[THM][Note] Red Team Recon

https://tryhackme.com/room/redteamrecon

Task1

レッド チームの運用では、企業名のみから開始し、そこからターゲットに関する情報の収集を開始する必要があります。偵察 (recon) は、ターゲット (クライアント) に我々のの活動を気づかれることなく進める必要が有ります。偵察によってノイズが大きすぎると、相手に発見されてまい、相手に対策の機会を与えてしまいます。偵察は受動的偵察と能動的偵察の 2 つがあります。この部屋では、受動的偵察、つまりターゲットに警告を発したり「ノイズ」を発生させたりしない技術に焦点を当てます。

Task2

偵察 は 2 つの部分に分類できます。

1. Passive偵察 : 直接ターゲットに接触しない偵察。
2. Active偵察 : 直接ターゲットに接触する偵察。

パッシブ偵察ではターゲットと接する必要はありません。言い換えれば、ターゲットまたはターゲットが所有するシステムにはパケットやリクエストを直接送信していません。その代わり第三者によって収集された公的に入手可能な情報に依存します。オープン ソース インテリジェンス ( OSINT ) はターゲットに関する情報をパッシブ偵察を使用して、ドメイン名、IP アドレス、メールアドレス、従業員名、求人情報などを収集します。

アクティブ偵察では、リクエストとパケットを送信して直接ターゲットに接触します。偵察の例としては、Nmapを使用してターゲットのサブネットとライブ ホストや、稼働サービスやそのバージョンなどをスキャンすることが挙げられます。

Task3

When was thmredteam.com created (registered)? (YYYY-MM-DD)

• 対象のドメインに対して、whois を実行してみましょう。
• 結果内容から、登録日を探しましょう。

To how many IPv4 addresses does clinic.thmredteam.com resolve?

• 対象のドメインに対して、nslookup を実行してみましょう。
• IPv4のアドレスはいくつあるか確認しましょう。

To how many IPv6 addresses does clinic.thmredteam.com resolve?

• 同じくIPv6のアドレスはいくつかるか確認しましょう。

Task4

• いろいろな高度検索を試してみましょう。ただし検索結果の内容を開く際は以下のリスクがあります。慎重に進めてください。
  • マルウェアやウイルス感染：罠の可能性があります。
  • 法的責任：ファイルが誤って公開されている機密情報を含んでいる場合、その情報を開いて閲覧すること自体が法的問題を引き起こす可能性があります。決して利用しないこと。
  • 倫理観や評判：不適切な情報にアクセスすることが公になると、個人や組織の信頼性や評判に悪影響を与える可能性があります。

How would you search using Google for xls indexed for http://clinic.thmredteam.com?

• 説明文を参考にして、Google高度検索のパラメーターを作成してみましょう。

How would you search using Google for files with the word passwords for http://clinic.thmredteam.com?

• 説明文を参考にして、Google高度検索のパラメーターを作成してみましょう。

Task5

• Viewdns.ifo
  • IPアドレスから紐付いているドメインを逆引きすることは簡単ですが、同じIPアドレスを使用している他のドメインを手動で探すのは困難です。あるIPアドレスに紐付けられている全てのドメインを検索したい場合は、こちらが便利です。
  • ターゲットで使用されているIPアドレスの情報が収集できたら、全てのIPアドレスに対して、使用されているドメインを探すのがいいでしょう。
• Threat Intelligence Platform
  • ドメインやIPを入力するだけで、「ドメインに紐付いているIP一覧」、「稼働しているwebの情報」、「ドメインに関連するSSL」、「Malwareぽいかどうか」、「Whois」、「MXレコード」、「NSレコード」をまとめて、見やすく返してくれます。
  • 「Other domains on th same IP」では、Viewdns.infoと同じ様に対象ドメインに紐付いているIPリストを返してくれますが、Viewdins.infoの方が多く返ってきます。
• shodan API
  • shodanにアカウントを作成してログインしましょう
  • shodanAPIを取得しましょう
  • kaliに、pipでshodanをインストールしましょう
  • shodanコマンドで、取得したAPIをセットしましょう

こちらのインストール手順を参考にしてください。

What is the shodan command to get your Internet-facing IP address?

• shodan -h を実行して、使用できるオプションの一覧を見てみましょう。自分のIPを確認するオプションがあります。

Task6

How do you start recon-ng with the workspace clinicredteam?

• 以下のコマンドで追っていくことが出来ます。

[recon-g][workspace-name] > help
[recon-g][workspace-name] > workspace
[recon-g][workspace-name] > workspace create
Creates a new workspace

Usage: workspace create <name>

How many modules with the name virustotal exist?

• marcketplace search コマンドを使用し、検索結果数を確認しましょう。

There is a single module under hosts-domains. What is its name?

• 同じく、marcketplace search で確認しましょう。

censys_email_address is a module that “retrieves email addresses from the TLS certificates for a company.” Who is the author?

• marcketplace search と、info を組み合わせて確認しましょう。

Task7

Maltegoで利用可能なTransformはターゲットシステムにアクティブに接続するものも含まれます。したがって、受動的な偵察に限定したい場合は、Transformを使用する前にTransformがどのように機能するかを調べましょう。

What is the name of the transform that queries NIST’s National Vulnerability Database?

• Maltegoを起動して、TransformaHubで検索をします。

What is the name of the project that offers a transform based on ATT&CK?

• Maltegoを起動して、TransformaHubで検索をします。