【THM】Red Team Fundamentals(红队基础)-红队-526互联

本文相关的TryHackMe实验房间链接：https://tryhackme.com/room/redteamfundamentals

本文相关内容：简单介绍红队演练的基础知识、主要组成部分和涉及的利益相关者，以及红队演练与其他网络安全活动的不同之处。

简介

网络安全是白帽黑客和黑帽黑客之间不断的竞赛。随着网络世界中威胁力量的发展，公司、企业等对更专业化的安全服务的需求也在不断增加，公司等组织应该力图尽最大努力为真正的网络攻击做好准备。

虽然漏洞评估和渗透测试等常规安全措施可以很好地概述公司的网络安全状况，但仍然可能会忽略真正的攻击者可以利用的一些其他攻击面。我们可以说传统渗透测试更擅长找出漏洞，以便你可以采取主动措施去做安全防护，但常规的渗透测试可能不会教你如何应对那些有恶意动机的对手实际正在进行的网络攻击。

本文的主要内容：

介绍红队演练的基础知识；
确定红队演练的主要组成部分和涉及的利益相关者；
介绍红队演练与其他类型的网络安全活动之间的主要区别。

漏洞评估和渗透测试的局限性

漏洞评估介绍

漏洞评估是最简单的安全评估形式，其主要目标是在目标网络中尽可能多的系统上识别尽可能多的漏洞；为了更有效地达到这个目标，公司在安全防护方面可以作出适当让步，例如，模拟进行攻击的机器可能会被允许列在可用的安全解决方案中，从而避免干扰漏洞发现过程。漏洞评估是有意义的，因为它的目标是查看网络上的每个主机，并单独评估其安全状况，同时向公司方提供有关补救工作的关键信息。

综上所述，漏洞评估的重点是将主机作为单个实体扫描，以发现存在的安全缺陷，然后优先部署有效的安全措施来保护网络安全。漏洞评估的大部分工作都可以通过自动化工具来完成，因此无需操作人员掌握太多技术知识。

举例来说，如果你要针对目标网络执行漏洞评估，你通常会被要求尝试扫描尽可能多的主机，而并不必尝试利用任何漏洞：

渗透测试介绍

除了扫描每台主机的漏洞之外，我们通常还需要了解漏洞是如何影响整个目标网络的，这就需要进行渗透测试操作。

通常，渗透测试人员会通过执行以下步骤来探索攻击者可能对整个网络的影响，从而扩展漏洞评估的成果：

尝试利用在每个系统上发现的漏洞：虽然目标系统中可能存在漏洞，但只要探索出可能的漏洞利用路径，就可以采取针对性的补救措施；此外，通过漏洞利用尝试，我们还可以测试是否可以使用检测到的漏洞来攻破目标主机。
在任何被攻破的主机上执行后渗透任务：基于被攻破的主机，我们可以探索是否能从目标主机中提取有用的信息，并且可以测试能否利用被攻破的主机来转向其他以前无法访问的主机。

渗透测试可能会像常规漏洞评估一样首先执行漏洞扫描操作，但是它还需要提供关于攻击者如何利用漏洞链来实现特定目标的进一步信息。虽然渗透测试的重点仍然是识别漏洞和部署保护网络的相关措施，但它会将目标网络视为一个完整的生态系统，并将进一步探索攻击者如何从与漏洞组件进行交互中获利。

如果我们要针对与漏洞评估过程中相同的目标网络进行渗透测试，那么在扫描目标网络上的所有主机以查找漏洞的基础上，我们还需要尝试确认主机上的漏洞是否可以被利用，从而显示攻击者可能对目标网络产生的不利影响：

通过分析攻击者如何在目标网络中移动，我们还能够获得对一些可能部署的安全措施应该如何绕过的基本见解，并且我们能够获得在一定程度上对真正威胁行动者进行检测的能力(虽然这是有限的)。

渗透测试的目标范围比较广泛，而且由于渗透测试项目的时间限制，整个渗透过程通常会被要求在短时间内完成；因此，渗透测试人员可能不太关心被公司方发现其渗透行为或者不太关心渗透行为是否会导致安全设备生成大量警报。

