen typisch voorbeeld van data die men kan vinden in publieke documenten en die nuttig is tijdens de reconnaissance fase?

Gecodeerde wachtwoorden van gebruikers

Waarom is het verzamelen van informatie over gebruikte technologieën tijdens de reconnaissance fase van belang?

Om specifieke kwetsbaarheden en aanvalsmethoden te identificeren.

Welke van de volgende acties is het meest typerend voor de reconnaissance fase, in tegenstelling tot de scanning & enumeration fase?

Het verzamelen van algemene informatie zoals e-mailadressen

Waarom is de informatie die via 'Whois' wordt verkregen nuttig tijdens de reconnaissance fase?

Omdat het informatie geeft over de domeinregistratie en de eigenaar van de website

Welke rol speelt DNS (Domain Name System) in de context van reconnaissance?

Het omzetten van domeinnamen naar IP-adressen

Waarom zijn vacatures een potentiële bron van informatie tijdens de reconnaissance fase?

Omdat ze vaak details geven over gebruikte technologieën en belangrijke posities binnen een organisatie.

Welke uitspraak beschrijft het beste waarom mensen soms onbewust gevoelige informatie delen op sociale media?

Omdat ze over het algemeen niet bewust zijn van de privacyrisico's

Wat is het doel van het gebruik van tools zoals HTTrack in de reconnaissance fase?

Om discreet een volledige kopie van een website te downloaden voor offline analyse.

Welke bewering beschrijft het meest accuraat het doel van het verzamelen van informatie over aankomend en vertrekkend personeel tijdens de reconnaissance fase?

Het verkrijgen van inzicht in de interne structuur en potentiële toegangen tot het netwerk.

Waarom is de grens tussen passieve en actieve reconnaissance soms 'dun', zoals beschreven in de tekst?

Omdat activiteiten die passief lijken, zoals een website bezoeken, toch informatie naar het doelwit kunnen sturen.

Wat is een belangrijk verschil tussen het gebruik van Google en andere zoekmachines voor reconnaissance?

Verschillende zoekmachines kunnen verschillende resultaten opleveren, waardoor een bredere verzameling van informatie wordt verkregen.

Waarom is het belangrijk om het aanvalsdomein te beperken tijdens een red team oefening?

Om de toekomstige aanval accurater te maken door de focus te verscherpen.

Wat is het primaire voordeel van het opslaan van verzamelde informatie in een informatiedatabank tijdens een red team oefening?

Het maakt het eenvoudiger voor het red team om verbanden tussen verschillende bevindingen te leggen.

Welke actie wordt beschouwd als actieve reconnaissance?

Het versturen van een e-mail naar de helpdesk met een verzoek tot ondersteuning.

Waarom wordt een 'SQL injectie proberen uit te voeren' op een website niet beschouwd als passieve reconnaissance?

Omdat deze actie direct probeert data te manipuleren en niet discreet informatie verzamelt.

Wat is een cruciaal aspect van het gebruik van openbare databanken tijdens reconnaissance?

De data is publiekelijk beschikbaar, maar kan interessante of gevoelige details bevatten.

Study Notes

H8: Red Team

• Het red team probeert in te breken en test de verdediging van een systeem.
• Hun doel is kwetsbare punten bloot te leggen.

8.1 Taak van het Red Team

• Proberen in te breken.
• De verdediging testen.
• Zwakke punten blootleggen.

Red Team en Blue Team

• Het red team is de aanvallende partij.
• Het blue team is de verdedigende partij.
• Red team = White hat hackers (legaal)
• Blue team = verdediging

8.2 De 5 Fases

• Fase 1: Reconnaissance - Onopvallend informatie verzamelen over het doelwit, zo veel mogelijk informatie verzamelen over het doelwit (zo onopvallend mogelijk).
• Doel: het doelwit begrijpen, wie/wat/hoe/waar, hoe ze zich beveiligen en waar de waardevolle data zit.
• Fase 2: Scanning en Enumeratie - Actief onderzoek naar zwaktes in het systeem door gebruikte hulpmiddelen.
• Verzamelen van meer informatie, die gevonden is in fase 1.
• Fase 3: Gaining Access - De gevonden zwaktes benutten om toegang te krijgen.
• Echte aanvallen worden uitgevoerd op de gevonden kwetsbaarheden.
• Fase 4: Maintaining Access - Nieuwe manieren zoeken om toegang te behouden/herwinnen.
• Fase 5: Covering Tracks - Sporen van de aanval uitwissen.
• Het verbergen van de sporen.

Reconnaissance: Types

• Passief: Geen direct contact met het doelwit (bv. anoniem navigeren op websites).
• Actief: Wel direct contact met het doelwit, maar zonder dat het doelwit weet dat de informatie voor een toekomstige aanval gebruikt zal worden.

Reconnaissance: Zoekmachines

• Gebruik verschillende zoekmachines voor verschillende resultaten (bv. Bing, Yandex, Duckduckgo).
• Gebruik zoekoperatoren voor efficiënter zoeken.
• Gebruik websites als: Google Hacking Database.

