Red Team Fundamentals
Learn the core components of a red team engagement, from threat intelligence to OPSEC and C2s.
thm:https://tryhackme.com/room/redteamfundamentals
红队基础
了解红色参与的基础知识、涉及的主要组成部分和利益相关者,以及红色团队与其他网络安全参与的不同之处。
漏洞评估和渗透测试的局限性
漏洞评估
这是最简单的安全评估形式,其主要目的是尽可能地识别网络中尽可能多的系统中的漏洞。为此,可能会做出一些让步,以有效地实现这个目标。例如,攻击者的机器可能会被允许在可用的安全解决方案中列入白名单,以避免干扰漏洞发现过程。这是有道理的,因为目标是查看网络上的每个主机并单独评估其安全状况,同时为公司提供有关在哪些方面集中纠正努力的最多信息。
总之,漏洞评估侧重于扫描主机以识别漏洞,以便可以按优先顺序部署有效的安全措施来保护网络。大部分工作可以通过自动化工具完成,并由操作员执行,而不需要太多技术知识。
例如,如果您要在网络上运行漏洞评估,通常会尝试扫描尽可能多的主机,但实际上不会尝试利用任何漏洞:
渗透测试
除了扫描每个主机的漏洞外,我们通常还需要了解它们对整个网络的影响。渗透测试通过允许渗透测试人员执行其他步骤来探索攻击者对整个网络的影响来增加漏洞评估,包括:
- 尝试利用发现在每个系统上的漏洞。这很重要,因为有时可能存在漏洞,但是已经有有效的补偿控制来防止其被利用。它还允许我们测试是否可以使用检测到的漏洞来破坏给定的主机。
- 对任何被攻破的主机进行后期渗透任务,允许我们查找是否可以从中提取任何有用信息,或者我们是否可以使用它们来转移到先前无法访问的其他主机。
渗透测试可能从扫描漏洞开始,就像常规漏洞评估一样,但提供有关攻击者如何链接漏洞以实现特定目标的进一步信息。虽然其重点仍然是识别漏洞并建立保护网络的措施,但它还考虑了网络作为一个整体生态系统以及攻击者如何从其组件之间的交互中获利。
如果我们使用与之前相同的示例网络执行渗透测试,除了扫描网络上所有主机的漏洞外,我们还会尝试确认它们是否可以被利用,以展示攻击者可能对网络造成的影响:
通过分析攻击者如何在我们的网络中移动,我们还可以基本了解可能的安全措施绕过方式以及我们在一定程度上检测真正威胁行为者的能力,这种能力有限,因为渗透测试的范围通常很广,而渗透测试人员不太关心在安全设备上产生大量警报或响应的问题,因为这类项目的时间限制通常要求我们在短时间内检查网络。
高级持续性威胁及为什么定期渗透测试不足够
虽然我们提到的传统安全参与涵盖了大多数技术漏洞的发现,但这些过程存在一定的限制,以及它们可以有效地为公司准备应对真正攻击者的程度。这些限制包括:
因此,渗透测试的某些方面可能会与实际攻击显着不同,例如:
-
渗透测试很吵闹:通常,渗透测试人员不会花太多精力试图保持不被发现。与真正的攻击者不同,他们不介意被轻易发现,因为他们已经被承包方聘请,以尽可能多地在尽可能多的主机上找到漏洞。
-
非技术攻击向量可能被忽略:通常不包括基于社交工程或物理入侵的攻击。
-
安全机制的松弛:在进行常规渗透测试时,为了效率,可能会暂时禁用或放宽某些安全机制供渗透测试团队使用。尽管这听起来有些违反直觉,但必须记住,渗透测试人员有限的时间来检查网络。因此,通常不希望浪费他们的时间寻找绕过IDS / IPS、WAF、入侵欺骗或其他安全措施的奇特方法,而是专注于审查关键技术基础设施的漏洞。
另一方面,真正的攻击者不会遵循道德准则,而且行动大多不受限制。如今,最为突出的威胁行为者被称为高级持续性威胁(APT),它们是由国家或有组织犯罪团伙赞助的高技能攻击组。它们主要针对关键基础设施、金融机构和政府机构。它们被称为持久性,是因为这些组织的操作可以在受损网络上长时间保持未被发现。
如果公司受到APT的影响,它是否准备有效地做出反应?如果攻击者已经在那里待了几个月,他们是否能够检测到用于获取和维持对其网络的访问的方法?如果最初的访问是因为会计部门的约翰打开了一个可疑的电子邮件附件呢?如果涉及到零日漏洞怎么办?以前的渗透测试是否为此做好了准备?