高级持续性威胁介绍以及为什么定期渗透测试是不够的

虽然我们刚才提到的传统安全措施涵盖了大多数技术上的漏洞问题，但是，传统安全措施的相关流程以及它们可以有效地让公司抵御真实网络攻击的程度存在局限性。

传统安全措施的限制包括：时间限制、预算限制、范围有限、非破坏性、侧重关注互联网技术。

因此，渗透测试在某些方面可能与真正的网络攻击有很大不同，例如：

渗透测试更加明显(行为不够隐蔽)：与真正的攻击者不同，通常，渗透测试人员不会花太多精力试图不被目标公司发现，因为他们已经被授权在尽可能多的主机中找到尽可能多的漏洞。
非技术攻击向量可能会被忽视：基于社会工程学或物理入侵的网络攻击方式通常不会包含在渗透测试内容中。
面对的也许是放宽的安全机制：在进行常规渗透测试时，为了提高效率，渗透测试团队可能会暂时禁用或放宽一些安全机制；虽然这听起来可能违反直觉，但必须记住，渗透测试人员检查网络的时间有限，因此，他们通常不希望浪费时间寻找绕过 IDS/IPS、WAF、入侵欺骗(蜜罐)或其他安全措施的奇特方法，而是主要专注于审查关键技术基础设施的漏洞。

另一方面，真正的网络攻击者不会遵循道德准则，他们的行为也大多难以进行限制。

如今，最突出的网络威胁行为团体被称为高级持续性威胁(APT-Advanced Persistent Threats)，APT是一群技术高超的网络攻击者，通常接受国家或有组织的犯罪集团赞助。APT主要针对关键基础设施、金融机构和政府机构，他们的攻击行为之所以被称为持久性，是因为APT组织的攻击操作可以在受损的目标网络上长时间不被发现。

如果公司受到APT的影响，公司方是否做好了有效应对网络攻击的准备?如果攻击者已经在目标网络驻留了几个月，公司方能够检测到用于获取和保持对目标网络进行访问的方法吗?如果攻击方之所以获得最初的访问权限，是因为财务部的约翰打开了一个可疑的电子邮件附件，那该如何处理呢?如果攻击者正在进行零日漏洞利用，之前的常规渗透测试能让公司做好应对0day攻击的准备吗?正是为了针对性地提供更现实的网络安全保护方法，红队演练才得以诞生。

答题

通过阅读本小节内容回答以下问题。

红队演练介绍

为了跟踪新出现的网络安全威胁，红队演练旨在将网络安全重点从常规渗透测试转移到如下方面：通过开展贴近真实网络攻击的红队演练，让我们清楚地看到目标公司的防御团队在检测和应对真正威胁行为者方面的能力。红队演练并不会取代传统的渗透测试，而是通过侧重于威胁行为检测和响应(并不只是预防)来补充传统的渗透测试的不足之处。

红队是一个借用自军方的术语，在军事演习中，会有一个小组扮演红队的角色，他们主要模拟应用攻击技术，以测试防守队(通常被称为蓝队)对已知对手的策略的反应能力。在网络安全领域，红队的任务包括模拟真正的威胁行为者的战术、技术和程序(TTPs-Tactics, Techniques and Procedures)，以便我们可以衡量蓝队的威胁响应能力，并最终改善所有安全控制措施。

红队的每一次演练行动都将从定义明确的目标开始，这些目标通常被称为“皇冠上的宝石- crown jewels”或者“旗帜-flags”，目标的范围包括从危及特定的关键主机到窃取目标的一些敏感信息。通常，蓝队不会被明确告知将要进行红队演练行动，这是为了避免蓝队在分析安全状况时有所侧重。

在实际的攻防演练过程中，红队将尽一切努力完成任务，同时确保不被防守方发现，因此，红队需要避开任何现有的安全机制，如防火墙、反病毒软件、EDR、IPS等；请注意，在红队的演练行动中，并不要求对目标网络上的所有主机都进行漏洞检查，因为真正的网络攻击者只需要找到一条通往目标的路径，并且会尽量保持攻击行为的隐蔽性。

在演练行动中，如果红队的最终目标是攻破内网服务器，那么他们就需要计划使用一种方法来实现这一目标，并且会尽可能少地与其他主机进行交互；而红队实现目标的过程则可以用来评估蓝队对攻击行为的检测能力和相应的应对能力：

值得注意的是，此类演习的最终目标永远不是让红队“击败”蓝队，而是通过模拟足够多的TTPs(战术、技术和程序)，从而让蓝队学会充分应对真实的持续性威胁，以便在需要的时候，蓝队可以及时调整或增加安全控制措施，以帮助提高蓝队的检测能力。

