1.Red Teaming VS Penetration Testing VS漏洞測試
基於威脅的安全測試方法可能使用多個名稱;
紅隊、威脅操作、威脅評估、紫隊、對抗評估、滲透測試、漏洞測試
。
這些並非完全相同,安全行業定義用於建立共同理解的術語非常重要。
為了解決這個問題,本文中所有基於威脅的安全測試都將被稱為Red Teaming。
定義:紅色團隊是使用戰術、技術和過程(TTP)來模擬現實世界攻擊的過程,其目標是訓練和衡量用於保護系統環境的人員、過處理流程和技術的有效性。
換句話說,紅隊是使用真實攻擊技術來模擬攻擊的過程,目的是培訓藍隊和/或測量整個安全操作。
紅色團隊可以深入了解自動攻擊行為者對目標的影響。
使用反金字塔圖,我們可以說明紅隊,滲透測試和漏洞評估之間的關系。
這將有助於進一步定義Red Teaming IS和IS NOT。
脆弱性評估 :
脆弱性評估往往覆蓋范圍廣。考慮對所有企業工作站進行漏洞評估。范圍很廣,但在對企業組織受到風險的背景下了解不是很深。當發現漏洞時,對漏洞風險能說明什么呢?企業組織的總體風險可能會在很小程度上推斷,但通常會保持在該工作站級別。漏洞評估擅長減少攻擊面,但在企業組織風險方面沒有提供太多細節。
滲透測試:
通過利用和證明攻擊路徑將漏洞評估提升到新的水平。滲透測試通常看起來和感覺像一個紅色團隊的參與,甚至使用一些相同的工具或技術。關鍵的區別在於目標和意圖。滲透測試的目標是對目標系統執行攻擊,以識別和測量與目標攻擊面的利用相關的風險。企業組織風險可以間接衡量,通常從某些技術攻擊中推斷出來。人員和流程怎么樣?這就是紅隊適合的地方。紅隊注重整體安全操作,包括人員、流程和技術。紅隊特別關注與培訓藍隊或衡量安全操作如何影響威脅的操作能力相關的目標。技術缺陷是理解威脅如何影響組織的操作或安全操作如何影響威脅的操作能力的次要因素。
3.紅隊參考
| 描述 | 地址 |
|---|---|
| 紅隊:如何像敵人一樣思考 - Micha Zenko | https://www.cfr.org/book/red-team |
| Strategic Cyber Blog | http://blog.cobaltstrike.com |
| SpecterOps Blog | https://posts.specterops.io |
| ThreatExpress Blog | http://threatexpress.com |
| Cobalt Strike Aggressor Scripts @ harleyQu1nn | https://github.com/harleyQu1nn/AggressorScripts |
| Cobalt Strike Aggressor Scripts @bluescreenofjeff | https://github.com/bluscreenofjeff/AggressorScripts |
| Awesome-Red-Teaming | https://github.com/yeyintminthuhtut/Awesome-Red-Teaming |
| Red Team Journal | http://redteamjournal.com |
2.1 紅隊基礎設施
有關構建紅隊基礎架構的提示和技巧
2.2.紅隊工具
2.3.獲得權限
偵察
信息收集工具
| 描述 | 地址 |
|---|---|
| BloodHound | https://github.com/BloodHoundAD/BloodHound |
| DomainHunter | https://github.com/threatexpress/domainhunter |
| EyeWitness | https://github.com/ChrisTruncer/EyeWitness |
| MailSniper | https://github.com/dafthack/MailSniper |
| NMAP | https://nmap.org |
| Recon-NG | https://bitbucket.org/LaNMaSteR53/recon-ng |
| Shodan | https://www.shodan.io/ |
| OPSEC對Beacon命令的注意事項 | https://blog.cobaltstrike.com/2017/06/23/opsec-considerations-for-beacon-commands/ |
武器化
用於創建有效payload的工具
網絡釣魚
初始訪問和有效payload交付的工具
| 描述 | 地址 |
|---|---|
| Social Engineering Toolkit | https://github.com/trustedsec/social-engineer-toolkit |
| GoPhish | https://getgophish.com/ |
| FiercePhish | https://github.com/Raikia/FiercePhish |
利用
利用工具
| 描述 | 地址 |
|---|---|
| Burp Suite | https://portswigger.net/burp |
| Exploit-DB | https://www.exploit-db.com |
| Metasploit | https://www.metasploit.com |
| Zed Attack Proxy | https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project |
2.4.維持權限
安裝
用於持久性和有效payload安裝的工具
命令與控制
命令和控制工具與框架
| 描述 | 地址 |
|---|---|
| Empire | http://www.powershellempire.com/ |
| CobaltStrike | https://cobaltstrike.com/ |
