RED Teaming: হ্যাকারদের মতো চিন্তা করে কর্পোরেট সিস্টেমের সাইবার নিরাপত্তা যাচাই!

প্রায়শই এই তিনটি ধারণাকে একসাথে মিশ্রিত করা হয়, কিন্তু এগুলো মৌলিকভাবে ভিন্ন। Vulnerability Assessment হলো breadth-first—সিস্টেমে যত বেশি সম্ভব দুর্বলতা শনাক্ত করা, সাধারণত automated tool ব্যবহার করে। Penetration Testing হলো একটি নির্দিষ্ট scope-এর মধ্যে দুর্বলতা exploit করা এবং impact প্রমাণ করা—সাধারণত সময়সীমা ১-২ সপ্তাহ। Red Teaming হলো objective-based—একটি নির্দিষ্ট ব্যবসায়িক লক্ষ্য অর্জন করা (যেমন ডোমেইন অ্যাডমিন অ্যাক্সেস, ক্রাউন জুয়েল ডেটা এক্সফিল্ট্রেট, বা CFO-এর ইমেইল পড়া), সাধারণত ২-৩ মাস বা তারও বেশি সময় ধরে এবং blue team-এর কাছে অজানা।

Red Team-এর প্রধান পার্থক্য হলো এর approach। Penetration tester সব দরজা পরীক্ষা করে দেখেন কোনগুলো খোলা; Red Team operator একটি দরজা বেছে নেন এবং সেটাকে exploit করেন যেন কেউ লক্ষ্য না করে। Detection এড়ানো এবং persistence বজায় রাখা ততটাই গুরুত্বপূর্ণ যতটা প্রাথমিক অ্যাক্সেস অর্জন।

একটি সম্পূর্ণ Red Team এনগেজমেন্ট সাধারণত MITRE ATT&CK ফ্রেমওয়ার্কের সাথে সামঞ্জস্যপূর্ণ ফেজে বিভক্ত। Reconnaissance পর্যায়ে passive এবং active intelligence gathering। passive reconnaissance-এ DNS records, certificate transparency logs (crt.sh), Shodan, GitHub leaked credentials, LinkedIn employee mapping এবং social media analysis। Active phase-এ light port scanning, web crawling এবং targeted OSINT।

Weaponization এবং Delivery পর্যায়ে custom malware payload তৈরি, phishing infrastructure সেটআপ (typosquatted domain, SSL certificate, mature email reputation) এবং initial access vector নির্বাচন। জনপ্রিয় delivery mechanisms-এর মধ্যে spearphishing, watering hole attack, supply chain compromise এবং physical drop (USB) অন্তর্ভুক্ত।

Initial Access এবং Execution পর্যায়ে payload-এর প্রথম রান। Cobalt Strike, Brute Ratel C4, Sliver, Mythic, বা Havoc—এই ধরনের command and control (C2) framework ব্যবহার করে operator একটি initial beacon পান। AMSI bypass, ETW patching এবং in-memory execution techniques ব্যবহার করে EDR detection এড়ানো হয়।

Persistence এবং Privilege Escalation পর্যায়ে scheduled tasks, WMI event subscriptions, COM hijacking, বা DLL sideloading ব্যবহার করে স্থায়িত্ব প্রতিষ্ঠা। তারপর local privilege escalation—unquoted service paths, weak service permissions, kernel exploits, বা token impersonation।

Defense Evasion ক্রমাগত প্রক্রিয়া—log clearing, BYOVD (Bring Your Own Vulnerable Driver) দিয়ে EDR kill, এবং living-off-the-land binaries (LOLBins) ব্যবহার করে detection minimize করা।

Credential Access পর্যায়ে Mimikatz, Rubeus, এবং DCSync ব্যবহার করে credential extraction। LSASS dumping এর জন্য MiniDumpWriteDump-এর alternative (যেমন nanodump) ব্যবহৃত হয় EDR বাইপাসের জন্য।

Discovery এবং Lateral Movement পর্যায়ে BloodHound দিয়ে Active Directory attack path বিশ্লেষণ। তারপর Pass-the-Hash, Pass-the-Ticket, Kerberoasting এবং silver/golden ticket attack দিয়ে নেটওয়ার্ক জুড়ে বিস্তার।

