我见过很多人谈论如何进行渗透测试以及如何在交战期间不被抓到,但很难找到“在红队交战期间被抓到时如何表现”。
红队将模拟对手攻击系统。仅使用一些计算机无法执行许多操作(或至少很难执行),并且红队通常必须前往现场并(合法地)闯入。到目前为止,我所看到的是人们成功地没有被抓住。但是,我还没有看到有人谈论被抓时该怎么办。这可能只是一些怀疑,甚至被安全人员(可能是武装)追捕。
如果红队队员在约会中被抓到,他/她应该怎么做?
更新:我在这里提出了另一个问题,其中涵盖了该问题中未讨论的第 3 方。
这是红队的黄金法则!如果您没有随身携带攻击许可,那就像没有驾驶执照的驾驶一样。也就是说,如果您在订婚期间被抓到,我建议您采取以下措施:
出示伪造的攻击许可。通过这种方式,您可以查看犯罪分子是否可能会欺骗保安人员,让他们使用伪造的“攻击许可”来做他们的事情。
提供真正的攻击许可。如果警卫没有买你的假单,那么是时候交出真单了。如果后卫相信你,是时候拿起并离开外围了。此时会阻止真正的攻击者。如果警卫不相信你,请他们善意地与他们的主管交谈。如果他们坚持不相信你并报警,那就这样吧。你不是罪犯,所以不用担心。
听从警察的命令。他们会带你去警局,在那里你可以向警察解释你是红队的一员,并且你有权闯入公司。他们会仔细检查,打电话给谁被列为签署你的攻击许可的人。在愉快的情况下,他们会拿起电话,解释说你真的受雇来做这件事,然后你就可以走了。
在不太开心的情况下,他们不会接电话,因为现在是凌晨 4 点,而且他们的手机没电了。如果发生这种情况,您可能会在警察局过夜。更糟糕的事情发生了。早上打电话给你的雇主,他们会帮你联系到客户公司的联系人。
说“我是一名安全研究员。你抓住了我,所以我就走了”
不会很有帮助。在保安的眼里,你是一个罪犯,被卷入了犯罪之中。你不会有“只是离开”的选择。
像罪犯一样逃跑。
一个非常糟糕的主意。可能是你能做的最糟糕的事情。如果警卫报警(他们可能会报警),成本可能会增加很多,而且客户不会高兴地知道他们现在还必须向警察支付不必要的搜捕费用。但是,您绝对应该在报告中包括在被抓住后离开外围是否是微不足道的努力。
联系雇主以获得“继续通行证”。
那会错过红队参与的重点。一旦你有一个“继续”通行证,你就不是在模拟真正的攻击者会如何行动。你会在他们允许的情况下浏览公司的东西。
有另一面:如果你发现了一个物理渗透测试者该怎么办。当我在一家银行工作时,我碰巧注意到标志性的 metasploit cli 欢迎横幅在立方体农场中间的桌面上闪现了一秒钟。
物理测试员是银行生活的一部分,参与规则事先非常明确。如果有人注意到渗透测试者,双方都有规则和程序。这保证了每个人的安全。
因为想象一下这种情况:如果 metasploit 正在运行,只需要攻击者运行一个预制脚本,银行就可能“游戏结束”。如果您看到横幅,可能已经为时已晚。这意味着该人的手指需要离开该键盘,并且尽快关闭网络线/wifi。就像,马上。这意味着粗略的物理交互。不等安检到来。这是一个安全问题。
事实证明,在这种情况下,渗透测试员搞砸了,像那样暴露自己,参与会提前结束,但按照协议,参与会在规定的范围内继续进行,每个人都很安全。测试不是为了能够进入,而是为了模拟一个恶意的内部人员。