락쉴드 Locked Shields #3 팀 소개

락쉴드 Locked Shields #3 팀 소개

 

#2에서 팀들을 언급 했는데요. 이번에는 각 팀별 역할과 보유 스킬에 대해서 알아보겠습니다.

 

참가자는 여러 다른 팀 사이에 분할되었다. 다음 다이어그램은 팀의 일반적인 개요와 그들 사이의 관계를 제공한다.

밑줄 친 이름을 가진 팀들이 선수로 간주되었다. 즉, 그들은 시나리오에 따라 몇 가지 역할을 했다.

** 블루팀 설명
블루팀은 주요 교육 대상이었다. 그들의 작업은 작은 통신 회사의 가상 IT 인프라를 확보하고 레드 팀의 공격을 방어하는 것이었다. 블루 팀은 문서에 설명 된 대로 기밀성, 무결성 및 시스템의 가용성을 보장하여 서비스를 유지했다. 또한, 블루 팀은 화이트 팀(CERT, 관리)과 화이트 팀에 의해 주입 된 완벽한 비즈니스 작업에 탐지 된 사건을 보고하기로 했다. 비즈니스 작업은 클라이언트의 요청과 직원, 기자에 의한 정보 요청 등을 포함한다.

블루팀 시스템의 대부분은 그린 팀에 의해 사전에 구축됐다. 또한, 각 블루 팀은 자체 가상 머신(VM)을 배포할 수 있었다. 예를 들면 네트워크 트래픽 분석을 위한 용도의 가상 머신이다. 네트워크는 일반적인 네트워크 장치와 가상 서버 및 워크스테이션으로 구성되어 있다. 블루 팀은 자신의 도구를 사용하도록 허용하고 소프트웨어는 그들이 어떤 라이선스 조건을 위반하지 않도록 제공되었다.

블루 팀 멤버들은 CDX 수행 기간 동안 물리적으로 같이 위치하는 것은 지원되지 않았다. 모두가 OpenVPN을 통해 원격 CDX 환경에 액세스 할 수 있었다. 하지만 모든 팀은 팀 구성원 모두 함께 같은 장소에 있는 것을 선호했다.

** 블루팀의 역할

다음은 각 팀에 존재하는 것으로 가정 하였다 :

 - 팀장 - 팀의 활동과 컨트롤러를 행사할 연락 지점 (POC)의 전반적인 관리.
 - 부 팀장 – 팀을 위한 대체 POC.
 - IT 전문가 – 시스템 관리 및 보호, 레드 팀의 공격으로부터 시스템을 방어.
 - PR 매니저 – 호기심 많은 언론인들과 '미디어'와의 커뮤니케이션.
 - 보고자 - 화이트 및 다른 팀이 상황 인식을 수신하는 데 도움되도록 화이트 팀에 블루 팀 활동을 보고.
 - 참가자의 역할과 책임의 분배는 각 팀에 따라 달려있었다.

** 블루팀의 예상 스킬
블루팀은 안전한 기술적 인프라의 컴포넌트 계정을 가지고, 다음과 같은 영역들의 경험과 지식을 갖는 것으로 예상되었다:
- TCP / IP 네트워킹.
- 윈도우 및 리눅스 기반의 시스템 관리 및 보호. 몇 가지 예제:
   - 윈도우 도메인 및 Active Directory

   - 다른 윈도우 버전에 기반한 워크스테이션 및 서버들
   - 우분투 및 데비안 배포판에서 운영되는 리눅스 서버
   - 넷필터(엔디안 배포 버전) 기반의 방화벽, 프록시 서버들
   - DNS, NTP, DHCP, HTTP 하고 HTTPS, SMTP, POP3, IMAP, SSH, FTP, RADIUS와 같은 일반적인 네트워크 프로토콜, 서비스 및 기술
   - KVM 가상화 플랫폼
 - 웹 응용 프로그램 기술 개발 (HTML, 자바스크립트 및 PHP와 같은 클라이언트-측 및 서버-측 스크립트, MySQL과 같은 SQL 데이터베이스).
 - 네트워크 장치 (스위치 및 시스코 IOS, OSPF 라우팅 프로토콜을 실행하는 라우터)의 관리.
 - 펄의 일부 프로그래밍 기술은, 자동 채점 봇으로 Perl로 구현되었다.

