DumpsterFire Toolset: Security Incidents In A Box

DumpsterFire Toolset: Security Incidents In A Box

O DumpsterFire Toolset é uma ferramenta modular, orientada por menus e multiplataforma para a construção de eventos de segurança distribuídos repetitivos, atrasados ​​e diferenciados. Crie facilmente cadeias de eventos personalizados para perfurações de Blue Team e mapeamento de sensor / alerta. As equipes vermelhas podem criar incidentes de chamariz, distrações e iscas para apoiar e escalar suas operações. Transforme os exercícios de mesa de papel em eventos de alcance controlados de “fogo vivo”. Crie sequências de eventos (“narrativas”) para simular cenários realistas e gerar artefatos de rede e sistema de arquivos correspondentes.

O conjunto de ferramentas foi projetado para ser extensível dinamicamente, permitindo que você crie seus próprios Incêndios (módulos de evento) para adicionar à coleção incluída de Fogos de ferramentas. Basta escrever seu próprio módulo Fire e soltá-lo no diretório FireModules. O conjunto de ferramentas DumpsterFire detectará automaticamente seus incêndios personalizados na inicialização e os disponibilizará para uso.

Por quê

Equipes vermelhas e equipes azuis são tipicamente excessivamente expandidas. O que falta é uma maneira de dimensionar as capacidades de cada equipe, proporcionando uma atividade da Equipe Vermelha mais efetiva e exercícios da equipe azul / roda mais realistas (e úteis). Automação ao resgate! O DumpsterFire Toolset é uma solução multi-plataforma baseada em menus que permite que você crie facilmente incidentes de segurança personalizados combinando eventos modulares e encadeados em uma narrativa consistente. Aquela coleção de eventos (DumpsterFires) pode então ser executada como processos automatizados com atraso de tempo. (Eles também podem ser acionados imediatamente, é claro.)

O resultado? Enquanto você está em uma reunião ou desfrutando a vida, seu DumpsterFire está esperando seu gatilho da data-hora para ativar. Em um compromisso da Red Team, enquanto você está ocupado explorando esse serviço exposto em um servidor B2B esquecido, seus DumpsterFires clonados e sincronizados com o tempo estão ocupados ao iluminar o SIEM da organização de destino em uma sub-rede distante, distraindo sua equipe de resposta. A Blue Teamers pode transformar os exercícios de papel da mesa em eventos de alcance de “fogo vivo”, com cadeias de eventos controladas e pré-aprovadas da DumpsterFire para provocar sensores e alertas e treinar seus analistas usando seu ambiente operacional real. As operações do Purple Team agora podem executar cadeias de eventos metódicas e repetitivas para mapear consistentemente o sensor e a postura de alerta. Você pode gerar novos cenários para testar e treinar suas equipes, ficando à frente do espaço de ameaças para estar preparado para contingências de segurança.

Já se perguntou como sua equipe azul responderia à atividade de Mirai bot em sua rede interna? Agora você pode descobrir! (Não se preocupe, o módulo Mirai Bot Fire não pivote, mas usa os mesmos nomes de usuário e senhas para sessões de telnet de força bruta na rede de destino).

Não tem uma equipe vermelha, mas deseja que você tenha uma maneira fácil de executar exercicios controlados, repetitivos e personalizados contra todas as suas equipes de mudança de SOC? Feito!

Desejo que você possa apoiar um compromisso do Red Team contra uma equipe remota que está a 7 fuso horários, sem acordar às 3:00 da manhã? Clique no botão Snooze!

Sempre desejava simultaneamente rickroll todos os sistemas de seus oponentes durante o seu exercício anual de ciberguerra? “Nunca vou deixar você cair!”

Visão geral

O fluxo de trabalho do conjunto de ferramentas DumpsterFire foi projetado para ser fácil de usar e robusto. Tudo pode ser feito dentro do script dumpsterFireFactory.py menu-driven. Inicie o script e a ferramenta irá guiá-lo enquanto você estiver indo. Você pode começar navegando nos módulos Fire existentes e no DumpsterFires. Quando estiver pronto para criar seus próprios DumpsterFires, a ferramenta irá liderar o fluxo de trabalho para fazer o trabalho. Finalmente, será hora de acender seu DumpsterFire. Depois de selecionar o DumpsterFire de sua escolha, você analisará os módulos e configurações de Fire DumpsterFire. Se tudo estiver bem, acenda-o!

Quando você está criando um DumpsterFire, depois de escolher todos os módulos Fire que você deseja incluir, a ferramenta irá percorrer a lista de Incêndios. Se um Fire tiver opções para configurações personalizadas, a ferramenta chamará o método Fire’s Configure () para apresentar suas instruções para suas configurações (por exemplo, um endereço IP da rede de destino).

Uma vez que todos os Fires foram configurados, você terá a opção de atribuir atrasos de tempo individuais aos Fires. Isso permite que o DumpsterFire imite melhor as operações reais ao executar sua cadeia de eventos. Por exemplo, o primeiro Fire pode visitar vários sites de hackers, o próximo Fire, em seguida, baixa algumas ferramentas comuns de hacking antes de iniciar o terceiro Fire, que começa a escanear a rede local. Se isso acontecesse em poucos segundos, nenhum analista de SOC vai acreditar que era um ser humano. Ao adicionar vários minutos ou mesmo horas entre esses eventos, você cria uma cadeia de eventos mais realista.

Depois de todos os Fires terem sido configurados e os atrasos individuais de incêndio individuais atribuídos, você será solicitado a nomear seu DumpsterFire. Não use espaços ou caracteres especiais estranhos, basta ficar com letras, números, sublinhados e hifens.

Voila! Você criou seu primeiro DumpsterFire. Tempo para iluminar um!

Quando você está pronto para acender um Dum