红队演练会通过考虑以下几个攻击面来改进常规的渗透测试：

技术基础设施：就像常规的渗透测试一样，红队也将试图发现技术漏洞，但是红队更加强调进行秘密行动和使用规避技术；
社会工程：通过网络钓鱼、电话或社交媒体瞄准目标人群，以诱使他们透露一些本应保密的信息；
物理入侵：使用开锁、RFID(电子标签)克隆等技术，利用电子访问控制设备(电子门禁设备)的弱点进入目标设施的限制区域。

根据可用资源的不同，红队演练可通过以下几种方式进行：

全面演习：在这种方式的演练活动中，红队将模拟网络攻击者的完整工作流程，从获得目标的初始访问权限到完成最终的任务要求。
假设攻击：假设攻击者已经获得了对某些网络资产的控制权限，并试图从网络资产所在位置开始尝试攻击最终目标；例如，红队可以事先获得访问某些用户凭据甚至内部网络中的工作站(指连接到内网的计算机)的权限。
桌面练习(沙盘推演)：在桌面模拟中，红队和蓝队会讨论各种场景，以评估理论上他们将如何应对某些威胁，即使是在理想的情况下，做现场模拟也可能是复杂的。

答题

通过阅读本小节内容回答以下问题。

演练涉及的团队及职能

在一场红队演练行动中，一般存在三个团队(team)或三个单元(cell)，以下是关于红队演练过程中的每个团队的简要情况：

Red Cell：Red Cell是演练行动中的进攻方的组成部分，主要任务是--针对给定攻击目标模拟相关战略和战术反应。
Blue Cell：Blue Cell是演练行动中的防守方的组成部分，它包括保护目标网络的所有组件，通常由蓝队成员、防守人员、内部员工和组织管理人员组成。
White Cell：White Cell在演练过程中充当红队和蓝队之间的裁判，主要负责——控制演练的环境/网络，监控各方人员对于ROE文档的遵守情况，协调实现演练目标所需的各种活动，将红队的攻击活动与蓝队的防御行为联系起来，确保在演练进行时不偏袒其中的任何一方。

tips：以上三个团队的定义来源于redteam.guide。

这些团队或单元可以进一步分解为一场演练行动的层次结构：

由于本文面向红队，所以我们将重点关注Red Cell的职责，下面简要概述了红队成员的角色和职责：

Red Team Lead(红队领队)：计划和组织高水平的演练行动——分配演练任务给红队助理领队和红队操作员。
Red Team Assistant Lead(红队助理领队)：协助红队领队监督演练行动中的具体操作和相关操作人员，如果需要，也可以协助撰写演练计划和文档。
Red Team Operator(红队操作员)：执行团队领导委派的任务，解释和分析团队领导下达的演练计划。

在现实世界中，每个红队团队或者公司的红队部门都将有属于自己的团队结构以及相应的成员角色划分，以上概述仅可作为--关于红队角色的典型职责的示例。

答题

通过阅读本小节内容回答以下问题。

演练的行为结构

红队的核心职责就是模拟真实的网络攻击者，红队的模拟行为通常可用于评估攻击者在现实的网络环境下会使用黑客工具和技术做什么。

红队可以使用各种网络杀伤链来总结和评估演练行动的步骤和程序：通常情况下，蓝队会使用网络杀伤链来映射攻击行为并击溃攻击者的行动，而红队可以通过网络杀伤链来将攻击者的TTP(战术、技术和程序)映射到演练行动中。

许多监管机构和标准化机构会发布他们的网络杀伤链，每个杀伤链都遵循着大致相同的结构，有些会更深入或者会定义不同的目标，下面是一些标准的网络杀伤链：

在本文中，我们会提到“洛克希德·马丁网络杀伤链”，这是一个比其他杀伤链更标准化的杀伤链，在红队和蓝队的活动中非常常用。

洛克希德·马丁公司的杀伤链主要集中在边界上，与其他杀伤链不同，它不提供关于操作内部的深入分解，你可以将此杀伤链视为对行为和操作的总结。

洛克希德·马丁杀伤链的组成部分如下表所示：

侦察获取目标信息收集电子邮件，OSINT(开源情报)