| Kodiac | https://github.com/zerosum0x0/koadic |
| PoshC2 | https://github.com/nettitude/PoshC2 |
| Pupy | https://github.com/n1nj4sec/pupy |
| Merlin | https://github.com/Ne0nd0g/merlin |
| Metasploit | https://www.metasploit.com/ |
| TinyShell | https://github.com/threatexpress/tinyshell |
| Throwback | https://github.com/silentbreaksec/Throwback |
| WMImplant | https://github.com/ChrisTruncer/WMImplant |
2.5.行動
對目標采取行動
在目標上執行操作的工具
| 描述 | 地址 |
|---|---|
| Misc PowerShell Post Exploitation Scripts | https://github.com/rvrsh3ll/Misc-Powershell-Scripts |
| Hashcat | https://hashcat.net/hashcat/ |
| GhostPack | https://github.com/GhostPack |
| DCOM對象用於橫向移動 | https://www.cybereason.com/blog/dcom-lateral-movement-techniques |
| Mimikatz | https://github.com/gentilkiwi/mimikatz |
| PowerUp | https://github.com/PowerShellMafia/PowerSploit/blob/master/Privesc/PowerUp.ps1 |
| PowerView的 | https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1 |
| WMIOps | https://github.com/ChrisTruncer/WMIOps/ |
2.6.NET
| 描述 | 地址 |
|---|---|
| James Forshaw的OleView .NET項目 | https://tyranidslair.blogspot.com/2018/09/finding-interactive-user-com-objects_9.html |
| 用於從VBS/JScript運行C#的DotNetToJScript項目 | https://github.com/tyranid/DotNetToJScript |
2.7. Windows Active Directory
3.MITER ATT&CK
MITRE的對抗戰術,技術和常識(ATT&CK™)是網絡對手行為的策划知識庫和模型,反映了對手生命周期的各個階段以及他們已知的目標平台。
ATT&CK有助於了解對抗已知對手行為的安全風險,規划安全改進,並驗證防御系統是否按預期工作。
ATT&CK
分為戰術,技術和過程
- 戰術是在行動中對目標可能使用的戰術目標。
- 技術描述了為實現其目標所采取的行動。
- 過程是執行操作所需的技術步驟
不管潛在的漏洞是什么,
這個框架提供了所有威脅行為的分類
紅隊可以通過技術研究和經驗來模擬真實的TTP攻擊。
這些信息中的大部分都已提交給ATT&CK
。
TT&CK可以被認為是TTP的菜
單。
紅隊可以利用這一點來確保他們有一套全面的攻擊戰術、技術和過程,
藍隊可以利用這一點來建立一個計分卡,顯示他們在防御各種戰術、技術和執行過程方面的能力。
參考:
4.紅隊備忘表
4.1Windows Active Directory
4.2.PowerView
4.3.SANS備忘表
4.4.Blue Teaming Cheat Sheets
4.5.Powershell備忘表
4.6.Bloodhound
5.紅隊建設清單
這套清單旨在幫助您規划和建立一個紅隊。
每種設計都可能有其他要求。
使用此清單作為模板並根據需要進行修改。
- ☐確定所需的知識和技能
- ☐確定並彌補知識所缺的方法
- ☐制定角色和責任指南
- ☐制定紅色團隊方法
- ☐為參與制定TTP指南
- ☐包括一些技巧
- ☐制定數據收集指南和工具
- ☐制定業務流程計划
- ☐制定溝通計划模板
- ☐制定ROE模板
- ☐制定技術簡報模板
- ☐制定報告模板
5.1.規划 - 紅隊建設核對清單
- ☐參與計划
- ☐RHE
- ☐事件溝通計划
- ☐分散解決意見不一致過程
- ☐切入點/方法
- ☐范圍
- ☐目標(應至少解決以下一項問題)
- ☐保護
- ☐檢測
- ☐響應
- ☐恢復
- ☐目標限制
- ☐目標基礎設施/資產驗證/批准
- ☐場景利用
- ☐安全運營影響規划
- ☐RHE
- ☐制定攻擊概況
- ☐網絡和主機活動
- ☐IOC生成(包括后續分析)和管理
- ☐規划攻擊基礎設施
- ☐第1層
- ☐入侵防御系統
- ☐系統
- ☐重定向器
- ☐PPS
- ☐第2層
- ☐入侵防御系統
- ☐系統
- ☐重定向器
- ☐PPS
- ☐第3層
- ☐入侵防御系統
- ☐系統
- ☐重定向器
- ☐PPS
- ☐將工具部署到基礎架構中
- ☐第1層
- ☐數據收集庫
5.2.執行 - 紅隊建設核對清單
- ☐每日完成和匯總確認
- ☐獲取日志信息
- ☐獲取屏幕截圖
- ☐獲取系統變化
- ☐每日(或每日兩次)強制性內部RT SITREP
- ☐更新實時攻擊圖
5.3.收尾 - 紅隊建設核對清單
- ☐紅隊攻擊結束
- ☐匯總數據
- ☐回滾系統更改
- ☐已收集驗證數據
- ☐描述關鍵攻擊圖
- ☐技術評審
- ☐執行摘要
- ☐報告
- ☐攻擊性報告闡述
- ☐攻擊總結
- ☐完成攻擊圖
- ☐完成報告