天天看点

红队攻防入门1

红队攻防入门1–初识红队

红队攻防入门1

红队概念

红队(Red Team)即安全团队最大化模拟真实世界里面的入侵事件,采用入侵者的战术、技术、流程,以此来检验蓝队(Blue Team)的威胁检测和应急响应的机制和效率,最终帮助企业真正提高整个安全建设、安全运营、安全管理等能力。

1.1红队VS渗透测试

在企业内部的一般的渗透测试,很多就是点到为止,并不会被授予很多的权限。而红队整体来看,在合法合规的前提下,在充分沟通的前提下,授权范围会更加广泛,真实程度更加贴合实战。

红队攻防入门1

1.2红队VS蓝队

红队攻防入门1

无论是Red Team 还是Blue Team,这些概念都来自真实的战争领域。

作为红队,是以攻击方的方式做安全工作的,常见的技术概念有APT攻击、渗透测试、零日漏洞、武器开发。
作为蓝队,则以防御方的方式做安全工作,是安全合规、安全运营、应急响应、态势感知、威胁情报等等。

1.3 红队常用模型框架

红队攻防入门1
1.3.1渗透测试执行标准PTES
红队攻防入门1

PTES中文全名【渗透测试执行标准】,他是有2010年由业界网络安全专家共同发起并定义的规范,目标是希望为企业和安全服务商,指定整个渗透测试的标准流程,方便大家工作和沟通。

PTES 包括 7 个标准步骤,即前期交互、情报收集、威胁建模、漏洞分析、渗透利用、报告输出等,一般的渗透测试工作,基本都绕不开这些步骤,可以看成一个标准的工作流。

① 前期交互

前期交互阶段,我们得先拿到客户的授权,并且了解授权范围多少?渗透目标是谁?期望目标是什么?

这些都是前期交互阶段要沟通好的。

② 情报搜集

情报搜集阶段,即根据上面的授权、范围、目标等信息,开始进行一些情报搜集工作。

无论是主动搜集还是被动搜集,我们得知道对方开了哪个端口、提供了什么服务、这些服务的软件版本是什么、这些软件是否曾经出现过漏洞?

③ 威胁建模

哪些信息是真正有价值的?哪个口子用什么攻击方法?哪条攻击路径是最大可能的?

根据情报搜集的汇总,我们得制定出接下来的「作战计划」。

这些就是在威胁建模阶段要分析出来的。

④ 漏洞分析

结合以上情报搜集和威胁建模阶段,此阶段我们要判断出哪些漏洞是最有可能拿到对方权限,打通攻击路径的。

哪些漏洞的攻击效果最佳?

哪些漏洞有最新的工具?

哪些漏洞需要自研渗透代码?

⑤ 渗透利用

前面 4 个阶段都不算真正 Hack 进目标系统,而这个阶段则是真正对目标进行渗透攻击,通过漏洞对应的利用工具等,获取目标控制权。

⑥ 后渗透

在拿到控制权限之后,为了避免对方发现,还需要进行后渗透,实现更持久地控制,更深层次地执行任务。

比如进程迁移、隧道建立、数据获取、擦除痕迹等。

⑦ 报告输出

最后阶段就是输出一份安全报告,即写明渗透测试工作中,企业 IT 基础系统所存在的漏洞和风险点。

以上便是 PTES 渗透测试执行标准。

1.3.2网络杀伤链Cyber Kill Chain
红队攻防入门1

网络杀伤链的英文全名是 Cyber Kill Chain,这是 2011 年洛克希德马丁公司提出的网络攻击模型。

跟真实世界的入侵者,对一个目标系统进行攻击的每个阶段都是一一映射的。

这里也分为 7 个步骤 =>

第 1 步,目标侦察: 跟前面 PTES 情报收集阶段是差不多的;

第 2 步,武器研制: 编写各种工具/后门/病毒 Exp / Weapon / Malware;

第 3 步,载荷投毒: 通过水坑鱼叉等攻击方式将武器散播出去(投毒);

第 4 步,渗透利用,通过漏洞利用获取对方控制器;

第 5 步,安装执行,在目标系统将后门木马跑起来;

第 6 步,命令控制,对目标来进行持久化控制;

第 7 步,任务执行,即开始执行窃取数据、破坏系统等。

以上便是网络杀伤链,相比 PTES 更加贴合实战阶段。

1.3.3MITRE ATT&CK框架
红队攻防入门1

「ATT&CK 框架」,由 MITRE 公司于 2013 年提出来的一个通用知识框架,中文名叫做「对抗战术、技术、常识 」 。

ATT&CK 框架是基于真实网络空间攻防案例及数据,采用军事战争中的 **TTPs (Tactics, Techniques & Procedures)**方法论,重新编排的网络安全知识体系,目的是建立一套网络安全的通用语言。

举例,大家经常听到的什么 APT 攻击、威胁情报、态势感知等等,无论个人还是企业,理解上不尽相同,总会有一些偏差的。

有了 ATT&CK 框架,大家不会存在太大的偏差,红队具体怎么去攻击的,蓝队具体到怎么去防御的,使用 ATT&CK 矩阵可以将每个细节标记出来,攻击路线和防御过程都可以图形展现出来,攻防双方就有了一套通用语言了。

网络安全行业的组织、机构、厂家,每年都会造各种 ”新词“,但 MITRE 这个组织推的这套框架,兼具实战和学术价值,具备广泛的应用场景,对安全行业的发展推动是实实在在的。

我认为,在未来 5 年也好 10 年也好 ,它可能会成为一个事实上的标准。

这里看一下左上角图片,它整体有三个部分,一个是 PRE ATT&CK,一个是 ATT&CK for Enterprise,一个是 ATT&CK for Mobile,我们学习和研究时,核心放在 ATT&CK forEnterprise 即可。

大家可以看到,其实左边这里面,也有侦查、武器化、载荷传递、利用、控制、执行、维持等等阶段,是不是跟前面介绍的网络杀伤链是一样的呢?

是的,你可以这么简单理解,其实 ATT&CK 这个框架,刚开始就是在杀伤链的基础上,提供了更加具体的、更细颗粒度的战术、技术、文档、工具、描述等等。

因此,如果要深入学习红队,平常可以多逛逛去 ATT&CK 框架官网。

红队攻防入门1

接下来,我们来重点看一下 ATT&CK for Enterprise。

这张图里面,横轴代表是战术(Tactics),最新版本里横轴包括的战术有 12 个(原来是 10 个),纵轴代表的是技术(Techniques)有 156 个技术 272 个子技术。

前面我们提到了,它是基于 TTPs 方法来描述的,所以非常标准和通用。

在实际的红蓝对抗、威胁情报分析、安全差距评估等工作场景中,都可以用得上。

另外补充一点,这 12 个战术从左到右,也是按照网络杀伤链的路径来编排的,包括初始访问、执行、持久化、权限提升、防御绕过、凭证访问、发现、横向移动、收集、命令控制、数据获取、影响。

每一个战术下面包括很多技术,每个技术有详细的过程,包括独立的编号、描述、工具等。