** 레드팀 설명

레드 팀의 임무는 블루 팀에 의해 보호되는 시스템의 성능을 손상 시키거나 저하하는 것이었다. 레드 팀의 단계와 목적은 미리 계획되었다. 

LS12의 초점은 블루 팀을 훈련하는 것이다. 따라서 레드 팀 구성원은 주로 블루 팀에 도전하는 '노동력'으로 간주 되었다. 원칙적으로, 레드 팀은 화이트 박스 방식을 사용했다. 블루 팀 시스템의 초기 구성의 기술적인 세부 사항은 실행하기 전에 레드팀이 블루 팀 시스템의 취약점을 스캔 할 수 있는 기회와 함께, 미리 레드 팀에서 사용할 수 있었다. 그러나, 그들 중 많은 사람들이 팀 자원 봉사자들로 구성되어 세부 목표 환경을 배울 시간이 없었다. 화이트 박스 접근 방법은 균형을 맞추기 위해 선정된 방법이었다. 리얼 월드 상황에서의 의욕적인 공격자들은 훈련 시간에 한정되는 시간적 제약이 없을 것이기 때문이다. 

 

** 레드팀의 역할

레드 팀 멤버들은 6개의 서브-팀들 사이에 분할 되었다.

 

1. 웹 공격 
2. 호스팅 및 KVM 공격 
3. 네트워크 공격 
4. 클라이언트 측 공격 
5. 발전된 캠페인 
6. 다양한 작업. 

또한, 레드와 화이트 팀 간의 네 명의 연락 담당자가 있었다. 그들은 화이트 팀 레드 팀의 성공적인 수행에 대한 보고와 조정을 담당하였다. 

 

** 레드팀의 예상 스킬

레드 팀 멤버들은 최신의 침투 테스트 기술을 갖고 있다고 가정되었다. 그들은 또한 팀 활동의 일환(협업, 핸드오버, 정보 교환)으로 이러한 활동들의 경험을 갖고 있는 것으로 간주 되었다.

최소 스킬의 예는 다음과 같다 :
 - 원격 및 클라이언트 측 익스플로잇.
 - 로컬 익스플로잇 및 권한 상승.
 - LAN 인프라 익스플로잇 (L2 및 L3 공격).
 - 웹 응용 프로그램의 침투 테스트 기술 (SQL 인젝션, 파일 삽입, 입력 유효성 검사 우회 등).

주요 기술은 다음과 같다.
 - 훼손된 호스트와 네트워크(백도어, 루트킷, 그리고 로그 및 타임 스탬프 수정과 같은 탐지 방지)에 저항 유지 및 감추는 능력.
 - 깊이 있는 침투 능력 : 초기 침투 (쉘 백도어, Meterpreter 세션 등)을 인계하고 네트워크에 추가로 악용, 예를 들어, 해시 통과, LAN 착취, 악성 코드 확산.
 - 퍼징 : 퍼징 테스트 프로토콜의 능력, 짧은 게임 실행 기간 중에 발견 된 취약점을 사용하는 파괴적인 단계에서 서비스의 충돌.

 

** 화이트팀의 주요 역할

1. 레드 팀 운동의 목적과 목표를 정의.
2. 채점 규칙 등의 규정을 개발. 규칙 같은 훈련을 실행하는 방법으로 일반적인 측면을 커버하고 블루 팀 활동과 레드 팀 교전 규칙에 대한 규정을 정의. 채점 규칙은 블루 팀은 긍정과 부정 모두 수동으로 점수를 할당하는 방법을 지정한다.
3. 비즈니스 업무를 위하여 블루 팀과 침투 목록을 준비한다.
4. 높은 수준의 시나리오의 발전에 기여.
5. 커뮤니케이션 계획을 수립.