Collection এবং Exfiltration পর্যায়ে target data সংগ্রহ এবং DNS tunneling, HTTPS-over-Cloudflare, বা legitimate cloud service (Mega, OneDrive) দিয়ে exfiltrate। Impact পর্যায়ে objective অর্জন প্রদর্শন—যেমন ফাইল এনক্রিপশন simulation (কখনো প্রকৃত নয়), database modification proof, বা executive impersonation।

একটি ম্যাচিউর Red Team operation-এর সবচেয়ে গুরুত্বপূর্ণ উপাদান হলো resilient এবং detection-resistant C2 infrastructure। আধুনিক infrastructure সাধারণত tiered—একটি short-haul C2 যা compromised host-এর সাথে সরাসরি যোগাযোগ করে, একটি long-haul C2 যা গভীর persistence-এর জন্য কম-frequency callback করে, এবং একটি recovery C2 যা সম্পূর্ণ আলাদা TTP ব্যবহার করে।

Domain fronting এবং CDN abuse এখনো জনপ্রিয়, যদিও বড় প্রোভাইডাররা এটি ব্লক করছে। বিকল্প হিসেবে trusted SaaS abuse—Slack, Discord, Telegram, Microsoft Graph API, Dropbox—এই legitimate platforms-কে C2 চ্যানেল হিসেবে ব্যবহার করা হয়। এই ধরনের ট্র্যাফিক বৈধ ব্যবসায়িক ট্র্যাফিকের সাথে মিশে যায়।

Malleable C2 profile Cobalt Strike-এর একটি শক্তিশালী বৈশিষ্ট্য যা beacon traffic-কে বৈধ HTTP traffic (যেমন Amazon, Outlook Web Access, বা Microsoft Teams) এর মতো দেখায়। প্রতিটি engagement-এর জন্য unique profile তৈরি করা detection signature এড়াতে সাহায্য করে।

আধুনিক enterprise environment-এ initial access অর্জন ক্রমশ কঠিন হয়ে উঠছে। MFA, EDR, application whitelisting এবং user awareness training সবই বাধা সৃষ্টি করে। সফল Red Team operator-রা সৃজনশীল হতে বাধ্য।

Spearphishing: গভীর OSINT-এর ভিত্তিতে highly personalized email। প্রকৃত internal নথির template ব্যবহার, পরিচিত vendor বা কর্মচারীর impersonation। Payload হিসেবে ISO/IMG/VHD container (Mark-of-the-Web bypass), HTML smuggling, বা OneNote/RTF exploit ব্যবহার।

Phishing-as-a-Service tools: EvilProxy, Evilginx2 এর মতো reverse proxy phishing kit MFA token capture করতে পারে। Microsoft 365 এবং Google Workspace-এ এই ধরনের আক্রমণ ব্যাপক বেড়েছে।

External Asset Compromise: Internet-facing application-এ zero-day বা n-day exploit। Recent examples: MOVEit, GoAnywhere, Citrix Bleed। Shodan এবং Censys দিয়ে exposed asset identification।

Physical Access: কিছু engagement-এ social engineering দিয়ে অফিস ভবনে প্রবেশ, USB drop, বা wireless attack (rogue access point, WPA2 cracking) অন্তর্ভুক্ত।

Supply Chain: যদিও ঝুঁকিপূর্ণ এবং rules of engagement (RoE)-এর মধ্যে সীমাবদ্ধ, third-party software বা vendor compromise সবচেয়ে বাস্তব আক্রমণ ভেক্টর।

প্রায় প্রতিটি Red Team engagement-এ Active Directory একটি প্রধান লক্ষ্য। BloodHound ব্যবহার করে attack path discovery, GUI graph-এ visualize করে কোন কম্প্রোমাইজড user থেকে domain admin পর্যন্ত shortest path।

জনপ্রিয় AD attack chain-এর মধ্যে: Kerberoasting (Service Principal Name থেকে TGS request করে offline cracking), AS-REP Roasting (preauth-disabled accounts), Unconstrained Delegation Abuse, Resource-Based Constrained Delegation, AD Certificate Services (ADCS) Abuse যেমন ESC1-ESC8 attack, এবং NTLM Relay attack যেমন PetitPotam।

