نقشه راه ردتیم

1.ردتیم چه چیزی هست؟

از دید تاریخی ردتیم برگرفته از تمرین‌های ارتش امریکا در طی جنگ سرد بوده است که در واقع ارتش شوروی تیم قرمز و ارتش آمریکا تیم آبی بوده است.اما در دنیای امنیت سایبری ردتیم به معنای شبیه سازی حمله متخاصم یا دشمن می باشد.به صورت کلی اگر بخواهید به عنوان ردتیمر فعالیت کنید بنابر نوع موقعیت شغلی به شما کارهای مختلف محول می‌شود که برای انجام کارها نیازمند داشتن مهارت‌ها در طیف های مختلف هستید.
مثلا:
پیدا کردن و بهبود دادن زنجیره اجرایی فایل بدافزار در جهت ارزیابی blue team مثل زنجیره زیر
url > zip > js > curl > .dll
پیدا کردن روش‌های جدید و مختلف برای دور زدن مکانیسم‌های امنیتی
مثل

• Application whitelisting
• Uac bypass
• AV evasion
• EDR evasion
• و …

2.ردتیم چه چیزی نیست؟

تست نفوذ به خودی خود ردتیم نیست، بلکه یکی از تکنیک های نفوذ می تواند هک وب باشد.

3.ردتیم کجاها مورد استفاده قرار می‌گیرد

Offensive Security maturity model

سازمان ها دارای بلوغ امنیت تهاجمی مختلفی می‌باشند.در تمام سازمان Vulnerability scanning و Vulnerability Assessment انجام می‌شود.با توجه به بزرگی سازمان‌ها بخش تست نفوذ را دارند یا این بخش را به بیرون out source می کنند یا حتی از برنامه‌های باگ بانتی استفاده می‌کنند.سازمان‌هایی که بلوتیم دارند برای ارزیابی عملکرد این تیم و کشف گپ‌های امنیتی از ردتیم داخلی یا خارجی استفاده می‌کنند.تمرین‌های پرپل تیم یکی از روش برقراری تعادل و کمک به افزایش بهره وری ردتیم و بلوتیم می‌باشد تا به هدف میزان شناسایی را افزایش و false positive را کاهش دست پیدا کنند.شبیه سازی گروه‌های APT در جهت ارزیابی عملکرد تیم های دفاعی بسیار کاربردی می‌باشد.

4.گام‌هایی که یک ردتیم داخلی در سازمان باید طی کند:

شناخت شبکه و تجهیزات امنیتی و همچنین محل‌هایی که سنسور وجود دارد یا ندارد!
آماده‌سازی تست طبق شبکه و تجهیزات امنیتی و پیاده‌سازی آن ها
کشف گپ های امنیتی و گزارش به بلوتیم
بررسی مجدد و اجرای تست تا مطمئن شود که گپ‌ها رفع شدند
بسته بلوغ بلوتیم شبیه سازی تکنیک یا APT گروه باید توسط ردتیم انجام شود
اگر سازمانی به بلوغ رسیده باشد و حداقل 4 سال بلوتیم داشته باشد تست‌ها باید با سطح بالاتری پیاده‌سازی شوند و تمرکز بیشتر به دور زدن و نگاه به شناسایی و عدم شناسایی بلوتیم می‌باشد همچنین توسعه بدافزار جزو مهم ترین کارها می‌باشد.

5.انواع موقعیت‌های شغلی ردتیم و مهارتهای لازم برای هر سطح از موقعیت‌های شغلی

5.4.1 Junior Red Team consultant
• Proficiency in network, OS, and cybersecurity.
• Familiarity with web and network penetration testing.
• Knowledge of scripting.
• Basic understanding of threat intelligence.
• Ability to analyze logs.
5.4.2 Mid-level Red Team Consultant
• Advanced skills in web and network penetration testing.
• Proficiency with red team tools and frameworks.
• Experience in scripting and automation.
• Experience with exploiting vulnerabilities.
• Developing mitigation strategies.
5.4.3 Senior Red Team Consultant
• Expertise in web and network penetration testing.
• Proficiency in reverse engineering, malware analysis, and exploit development.
• Experience in conducting red team engagements.
• Skills in threat modeling and risk assessment on both technical and business sides.
• Developing mitigation plans for new threats.