Reconnaissance: Openbare databanken

• Openbare databanken bevatten vaak interessante, maar publiek beschikbare, gegevens zoals: Nationale Bank België, Belgisch Staatsblad, Vlaamse systemen.

Reconnaissance: Vacatures

• Informatie over belangrijke (open) posities en gebruikte technologieën verzamelen.
• Voorbeelden: Specialist Cyber Security vacatures zijn handig, ook informatie over de gebruikte technologie.

Reconnaissance: Social Media

• Mensen delen vaak (onbewust) gevoelige informatie zoals locatie, afbeeldingen van beveiligingselementen, biometrische gegevens.
• Hulpmiddelen om sociale media informatie te verzamelen: Pipl, Maltego, theHarvester.

Reconnaissance: Websites

• De meeste organisaties hebben een website met veel informatie: contactgegevens, foto's van personeel/gebouwen, structuur, en gebruikte technologie (bv. Netcraft, BuiltWith).
• Soms is downloaden van een website handig. (bv. met HTTrack).

Reconnaissance: Whois

• Informatie over registratie van een domeinnaam verkrijgen, zoals bijvoorbeeld met tools zoals whois.domaintools.com.

Reconnaissance: DNS

• Vertaalt domeinnamen naar IP-adressen.
• Geeft informatie over website, netwerk en infrastructuur.
• Verschillende tools (bv. nslookup, dig).

Reconnaissance: IoT

• IoT-devices zijn vaak slecht beveiligd.
• Tools zoals Shodan kunnen worden gebruikt om publiek toegankelijke apparaten op het netwerk te vinden.

8.4 Fase 2: Scanning en Enumeratie

• Het doel is het vinden van zwakke punten.
• De bekende kwetsbaarheden werden bepaald en vervolgens werden ze met andere systemen gekoppeld.
• Technischer en actiever dan reconnaissance.

Scanning en Enumeration: Basistools

• Ping: Welke toestellen zijn bereikbaar?
• Traceroute/tracert: Welke route leggen berichten af in het netwerk?

Scanning en Enumeration: Poortscanners

• Scannen van netwerkpoorten op een systeem om te bepalen welke connecties open staan.
• 3 mogelijkheden: Open, Gesloten, Gefilterd

Scanning en Enumeration; Netwerkscanners

• Scannen van het netwerk naar hosts (= toestellen) en verbindingen.
• Verschillende opties: LANState, PRTG Network Monitor, SolarWinds.

Scanning en Enumeration: Vulnerability Scanners

• Scannen van het netwerk naar gekende kwetsbaarheden.
• Verschillende opties: OpenVAS, Nessus, Metasploit.

Scanning en Enumeration: Informatie Op Applicatieniveau

• Verzamelen van info over applicaties.
• Netwerkprotocollen "misbruiken" om informatie over loginsystemen, FTP-servers en SMB-servers op te halen.

8.5 Fase 3-5: Gaining Access, Maintaining Access, Covering Tracks

• Gaining Access: Ontfutselen van logingegegevens, Exploiting zwaktes in software, Password cracking.
• Maintaining Access: Malware installeren, nieuwe accounts aanmaken, Pivoting.
• Covering Tracks: Gebruikte bestanden en/of logs verwijderen, timestamps aanpassen.

8.6 Pentests en Audit Reports

• Pentests zijn zeer gedetailleerde tests waar er toestemming is van het doelwit.
• Van de 5 fases is enkel passieve reconnaissance standaard toegelaten.

White/Grey/Black Box

• White box: Het red team heeft een volledig inzicht in het systeem (broncode, dokumentatie, enz.).
• Grey box: Het red team heeft een gedeeltelijk inzicht.
• Black box: Het red team heeft geen voorafgaande kennis.

Audit Report

• Gebaseerd op pentest resultaten met een rapport over:
  • conclusies begrijpbaar voor niet-technisch personeel.
  • gedetailleerde lijst van vulnerabilities, exploits en threats.

Vulnerabilities en Exploits

• Vulnerabilities zijn foutjes in software/configuraties.
• Exploits zijn manieren om die fouten te misbruiken.

Threats en Risk

• Een threat is het gebruik van een exploit door een aanvaller.
• Risk is de maat van ernst, gebaseerd op de kans op een threat en de ernst als dat gebeurt.

Risk Matrix

• Tabel met de combinatie van waarschijnlijkheid en impact voor het bepalen van wat de risk is.

Kort woordje over de verdediging

• Welke kwetsbaarheden zijn er in een systeem die voor zorg moeten zorgen.
• Zorgt ervoor dat zwaktes worden gecontroleerd en gemanaged.
• Het is belangrijk om gekende kwetsbaarheden aan te pakken, omdat die een hogere waarschijnlijkheid tot aanvallen hebben.

Description

Test je kennis over de rol en processen van red teaming binnen cybersecurity. Dit quiz behandelt onderwerpen zoals reconnaissance, white hat hackers en de fasen van een red team oefening. Ideaal voor studenten die hun begrip van dit onderwerp willen verdiepen.