为了提供更现实的安全方法,红队行动应运而生。
红队参与
为了跟上新兴的威胁,红队行动被设计成将重点从常规渗透测试转移到一个过程,让我们清楚地看到我们的防御团队在检测和应对真实威胁行为方面的能力。它们并不取代传统的渗透测试,而是通过关注检测和响应而不是预防来补充它们。
红队行动是从军事借来的一个术语。在军事演习中,一组人会扮演红队的角色,模拟攻击技术来测试一个防御团队(通常被称为蓝队)对已知对手策略的反应能力。将其翻译到网络安全领域,红队行动包括模拟真实威胁行为者的战术、技术和程序(TTPs),以便我们可以衡量我们的蓝队对它们的反应能力,并最终改进任何安全控制措施。
每个红队行动都将从定义明确的目标开始,通常称为皇冠珠宝或旗帜,范围从攻击给定的关键主机到从目标窃取一些敏感信息。通常,蓝队不会被告知此类练习,以避免引入任何偏见在他们的分析中。红队将尽一切可能实现目标,同时保持不被发现并避开任何现有的安全机制,如防火墙、杀毒软件、EDR、IPS等。请注意,在红队行动中,并不会检查网络上的所有主机漏洞。真正的攻击者只需要找到一条通向目标的路径,不会对蓝队可能检测到的嘈杂扫描感兴趣。
以前面相同的网络为例,在一个旨在攻击内部服务器的红队行动中,我们将计划一种方式来达到我们的目标,同时与其他主机尽可能少地交互。与此同时,可以评估蓝队检测和相应攻击的能力:
重要的是要注意,这类练习的最终目标永远不应该是让红队“击败”蓝队,而是模拟足够的 TTPs,让蓝队学会如何适当地应对真正的持续威胁。如果需要,他们可以调整或添加安全控件来帮助提高他们的检测能力。
红队的参与也通过考虑多个攻击面,提高了常规渗透测试的水平:
-
技术基础设施:与常规渗透测试一样,红队将尝试揭示技术漏洞,但更加注重隐蔽和规避。
-
社会工程:通过钓鱼活动、电话或社交媒体等方式针对人员,诱使他们透露应该是私密的信息。
-
物理入侵:使用诸如撬锁、RFID 克隆、利用电子门禁控制设备的漏洞等技术,进入设施的受限区域。
根据可用资源,红队练习可以以多种方式运行:
-
全面参与:模拟攻击者的完整工作流程,从初始妥协到达到最终目标。
-
假定遭到攻击:首先假定攻击者已经控制了某些资产,然后尝试从那里实现目标。例如,红队可以获得某个用户的凭据或甚至是内部网络中的工作站访问权限。
-
桌面演习:在桌面上模拟场景,在红队和蓝队之间讨论如何理论上应对某些威胁。适用于进行实时模拟可能很复杂的情况。
参与的团队和职能
在红队行动中,涉及到多个因素和人员。每个人都有自己的思维方式和方法来处理人员;然而,每个行动都可以分为三个团队或单元。下面是一个简要的表格,说明了每个团队及其职责的简要解释。
团队 定义
红单元 红单元是红队行动攻击部分的组成部分,模拟给定目标的战略和战术反应。
蓝单元 蓝单元是红单元的对立面。它包括所有防御目标网络的组件。蓝单元通常由蓝队成员、防御者、内部工作人员和组织管理者组成。
白单元 在行动中,白单元作为红单元活动和蓝单元响应之间的裁判。控制行动环境/网络。监控遵守作战规则。协调实现行动目标所需的活动。将红单元活动与防御行动相关联。确保行动不偏袒任何一方。
定义来自redteam.guide。
这些团队或单元可以进一步分解为行动层次结构。
由于这是一个面向红色团队的房间,因此我们将重点放在红色单元格的职责上。下表概述了红队成员的角色和职责。
角色 目的
红队负责人 计划和组织高层参与——代表、助理领导和操作员参与分配。
红队助理主管 协助团队负责人监督参与运营和运营商。如果需要,还可以协助编写参与计划和文档。
红队操作员 执行团队领导委派的任务。解释和分析团队领导的参与计划。
与大多数红队职能一样,每个团队和公司的每个团队成员都有自己的结构和角色。上表仅作为每个角色典型职责的示例。
参与结构
红队的核心功能是对手仿真。虽然不是强制性的,但它通常用于评估真正的对手在使用他们的工具和方法的环境中会做什么。红队可以使用各种网络杀伤链来总结和评估交战的步骤和程序。
蓝队通常使用网络杀伤链来映射行为并分解对手的运动。红队可以调整这个想法,将对手的 TTP(战术、技术和程序)映射到交战 的组成 部分。
许多监管和标准化机构已经发布了他们的网络杀伤链。每个杀伤链都遵循大致相同的结构,有些更深入或定义不同的目标。以下是一小部分标准网络杀伤链。
在这个房间里,我们通常会提到“洛克希德马丁网络杀伤链”。它是一个比其他杀伤链更标准化的杀伤链,在红队和蓝队中非常常用。
洛克希德马丁公司的杀伤链专注于周边或外部突破口。与其他杀伤链不同,它不提供内部移动的深入分解。您可以将此杀伤链视为对当前所有行为和操作的总结。
下表分解了杀伤链的组成部分。
技术 目的 例子
侦察 获取目标信息 收集电子邮件,OSINT
武器化 将目标与漏洞结合起来。通常会产生可交付的有效负载。 利用后门、恶意 office 文档
送货 武器化功能将如何传递给目标 电子邮件、网络、USB
开发 利用目标系统执行代码 MS17-010、零登录等
安装 安装恶意软件或其他工具 Mimikatz、Rubeus 等
命令与控制 从远程中央控制器控制受损资产 帝国、Cobalt Strike 等
目标行动 任何最终目标:勒索软件、数据泄露等。 Conti、LockBit2.0等