6.تفاوت ردتیم داخلی و خارجی

ردتیمر داخلی Internal Red Teamer دامنه کاری: داخل سازمان، چک کردن کنترل امنیتی داخلی، سیاست های امنیتی و فرآیندهای امنیتی، شبیه سازی حملات تهدید داخلی و گروه های APT میزان دسترسی: دانش روی زیرساخت، سیستم های امنیتی و در بعضی موارد خود SIEM اهداف: gap analysis، همکاری با بلوتیم، همکاری در incident response, threat hunting و mitigation

ردتیمر خارجی External Red Teamer دامنه کاری: سازمان و شرکت های وابسته، شبیه سازی حملات APT میزان دسترسی: هیچ دانشی از تجهیزات امنیتی و زیرساختی ندارد و همچنین هیچ ارتباطی با اعضای داخلی ندارد. اهداف: دسترسی اولیه و رسیدن به استخراج اطلاعات قوانین تست: انجام تمام تست ها بدون هیچ گونه عملیات تخریب در دارایی های سازمان، عدم استخراج اطلاعات مشتریان و اطلاعات حساس مثل دیتابیس ها

7.چگونه یک ردتیمر بشوم؟

امروزه تخصص ردتیم یکی از ترندهای امنیت سایبری تبدیل شده است به گونه‌ای که تاثیر آن را در موقعیت‌های شغلی در سرتاسر جهان می‌بینید و شاید علاقه مند شده باشید که واقعا این ردتیم چیست؟ چه بدردی می‌خورد آیا من می‌تونم ردتیمر بشوم چه دانشی نیاز دارد چه مهارت‌هایی نیاز دارد و آیا منابع رایگان وجود دارد تا من بتوانم به صورت خودخوان بخوانم یا حتما باید در کلاس خاصی شرکت کنم؟

8.کلیه مهارت های فیلد ردتیم

به عنوان یک شخص تازه وارد در این حوزه شما باید دانش های زیر را کسب کنید تا وارد محل کار شوید:

1. دانش ابتدایی روی امنیت سایبری : شبکه، سیستم عامل‌ها(ویندوز،لینوکس و مک).
2. تست نفوذ دانش مفاهیم اصلی و کار با ابزارها و توانایی انجام تست نفوذ بر اساس فریمورک مطرح مثل owasp که به صورت کلی 7 مرحله دارد . information gathering, vul scanning, exploiting, maintain access , privilege escalation, post exploitation, reporting
3. دانش اتومات سازی یا ساخت ابزار خاص منظوره برای بخشی از پروژه که حداقل نیاز دارید یک زبان برنامه نویسی یا اسکریپت نویسی بلد باشید ( python, powershell, bash,… )
4. دانش بر کشف آسیب پذیری‌های شناخته شده روی برنامه ها و شبکه شما باید به مرور سعی کنید به مهارت بیشتری دست پیدا کنید به عنوان مثال یک ردتیمر سنیور مهارت‌های زیر را دارد:
5. تسلط به اینترنالز سیستم عامل ویندوز لینوکس و مک abolfazl kazemi-WI,mohammad reza ramezani-WI,parsa sarrafian-WI,abolfazl kazemi-LI
6. مسلط به تاکتیک‌های مایتراتک و توانایی شبیه سازی تکنیک‌های جدید APT گروه‌ها
7. توانایی توسعه ابزارهایی در جهت پیاده‌سازی تکنیک‌های APT گروه‌ها مثل C2
8. آشنایی با معماری شبکه‌های پیچیده نحوه کار کرد IDS/IPS, SIEM, EDR,XDR, honeypot, deception& decoy, AV, WAF, firewall
9. تسلط بر روی مایتراتک و توانایی برنامه ریزی برای شبیه سازی تکنیکها
10. توانایی شناخت بیزینس و ارایه تحلیل ریسک‌ها موجود در بیزینس
11. توانایی توسعه فردی و یادگیری به صورت دائمی و آپدیت کردن خودش Free Resources
12. توانایی تحلیل اکسپلویت‌ها و بدافزارهایی که گروه‌های APT از آن‌ها استفاده کردند و قابلیت ارائه گزارش مبنی بر اینکه نحوه کارکرد بدافزار واکسپلویت چیز از چه آسیب پذیری استفاده می‌کند و هدف اصلی آن ها چیست
13. توانایی در ارزیابی محصولات کنترلی مثل application whitelisting, AV, EDR در جهت FUD کردن تا لاگی از این تجهیزات نباشد و ارزیابی کند از حرکات بعدی یا artifact های موجود در سیستم یا شبکه تیم آبی توانایی شناسایی آن را دارند یا نه
14. توانایی مدیریت و منتور بودن نیروهای تازه‌کار و کمک در پروژه‌های مختلف حل مشکلات
15. توانایی ارائه دادن گزارش نوشتن برقراری جلسه و مدیریت جلسات

TIBER-EU (Threat Intelligence-based Ethical Red Teaming for the European Union):
• Developed by the European Central Bank (ECB), TIBER-EU aims to enhance cyber resilience within the European Union’s financial sector.
• It focuses on conducting controlled red team exercises informed by threat intelligence to identify and address cybersecurity weaknesses.
• TIBER-EU emphasizes collaboration, standardized methodologies, and scenario-based testing to improve cybersecurity posture.

