紅隊攻防入門1–初識紅隊
紅隊概念
紅隊(Red Team)即安全團隊最大化模拟真實世界裡面的入侵事件,采用入侵者的戰術、技術、流程,以此來檢驗藍隊(Blue Team)的威脅檢測和應急響應的機制和效率,最終幫助企業真正提高整個安全建設、安全營運、安全管理等能力。
1.1紅隊VS滲透測試
在企業内部的一般的滲透測試,很多就是點到為止,并不會被授予很多的權限。而紅隊整體來看,在合法合規的前提下,在充分溝通的前提下,授權範圍會更加廣泛,真實程度更加貼合實戰。
1.2紅隊VS藍隊
無論是Red Team 還是Blue Team,這些概念都來自真實的戰争領域。
作為紅隊,是以攻擊方的方式做安全工作的,常見的技術概念有APT攻擊、滲透測試、零日漏洞、武器開發。
作為藍隊,則以防禦方的方式做安全工作,是安全合規、安全營運、應急響應、态勢感覺、威脅情報等等。
1.3 紅隊常用模型架構
1.3.1滲透測試執行标準PTES
PTES中文全名【滲透測試執行标準】,他是有2010年由業界網絡安全專家共同發起并定義的規範,目标是希望為企業和安全服務商,指定整個滲透測試的标準流程,友善大家工作和溝通。
PTES 包括 7 個标準步驟,即前期互動、情報收集、威脅模組化、漏洞分析、滲透利用、報告輸出等,一般的滲透測試工作,基本都繞不開這些步驟,可以看成一個标準的工作流。
① 前期互動
前期互動階段,我們得先拿到客戶的授權,并且了解授權範圍多少?滲透目标是誰?期望目标是什麼?
這些都是前期互動階段要溝通好的。
② 情報搜集
情報搜集階段,即根據上面的授權、範圍、目标等資訊,開始進行一些情報搜集工作。
無論是主動搜集還是被動搜集,我們得知道對方開了哪個端口、提供了什麼服務、這些服務的軟體版本是什麼、這些軟體是否曾經出現過漏洞?
③ 威脅模組化
哪些資訊是真正有價值的?哪個口子用什麼攻擊方法?哪條攻擊路徑是最大可能的?
根據情報搜集的彙總,我們得制定出接下來的「作戰計劃」。
這些就是在威脅模組化階段要分析出來的。
④ 漏洞分析
結合以上情報搜集和威脅模組化階段,此階段我們要判斷出哪些漏洞是最有可能拿到對方權限,打通攻擊路徑的。
哪些漏洞的攻擊效果最佳?
哪些漏洞有最新的工具?
哪些漏洞需要自研滲透代碼?
⑤ 滲透利用
前面 4 個階段都不算真正 Hack 進目标系統,而這個階段則是真正對目标進行滲透攻擊,通過漏洞對應的利用工具等,擷取目标控制權。
⑥ 後滲透
在拿到控制權限之後,為了避免對方發現,還需要進行後滲透,實作更持久地控制,更深層次地執行任務。
比如程序遷移、隧道建立、資料擷取、擦除痕迹等。
⑦ 報告輸出
最後階段就是輸出一份安全報告,即寫明滲透測試工作中,企業 IT 基礎系統所存在的漏洞和風險點。
以上便是 PTES 滲透測試執行标準。
1.3.2網絡殺傷鍊Cyber Kill Chain
網絡殺傷鍊的英文全名是 Cyber Kill Chain,這是 2011 年洛克希德馬丁公司提出的網絡攻擊模型。
跟真實世界的入侵者,對一個目标系統進行攻擊的每個階段都是一一映射的。
這裡也分為 7 個步驟 =>
第 1 步,目标偵察: 跟前面 PTES 情報收集階段是差不多的;
第 2 步,武器研制: 編寫各種工具/後門/病毒 Exp / Weapon / Malware;
第 3 步,載荷投毒: 通過水坑魚叉等攻擊方式将武器散播出去(投毒);
第 4 步,滲透利用,通過漏洞利用擷取對方控制器;
第 5 步,安裝執行,在目标系統将後門木馬跑起來;
第 6 步,指令控制,對目标來進行持久化控制;
第 7 步,任務執行,即開始執行竊取資料、破壞系統等。
以上便是網絡殺傷鍊,相比 PTES 更加貼合實戰階段。
1.3.3MITRE ATT&CK架構
「ATT&CK 架構」,由 MITRE 公司于 2013 年提出來的一個通用知識架構,中文名叫做「對抗戰術、技術、常識 」 。
ATT&CK 架構是基于真實網絡空間攻防案例及資料,采用軍事戰争中的 **TTPs (Tactics, Techniques & Procedures)**方法論,重新編排的網絡安全知識體系,目的是建立一套網絡安全的通用語言。
舉例,大家經常聽到的什麼 APT 攻擊、威脅情報、态勢感覺等等,無論個人還是企業,了解上不盡相同,總會有一些偏差的。
有了 ATT&CK 架構,大家不會存在太大的偏差,紅隊具體怎麼去攻擊的,藍隊具體到怎麼去防禦的,使用 ATT&CK 矩陣可以将每個細節标記出來,攻擊路線和防禦過程都可以圖形展現出來,攻防雙方就有了一套通用語言了。
網絡安全行業的組織、機構、廠家,每年都會造各種 ”新詞“,但 MITRE 這個組織推的這套架構,兼具實戰和學術價值,具備廣泛的應用場景,對安全行業的發展推動是實實在在的。
我認為,在未來 5 年也好 10 年也好 ,它可能會成為一個事實上的标準。
這裡看一下左上角圖檔,它整體有三個部分,一個是 PRE ATT&CK,一個是 ATT&CK for Enterprise,一個是 ATT&CK for Mobile,我們學習和研究時,核心放在 ATT&CK forEnterprise 即可。
大家可以看到,其實左邊這裡面,也有偵查、武器化、載荷傳遞、利用、控制、執行、維持等等階段,是不是跟前面介紹的網絡殺傷鍊是一樣的呢?
是的,你可以這麼簡單了解,其實 ATT&CK 這個架構,剛開始就是在殺傷鍊的基礎上,提供了更加具體的、更細顆粒度的戰術、技術、文檔、工具、描述等等。
是以,如果要深入學習紅隊,平常可以多逛逛去 ATT&CK 架構官網。
接下來,我們來重點看一下 ATT&CK for Enterprise。
這張圖裡面,橫軸代表是戰術(Tactics),最新版本裡橫軸包括的戰術有 12 個(原來是 10 個),縱軸代表的是技術(Techniques)有 156 個技術 272 個子技術。
前面我們提到了,它是基于 TTPs 方法來描述的,是以非常标準和通用。
在實際的紅藍對抗、威脅情報分析、安全差距評估等工作場景中,都可以用得上。
另外補充一點,這 12 個戰術從左到右,也是按照網絡殺傷鍊的路徑來編排的,包括初始通路、執行、持久化、權限提升、防禦繞過、憑證通路、發現、橫向移動、收集、指令控制、資料擷取、影響。
每一個戰術下面包括很多技術,每個技術有詳細的過程,包括獨立的編号、描述、工具等。