Laboratorio para Red Team

Durante estos días de aislamiento seguro que muchos habéis pensado en invertir vuestro tiempo libre en algo que siempre teníais en vuestra lista de TO-DOs y nunca encontrábais suficiente tiempo para llevarlo a cabo :P

Y ya que no todo es trabajar (ciber)seguro desde casa, como indicaba mi compañero Luis la semana pasada, os traigo un pequeño laboratorio que no os vendrá nada mal para practicar y observar cuanto "ruido" hacen vuestras herramientas durante un ejercicio de Red Team.

DetectionLab es un laboratorio especialmente diseñado desde un punto de vista de un equipo de Blue Team, al menos a la hora de monitorizar datos. Su principal propósito es permitir a cualquier usuario desplegar un controlador de dominio de Windows y poder evaluar sus herramientas en él.

Algunos casos de uso para los que fue pensado son principalmente:

• Evaluar qué tipo de alertas y logs genera un ataque específico.
• Permitir que cualquier individuo de un equipo de Red Team pueda evaluar previamente que rastro genera al realizar un movimiento lateral en un entorno controlado.
• Facilitar las tareas de despliegue de un entorno de AD para hacer pruebas controladas.

Si bien el laboratorio o "herramienta" fue lanzada por Chris Long a finales de 2017, no he visto muchos posts en castellano haciendo referencia a este laboratorio y como ha avanzado en la actualidad. Y es que, durante la semana pasada, la comunidad de CyberDefender lanzó un fork llamado DetectionLabELK haciendo uso de la ya conocida ELK para el proceso de logging del laboratorio. (La misma que utilizaron mis compañeros David y Diego en su charla sobre Threat Hunting en Sh3llcon.

Animamos a montar vuestro propio laboratorio de DetectionLab, ya sea usando Splunk o ELK.

Por si os ha gustado esta herramienta y queréis que documentemos el proceso para montarla en alguna de las plataformas disponibles (AWS, Windows, Linux), os dejaremos una encuesta en Twitter para que podáis votar.

Fuente: Flu-Project