UK’s CBEST (UK’s CBEST)

Hongkong’s iCAST (Intelligence-led Cyber Attack Simulation Testing):

• iCAST (Intelligence-led Cyber Attack Simulation Testing) is a framework developed by the Hong Kong Monetary Authority (HKMA) for assessing and enhancing cybersecurity resilience in the financial sector of Hong Kong.
• It employs an intelligence-led approach, incorporating threat intelligence to simulate realistic cyber attack scenarios.
• iCAST emphasizes scenario-based testing, collaboration among stakeholders, and provides detailed reports for participating institutions to prioritize remediation efforts and improve their cybersecurity posture.

Saudi Arabia’s FEER (Financial Entities Ethical Red Teaming): • Saudi Arabia’s FEER (Financial Entities Ethical Red Teaming) framework is designed to enhance cybersecurity resilience specifically within the financial sector of Saudi Arabia.
• It employs ethical red teaming methodologies to simulate cyber attacks and assess the effectiveness of cybersecurity defenses in financial institutions.
• FEER promotes collaboration among financial entities, regulatory authorities, and stakeholders, and encourages continuous improvement of cybersecurity defenses based on insights gained from red team exercises.

Singapore’s AASE (Adversarial Attack Simulation Exercises): • Singapore’s AASE (Adversarial Attack Simulation Exercises) framework employs simulation-based approaches to assess cybersecurity readiness by mimicking real-world cyber attacks.
• AASE fosters cross-sector collaboration among government agencies, critical infrastructure operators, and private enterprises to ensure comprehensive coverage and sharing of insights.
• The framework emphasizes continuous improvement by providing actionable recommendations based on exercise outcomes to enhance cybersecurity resilience over time.

NATO’s framework • NATO’s red team framework is tailored for military and defense operations, focusing on enhancing operational planning, decision-making, and preparedness.
• It conducts strategic assessments by analyzing military plans and exercises, employing diverse expertise to challenge assumptions and uncover vulnerabilities.
• The framework aims to improve operational effectiveness by generating insights from simulated adversarial engagements, facilitating learning, adaptation, and refinement of military strategies and tactics.

MITRE(Mitre’s ATT&CK framework):
• The MITRE ATT&CK framework categorizes adversary behaviors into tactics and techniques, aiding in understanding how attackers operate.
• It maps adversary techniques to real-world scenarios, allowing organizations to assess their defensive capabilities and prioritize defensive measures.
• Continuously updated and community-driven, the framework encourages collaboration among cybersecurity professionals to share knowledge and develop effective defensive strategies against evolving threats.

1. Reconnaissance
• Skills: OSINT techniques, network scanning, footprinting.
• Knowledge: Information gathering methodologies, threat intelligence.
• Tools: Maltego, theHarvester, Shodan, Amass, Sn1per, Recon-ng, Nikto, spiderfoot, Gobuster
• References:“Open Source Intelligence Techniques” by Michael Bazzell. Recon-Persian

2. Resource Development
• Skills: Exploit development, scripting, programming.
• Knowledge: Software vulnerabilities, programming languages (e.g., Python, C/C++).
• Tools: Immunity Debugger, IDA Pro, Msfvenom, GDB, chimera, shellter, offensive VBA
• References: “Hacking: The Art of Exploitation” by Jon Erickson, “Gray Hat Python” by Justin Seitz,Resource Development – Persian

3. Initial Access
• Skills: Understanding of common attack vectors (e.g., phishing, exploitation), reconnaissance techniques.
• Knowledge: Network architecture, common vulnerabilities, and exposures (CVEs).
• Tools: Metasploit, Cobalt Strike, SET (Social Engineering Toolkit), Aircrack-ng, Luckystrike, Wifi-pumpkin, gophish, sqlmap, bash bunny, evilginx2
• References: “The Hacker Playbook 3” by Peter Kim, “Metasploit: The Penetration Tester’s Guide” by David Kennedy et al.,Initial Access-Persian

4. Execution
• Skills: Ability to execute payloads, shell scripting, understanding of command execution techniques.
• Knowledge: Operating system internals, scripting languages (e.g., PowerShell, Python).
• Tools: PowerShell Empire, Metasploit, Cobalt Strike, macro_pack, donut, Unicorn, responder, evil-winrm, powersploit, Rubeus, sqlrecon
• References: “PowerShell for Pentesters” by Nikhil Mittal, “Violent Python” by TJ O’Connor.,Execution

5. Persistence
• Skills: Familiarity with persistence mechanisms (e.g., registry keys, scheduled tasks), privilege escalation techniques.
• Knowledge: Windows Registry, Group Policy Objects (GPOs), file system permissions.
• Tools: Covenant, Metasploit, Empire, impacket, sharpersist, pwncat
• References: “Windows Internals” by Pavel Yosifovich et al., Persistence-Persian

