Overzicht
Het doel van mijn stage was om Orange Cyberdefense te voorzien van een robuuste, geautomatiseerde oplossing voor het efficiënt opzetten van Red Team-omgevingen. Het project bestond uit het analyseren van de vereisten voor offensieve security labs, het ontwerpen van een modulaire infrastructuur met Infrastructure as Code (OpenTofu), en het integreren van geavanceerde securitytools zoals Mythic (C2), GoPhish, Evilginx en Exegol.
We implementeerden een Python-wrapper om de uitrol en het beheer van maximaal 255 geïsoleerde omgevingen te automatiseren, elk voorzien van strikte firewalling, VPN-toegang, dynamische DNS-configuratie en logging. Het resultaat was een toekomstbestendig platform dat de opzettijd drastisch verminderde en de beveiliging en reproduceerbaarheid voor Red Team-opdrachten verbeterde.
De opdracht legde de nadruk op automatisering, modulariteit en best practices op het gebied van beveiliging, wat resulteerde in een professionele oplossing die klaar is voor zowel intern gebruik als klantprojecten.
Architectuur
De architectuur is ontworpen voor modulariteit en veiligheid. Elke klantomgeving is geïsoleerd in een eigen virtueel netwerk, met aparte servers voor C2, phishing, aanval en VPN-toegang. Alle omgevingen worden automatisch uitgerold met OpenTofu, Cloud-init en Ansible, en centraal beheerd via de Python-wrapper.
- Elke omgeving heeft een eigen subnet, firewall en DNS-records.
- Gecentraliseerde VPN-gateway biedt veilige toegang voor operators.
- Reverse proxy (Nginx) leidt verkeer veilig naar interne diensten.
- Logging en monitoring worden gecentraliseerd voor auditing en troubleshooting.
Functionaliteiten
- Automatische uitrol: Maak, lijst en verwijder tot 255 geïsoleerde Red Team-omgevingen eenvoudig met een Python-wrapper rond OpenTofu.
- Strikte firewalling: Automatische, rolgebaseerde firewallregels voor elke server en omgeving.
- Proxy & Mailserver: Veilige reverse proxy via Nginx en mailaflevering via Postfix voor phishing-simulaties.
- Command & Control (C2): Mythic C2-server voor het beheren van payloads, implants en operaties, toegankelijk via webinterface.
- Phishingserver: GoPhish voor het ontwerpen, uitvoeren en analyseren van phishingcampagnes, met uitgebreide rapportage en groepsbeheer.
- Evilginx-integratie: Geavanceerde phishing met credential harvesting en sessieovername, inclusief wildcard domeinondersteuning.
- Aanvalserver: Exegol-gebaseerde VM/container met een volledige suite aan offensieve tools, toegankelijk via SSH en webbrowser (noVNC).
- VPN-gateway: OpenVPN en Tailscale voor veilige, geauthenticeerde toegang tot de interne omgeving.
- Automatisch DNS & domeinbeheer: Integratie met Cloudflare voor dynamische subdomein- en DNS-record setup.
- Gecentraliseerde logging & beveiliging: Logging, wachtwoordgeneratie en omgevingsisolatie.
Ontwikkelproces
- Vereisten & Onderzoek: Behoeften van het Red Team geanalyseerd, huidige tools onderzocht en gewenste workflow gedefinieerd.
- Ontwerp & Planning: Architectuur uitgetekend—modulair, schaalbaar en veilig—en technologieën gekozen zoals OpenTofu, Mythic en GoPhish.
- Implementatie: Python-wrapper ontwikkeld, infrastructuurautomatisering opgezet, alle kerncomponenten geïntegreerd en veilige toegang ingericht.
- Testen & Documentatie: Testomgevingen uitgerold, aanvalssimulaties uitgevoerd en uitgebreide gebruikersdocumentatie opgeleverd.
Galerij
Exegol CLI
Exegol GUI
Netwerkopzet
Mythic C2
GoPhish
Grafana Mythic Logs
Fake GitHub Login Pagina
Gebruikte technologieën
- OpenTofu
- Python
- Nginx
- Postfix
- Mythic (C2)
- GoPhish
- Evilginx
- Exegol
- OpenVPN
- Tailscale
- Cloudflare
- Grafana & Loki
Vaardigheden & Leerresultaten
- Infrastructure as Code (OpenTofu)
- Automatische opzet en isolatie van securityomgevingen
- Integratie van geavanceerde red team/pentest tools
- Geavanceerde Linux, netwerken en firewalling
- Beveiligde toegangscontrole en VPN-beheer
- Projectplanning, documentatie en samenwerking
Teamleden
- Thomas Deboel (Student)
- Bryan Poleunis (Student)