武器化将目标与漏洞结合，通常会产生可投递的有效载荷利用后门、恶意 office 文档

投递经过武器化的文件将如何传递给目标电子邮件、网络、USB

漏洞利用利用目标系统执行代码 MS17-010漏洞、零登录漏洞等

安装安装恶意软件或其他工具安装Mimikatz、Rubeus等工具

命令与控制从远程中央控制器控制受损资产使用Empire、Cobalt Strike等C2工具

针对目标的行动可以是任何最终目标：勒索软件、数据泄露等 Conti、LockBit2.0等

答题

红队演练概述

在执行红队演练行动时，我们上文所讨论的所有事情都会结合在一起。为了更好地理解各个组件和利益相关者如何交互，我们下文将分析一个简化的演练示例。

请注意网络杀伤链是如何自然地与红队演练保持一致的：我们首先从侦察阶段开始，在这个阶段我们会收集尽可能多的关于目标的情报，然后通过发送带有恶意附件的网络钓鱼电子邮件来进行武器化和投递，接着是漏洞利用和安装阶段，我们先进行本地漏洞利用从而提升我们在BOB-PC(受攻击的主机)上的权限，然后在受感染的主机上安装工具以转储密码哈希从而进行内网横向移动，最后针对目标采取行动，并成功与我们的目标建立访问连接。

答题

tips：完成模拟示例并回答问题。

1.对演练进行规划

白队和红队将定义与业务风险场景相一致的目标，蓝队在这个阶段通常不会被告知演习，因为我们想要分析他们对攻击者的自然反应。

2.情报收集

红队收集了尽可能多的关于目标的信息，包括:

正在使用的技术
员工名单
社交媒体信息
照片
其他有用的信息…
威胁情报来源还可以用于检查针对类似公司的APT，以更好地掌握相关的TTP和他们可能会使用的工具，例如，你可以检查Carbanak组织的信息。

掌握了所有的信息后，红队将创建一个计划，其中包括几个符合目标的TTP，并使计划得到白队的批准。

3.模拟TTP：网络钓鱼活动

红队根据在领英(LinkedIn)上发现的员工姓名和在他们的电子邮件地址中检测到的地址格式，针对目标员工的电子邮件进行网络钓鱼模拟从而开始演练。

julie.smith@bank.example.com
john.watson@bank.example.com

然而，网络钓鱼活动被发现了，蓝队向所有员工发送了一封电子邮件，警告他们可能持续存在的威胁，但是网络攻击仍然得以进行，因为蓝队没有采取适当的程序来检查可能受感染的电脑，也没有从所有用户的收件箱中及时删除所有恶意电子邮件的副本。

4.模拟TTP：特权升级和持久化

红队在BOB-PC上发现缺失Windows补丁，其中一个补丁的缺失允许进行PrintNightightmare漏洞利用。

虽然许多反病毒解决方案都能够检测到这个可用的公共漏洞，但红队成功应用了反病毒规避技术，在避免触发任何警报的情况下，成功获得SYSTEM特权。

红队现在能够上传并运行一个修改后的mimikatz工具来提取本地密码哈希，包括本地管理员帐户“Backups”的密码哈希。

5.模拟TTP：横向移动

红队将针对目标网络上的所有主机使用哈希传递攻击，以检查“Backups”用户是否可以登录到其他主机；但是发现无法建立到DB服务器的直接连接，因为防火墙策略阻止了这种连接。

在做了一些额外的侦察之后，红队发现了一个名为DBA-PC的工作站。通过哈希传递，成功攻破了DBA-PC工作站，并将其作为连接到DB服务器的枢纽(跳板)。

虽然红队的哈希传递尝试已经触发了用户“Backups”的多次登录尝试警报，但蓝队忽略了它们，因为他们把这些警报相关内容与每月运行的批量备份过程混淆了。

6.报告与分析

演习结束后，红白蓝三队将开会讨论如何提高银行(目标组织)的安全性。

尽管我们在这个示例模拟中关注的是允许红队达到目标的特定TTP，但在现实生活中，红队通常也会有失败的尝试。值得注意的是，红队的那些“失败”的尝试仍然可以为演习提供有效的信息；例如，假设你对DB服务器执行了一些暴力攻击，并且从未从中获得任何有效凭证，但是检查蓝队是否在演练结束时发现了这些暴力攻击行为可能仍然很有趣。

同时，请记住在演练期间，很多事情可能会发生意想不到的变化，因此保持红方和白队之间的清晰沟通对于做出正确的决策至关重要，这些决策将指导演习朝着正确的方向进行，并避免在演练结束后发生冲突。