 

실행 단계 동안 화이트 팀은 훈련 컨트롤러의 셀 역할을 한다. 실행하는 동안 화이트 팀의 주요 업무는 :
1. 훈련과 레드 팀 캠페인을 제어. 화이트 팀은 다른 단계가 시작하고 중지 할 때, 그리고 레드 팀이 기다리거나 그 활동을 느리게 해야 할 때 결정하는 역할을 한다.

2. CERT의 역할 : 사고 보고를 받고 평가, 자문 하고 악용 사례 통지를 제공한다. 현실에서 CERT 팀은 블루 팀의 보고를 평가하는 일에 주로 종사하며 블루 팀 활동의 전반적인 진행자 역할을 하지는 않았다.

3. 블루와 레드 팀의 진행 상황을 평가하고 수동으로 점수를 할당한다. 화이트 팀은 레드 팀에 의한 부정적인 점수로 발생한 이슈에 대하여 성공적인 절충 보고서를 평가한다. 사고 보고서에 설명 된 공격을 성공적으로 탐지, 비즈니스에 대응하는 능력을 주입하고 방어하는 방법(다른 블루 팀과 협력)에 대한 새로운 창조적인 아이디어는 긍정적인 점수를 생성한다.

4. 블루 팀 조직의 클라이언트 활동을 시뮬레이션.

5. 방어를 담당하는 네트워크 블루 팀 조직의 사용자와 경영을 시뮬레이션한다.

6. 미디어를 시뮬레이션. 예를 들어, 뉴스 기사를 주입하고 블루 팀에 연락하는 언론인의 역할.

화이트 팀 구성원은 LS12의 실행 중에 다음과 같은 역할 또는 하위 팀으로 분할되어 있다.
 - 심사 및 제어
 - CERT
 - 통신 임원
 - 블루 - 화이트 팀 연락 담당자
 - 미디어 시뮬레이션
 - 관리 및 클라이언트 시뮬레이션

 - 사용자의 시뮬레이션.

 

** 그린팀 설명

그린 팀은 실험실에서 기술 인프라를 준비하는 책임이 있었다. 그린 팀의 일반적인 작업은 다음을 포함했다.
 - 핵심 인프라를 설정 : 컴퓨팅 노드, 가상화 플랫폼, 스토리지, 네트워킹.
 - 라우팅 및 환경에 VPN 액세스를 설정.
 - 설계 및 블루 팀 네트워크를 구축.
 - 블루 팀에 대한 관리 인터페이스를 개발.
 - 자동 채점 로봇 및 에이전트를 프로그래밍.
 - 종합 운동 인프라를 모니터링하기 위해 필요한 솔루션을 설정.
 - 녹화를 설치하고 로깅 기능.

훈련 인프라를 구축하는 것은 성공적인 기술 환경을 갖기 위한 가장 중요한 요소이다. 따라서 그린 팀의 작업은 가장 도전적이고 작업-집중적인 업무가 되었다.

 

** 옐로우팀 설명

옐로우 팀의 역할은 사이버 영역에서 상황 인식을 얻기 위해 기술을 탐구하는 것이었다. 옐로우 팀은 솔루션 및 실험 테스트 할 방법을 선택하여 적절한 셋업을 개발하고 실험 결과 분석을 담당했다.

 

LS12에는 상황 인식 솔루션을 제공하는 2개의 주요 서브-팀이 있었다:
• Clarified Networks의 전문가로 구성된 핀란드 팀.
• RUAG의 전문가로 구성된 스위스 팀.

** 법률팀 설명

법무팀 (LT)는 교육 대상의 일부일 뿐만 아니라, LS12의 준비에 기여했다. 법률 전문가는 다음과 같은 활동에 종사 했다 :
 - LS12에 대한 가상 법안을 개발.
 - 분석 및 법적인 관점에서 사건을 관찰.
 - 법적 측면의 관점에서 블루 팀에 조언을 제공한다.
 - 공격의 기술적 측면에 대한 학습