Caldera

Agentes
Los agentes son programas que se ejecutan en los dispositivos de red y que se utilizan para
ejecutar ataques y defensas. Los agentes pueden ser instalados en servidores, computadoras
personales y dispositivos de red para llevar a cabo diferentes tareas. Son una reverse-shell.

Los campos configurables que menciona se utilizan para controlar el comportamiento de los
agentes en Caldera. A continuación, se proporciona una breve descripción de cada uno de
ellos:

1. Beacon Timers: se refiere al intervalo de tiempo que transcurre entre cada vez que el
agente envía un "beacon" a su controlador. Un beacon es un mensaje que envía el
agente para indicar que está activo y disponible para recibir instrucciones.
2. Watchdog timer: se refiere al intervalo de tiempo que transcurre entre cada vez que el
agente se reinicia a sí mismo si no recibe un beacon del controlador. Esto se utiliza para
asegurarse de que el agente siempre esté activo y disponible para recibir instrucciones.
3. Untrusted timer: se refiere al intervalo de tiempo que transcurre entre cada vez que el
agente envía un mensaje al controlador indicando que no tiene ninguna tarea
pendiente. Esto se utiliza para que el controlador sepa cuándo puede asignar una
nueva tarea al agente.
4. Implant name: se refiere al nombre que se le da al agente. Esto se utiliza para
identificar al agente y para facilitar la gestión de los agentes. Es recomendable no
otorgar un nombre descriptivo para que los members de los blue teams no detecten
con facilidad la tarea.
5. Boostrap abilities: se refieren a las habilidades o tareas que el agente puede realizar
cuando se inicia por primera vez. Esto puede incluir tareas de exploración o de inicio de
sesión en sistemas específicos.
6. Deadman abilities: se refieren a las habilidades o tareas que el agente puede realizar si
no recibe un beacon del controlador durante un período de tiempo específico. Esto
puede incluir tareas de limpieza o de eliminación de la presencia del agente en un
sistema.

Este script descarga del servidor http://0.0.0.0:8888 un archivo llamado sandcat.go (el agente)
y lo ejecuta dentro del grupo red (para realizar ataques).
Variantes
Si deployeamos un agente en el grupo blue en lugar de la red, lo estamos utilizando para
detectar y responder a amenazas en lugar de realizar ataques.

Descarga el agente y lo ejecuta con un nombre random en background.

¿Qué es el C2?
Un "C2" (Comando y Control) es un servidor o sistema utilizado para controlar y coordinar la
actividad de los agentes o "malware" en una red. Los agentes son programas o aplicaciones
que han sido diseñadas para realizar tareas específicas en un sistema o red, como recopilar
información o realizar ataques. Los agentes suelen ser instalados en sistemas comprometidos o
vulnerables de manera no autorizada, y a menudo se utilizan para realizar actividades
malintencionadas o ilegales.

Los agentes suelen enviar "beacons" o "señales" al C2 para informar de su estado y para recibir
instrucciones. Estas señales pueden ser utilizadas para hacer un seguimiento de la actividad de
los agentes y para coordinar su comportamiento.

Es importante tener en cuenta que el uso de agentes y C2s está generalmente asociado con la
actividad de ciberdelincuentes y es ilegal en la mayoría de los países. Es importante proteger
los sistemas y redes de estos tipos de amenazas mediante el uso de medidas de seguridad
adecuadas, como firewalls y software antivirus actualizado.
Interval sleep for agents
If an agent's beacon time is too regular - or predictable - it runs a higher chance of getting
caught. It is advisable to select a random time range instead of a hard-coded interval. Usually,
an adversary will aim to have multiple agents deployed on a host, with some frequent beacon
times and some infrequent. This gives them a backup in case one gets detected.

Agents filname
Adversaries try to blend in(pasar desapercibidos) when they compromise a host. One common
tactic is to name their agent after (“name after” llamarlo con el mismo nombre) a program that
is already running on the host. When defenders check process lists and file names, the name
has a higher chance of blending in.

Boostrap abilities
Plugins > Stockpile: The stockpile plugin contains a collection of TTPs (Tactics, Techniques and
Procedures) (abilities), adversary profiles, data sources and planners. These can be used to
construct dynamic operations against targeted hosts.

Using a Stockpile ability, ensure new agents automatically run "whoami" on their first beacon.
Locate the ability that executes this command and enter the ability id as a bootstrap ability
(Hint: Abilities can be found in the `plugins/stockpile/data/abilities` directory).

Depending on the defensive tools installed on a compromised machine, an adversary may need
to execute their mission quickly before getting detected and shut down. One common tactic is
to give each new agent a set of instructions to run immediately after sending the first beacon
in. These instructions may determine what software is installed on the host, to gain persistence
or any another tactic.

We have to search for the ability name that we want our agent to execute.

Adversaries
We can create adversaries depending on the abilities we want to execute. We can add as many
skills to the adversaries as we want and even integrate multiple adversaries on it.

Operations
Execute operations with the agents using an adversarie profile. We can test the Check profile
who has Reconnaissance and Discovery process.