Recent টেকনিকের মধ্যে DCSync (Replicating Directory Changes অধিকার exploit করে), Silver/Golden Tickets, এবং Skeleton Key attack রয়েছে। Microsoft ক্রমাগত mitigation যোগ করছে—Protected Users group, Credential Guard, LAPS, gMSA—কিন্তু legacy configuration এবং misconfiguration এখনো এক্সপ্লয়েট করা যায়।

আধুনিক Red Team অপারেশন আর শুধু on-premise নয়। Azure, AWS এবং GCP environment-এ specialized tradecraft প্রয়োজন।

Azure-এ Hybrid identity attack—Azure AD Connect compromise, Seamless SSO abuse, এবং Pass-the-PRT। ROADtools, AzureHound, এবং MicroBurst ব্যবহার করে Azure-specific reconnaissance। Service principal credential extraction, Managed Identity abuse, এবং Conditional Access bypass সাধারণ technique।

AWS-এ Pacu framework ব্যবহার করে environment enumeration, IAM privilege escalation path discovery, এবং Lambda/EC2 SSRF exploitation। S3 bucket misconfiguration, instance metadata service abuse এবং AssumeRole chain—এই সব common attack vector।

আধুনিক approach-এ Purple Teaming ক্রমশ জনপ্রিয় হচ্ছে। এখানে Red Team এবং Blue Team একসাথে কাজ করে—Red Team specific TTP execute করে এবং Blue Team-এর detection capability পরীক্ষা করে। MITRE ATT&CK Navigator ব্যবহার করে coverage map তৈরি হয়।

Adversary Emulation আরো একটি ধারা—যেখানে একটি নির্দিষ্ট threat actor (যেমন APT29, FIN7) এর TTP precise অনুকরণ করা হয়। CTI report থেকে IOC এবং TTP নিয়ে engagement design করা হয়, যা realistic threat modeling সম্ভব করে।

একটি Red Team engagement-এর সবচেয়ে মূল্যবান output হলো executive-friendly report। Technical findings-এর পাশাপাশি business impact narrative—"যদি আমরা প্রকৃত attacker হতাম, তাহলে এই ক্ষতি হতো"। Defensive gap categorization MITRE ATT&CK-এর সাথে map করা যায় যাতে Blue Team বুঝতে পারে কোথায় বিনিয়োগ করতে হবে।

Remediation recommendation হতে হবে actionable এবং prioritized—কোনগুলো প্রথমে fix করতে হবে, কোনগুলো compensating control দিয়ে accept করা যায়। Follow-up engagement বা retest সাধারণত ৩-৬ মাস পর হয় যাতে remediation effectiveness validate করা যায়।

Red Team অপারেশন থেকে শিখে কর্পোরেট প্রতিরক্ষা শক্তিশালী করার অনেক উপায় আছে। প্রথমত, assume breach mindset—ধরে নিন একজন attacker ইতিমধ্যে ভিতরে আছেন এবং সেই অনুযায়ী internal segmentation, monitoring এবং response design করুন।

দ্বিতীয়ত, identity-centric defense। Tier 0 asset protection, JIT/JEA access, FIDO2-based MFA, Conditional Access policy এবং continuous credential hygiene। AD environment-এ regular BloodHound scan চালান এবং attack path গুলো proactively close করুন।

তৃতীয়ত, detection engineering। SIEM-এ generic alert-এর পরিবর্তে behavior-based detection লিখুন। Sigma rules, MITRE ATT&CK-aligned detection এবং custom analytics। Sysmon, Windows Event Logging এবং EDR telemetry centralize করুন।

চতুর্থত, regular red teaming itself। বছরে অন্তত একটি comprehensive engagement এবং quarterly purple team exercise। Bug bounty program এবং continuous penetration testing platform যেমন HackerOne, Bugcrowd ব্যবহার করুন।

পঞ্চমত, threat intelligence integration। আপনার industry-specific threat actor-দের TTP নিয়মিত পর্যালোচনা করুন এবং সেই অনুযায়ী defense তৈরি করুন।