6. Privilege Escalation:
• Skills: Understanding of privilege escalation techniques, kernel exploitation.
• Knowledge: Windows and Linux internals, vulnerability analysis.
• Tools: PowerSploit, Mimikatz, Linux Exploit Suggester, Rubeus, UACme, sharpup, certify, PEASS-ng, sherlock, Watson, ADFSDump, Beroot, sweetpotato

7. Defense Evasion:
• Skills: Anti-forensics techniques, obfuscation, bypassing security controls.
• Knowledge: Security products (e.g., antivirus, EDR), encryption techniques.
• Tools: Veil, Shellter, Meterpreter, Proxychains, invoke-obfuscation, sharpblock, Alcatraz, mangle, AMSI fail, scarecrow, moonwalk

8. Credential Access:
• Skills: Password cracking, phishing, credential dumping techniques.
• Knowledge: Cryptography, authentication protocols, password storage mechanisms.
• Tools: Mimikatz, Hydra, John the Ripper, Hashcat, responder, Lazagne, SCOMDecrypt, nanodump, eviltree, dploot

9. Discovery:
• Skills: Active directory, network penetration testing.
• Knowledge: Network protocols, enumeration methods.
• Tools: Nmap, Pingcastle, seatbelt, ADrecon, adidnsdump, bloodhound, kismet

10.Lateral Movement:
• Skills: Exploiting misconfigurations, post-exploitation techniques.
• Knowledge: Active Directory, Windows file sharing, SSH.
• Tools: CrackMapExec, PowerShell Empire, mimikatz, psexec, wmiops, infection monkey, powerlessshell, liquidSnake, ADFSpoof, kerbrute, coercer

11.Collection:
• Skills: Data exfiltration methods, network packet analysis.
• Knowledge: Data storage formats, network protocols.
• Tools: powersploit, powerupsql

12.Command and Control:
• Skills: Setting up covert communication channels, using custom protocols.
• Knowledge: Networking fundamentals, encryption techniques.
• Tools: Cobalt Strike, Metasploit, Covenant, pupy, merlin, poshc2, sliver, havoc, brute ratel, nimplant, hoaxshell

13.Exfiltration:
• Skills: Data compression, encryption, covert communication.
• Knowledge: Steganography, network traffic analysis.
• Tools: Cryptcat, OpenStego, dnscat2, cloakifyfactory, powershell-rat, pyExfil, GD-Thief

14.Impact:
• Skills: Understanding of destructive techniques (e.g., ransomware), data manipulation.
• Knowledge: File system structures, database internals.
• Tools: pseudo ransomware, slowloris, LOIC

11.شبیه سازهای TTP مایتراتک

دو از ابزارهای متن باز که در شبیه سازی تاکتیک تکنیک و روشها به بسیار کاربردی هستند:

Caldera, atomic red team Emulation & Simulation APT همچنین ابزارهای تجاری مثل

• Cobalt strike
• Cymulate
• Brute ratel
• و…

c2 Matrix

12.آیا فریمورک مایتراتک پوشش کامل می‌دهد ؟

به صورت کلی مایتراتک یک فریمورک ما بین کامیونیتی امنیت است که بسیاری از شرکتهای امنیتی در طول سال وقتی به تکنیک‌های جدیدی دست پیدا کنند به مایتر گزارش می‌کنند و تیم مایتر پس از بررسی اضافه می‌کند لذا این فرآیند زمان بر است و مایتر در لحظه آپدیت نیست. منابع برای آپدیت گزارش‌های هوش تهدید، مقالات محققین امنیتی، گزارش‌های IR که پس هک سازمان‌ها منتشر می شود، بلاگ‌ها و تویتتر محقیقن امنیتی می تواند منابعی برای افزایش گستره پوشش TTP باشد.

13.گام های کلی که برای کار در فیلد ردتیم باید طی شود:

Mind V1

14.بازار کار ردتیم متوسط حقوق پوزیشن ردتیم در خارج از ایران

با توجه به اینکه تو ایران هیچ آمار دقیقی از حقوق‌ها نیست. صرفا حقوق‌های ردتیم در آمریکا قرار داده شده است.

Red Team Operator

(Based on the job advertisement on LinkedIn):

Junior: $60,000 – $90,000
Mid-level: $90,000 – $120,000
Senior: $120,000 – $150,000+

Red Team Engineer

(Based on the job advertisement on LinkedIn):

<

Junior: $70,000 – $100,000
Mid-level: $100,000 – $130,000
Senior: $130,000 – $160,000+

Red Team Lead

Mid-level: $120,000 – $150,000
Senior: $150,000 – $200,000+

Red Team Consultant

Junior: $70,000 – $100,000
Mid-level: $100,000 – $130,000
Senior: $130,000 – $160,000+

RedTeam Interview