Red Team Fundamentals
介绍
网络安全是白帽黑客和黑帽黑客之间的不断竞争。随着网络世界中的威胁不断演变,需要更多专业化服务来帮助公司尽可能地准备应对真正的攻击。 虽然传统的安全测试(如漏洞评估和渗透测试)可以提供公司技术安全状况的优秀概述,但它们可能忽略了一些真正攻击者可以利用的其他方面。从这个意义上说,我们可以说传统的渗透测试擅长显示漏洞,以便您可以采取积极措施,但可能不会教您如何应对受到有动机对手的实际正在进行的攻击。 房间目标
- 了解红队参与的基础知识
- 确定参与红队参与的主要组成部分和利益相关者
- 了解红队行动与其他类型网络安全行动的主要区别
房间先决条件
在开始本房间之前,需要熟悉一般的黑客技术。虽然不是必需的,但建议完成初级渗透测试员学习路径。
回答下列问题
点击继续下一项任务
漏洞评估和渗透测试的局限性
漏洞评估
这是安全评估中最简单的形式,其主要目标是尽可能识别网络中尽可能多的系统中的漏洞。为此,可以做出一些让步以有效地实现此目标。例如,攻击者的机器可能被列入现有安全解决方案的允许列表,以避免干扰漏洞发现过程。这是有道理的,因为目标是查看网络上的每个主机并单独评估其安全姿态,同时为公司提供最多的信息,使其了解应将补救工作重点放在何处。
总之,漏洞评估的重点是扫描主机作为单个实体的漏洞,以便可以逐个识别安全缺陷并部署有效的安全措施以保护网络。大部分工作可以使用自动化工具完成,并由操作员执行而不需要太多技术知识。
例如,如果您要在网络上运行漏洞评估,通常会尝试扫描尽可能多的主机,但实际上不会尝试利用任何漏洞:
渗透测试
除了扫描每个主机以查找漏洞外,我们通常还需要了解它们对整个网络的影响。渗透测试通过执行其他步骤来补充漏洞评估,以允许渗透测试人员探索攻击者对整个网络的影响,其中包括:
-
尝试利用在每个系统上发现的漏洞。这很重要,因为有时候系统中可能存在漏洞,但是已经有效地防止了其利用。它还允许我们测试是否可以使用检测到的漏洞来危及给定的主机。
-
在任何受到攻击的主机上进行后期利用任务,使我们可以找到是否可以从中提取任何有用信息,或者我们是否可以使用它们来转移到以前无法从我们所处位置访问的其他主机。
渗透测试可能会像常规漏洞评估一样从扫描所有网络主机中的漏洞开始,但提供有关攻击者如何将漏洞链接起来以实现特定目标的进一步信息。虽然它的重点仍然是识别漏洞并建立保护网络的措施,但它还考虑了网络作为整个生态系统以及攻击者如何从其组件之间的交互中获利。
如果我们使用与之前相同的示例网络执行渗透测试,则除了扫描网络上的所有主机以查找漏洞外,我们还会尝试确认它们是否可以被利用以显示攻击者对网络的影响:
通过分析攻击者如何在我们的网络中移动,我们还可以基本了解可能的安全措施绕过和我们检测真正威胁行为者的能力,在一定程度上受限于渗透测试的范围通常很广,并且渗透测试人员不太关心在安全设备上产生大量警报或生成大量警报,因为这类项目上的时间限制通常要求我们在短时间内检查网络。
高级持续性威胁及定期渗透测试不足之处
虽然我们提到的传统安全约定涵盖了对大多数技术漏洞的查找,但这些流程以及它们能在多大程度上有效地帮助公司防范真正的攻击者还存在一定的局限性。这些限制包括:
因此,某些渗透测试方面可能与真正攻击有显着不同之处,例如:
-
渗透测试很吵:通常,渗透测试人员不会花太多精力试图保持不被发现。与真正的攻击者不同,他们并不介意容易被发现,因为他们的任务就是在尽可能多的主机上发现尽可能多的漏洞。
-
非技术性攻击载体可能被忽视:基于社会工程学或物理入侵的攻击通常不在测试之列。
-
放宽安全机制:在进行常规渗透测试时,为了提高效率,渗透测试人员可能会暂时禁用或放宽某些安全机制。虽然这听起来有悖常理,但必须记住,渗透测试人员检查网络的时间是有限的。因此,他们通常不希望浪费时间去寻找绕过
IDS/IPS
、WAF
、入侵欺骗或其他安全措施的奇特方法,而是专注于审查关键技术基础设施的漏洞。
另一方面,真正的攻击者不会遵守道德准则,他们的行动大多不受限制。如今,最突出的威胁行为者被称为高级持续威胁(APT),它们是技术高超的攻击者群体,通常由国家或有组织犯罪集团赞助。他们的主要目标是关键基础设施、金融组织和政府机构。之所以称其为持续性威胁,是因为这些团伙的行动可以在被入侵的网络上长时间不被发现。
如果一家公司受到 APT 的影响,它是否做好了有效应对的准备?如果攻击者已经在其网络上存在了几个月,他们能否检测到用于获取和维持网络访问的方法?如果最初的访问是因为会计部的 John 打开了一个可疑的电子邮件附件?如果涉及零日漏洞利用呢?以前的渗透测试能让我们做好准备吗?
为了提供更切合实际的安全方法,"红队约定 "应运而生。
回答下列问题
漏洞评估能让我们检测到网络中的真正攻击者吗?(是/否)
否
在渗透测试过程中,您担心被客户发现吗?(是/否)
否
如今,由技术娴熟的攻击者组成的高度组织化团体被称为...
Advanced Persistent Threats
红队约定
为了跟上新兴威胁的步伐,红队参与的目的是将重点从常规渗透测试转移到一个流程中,使我们能够清楚地看到我们的防御团队在检测和应对真实威胁行为者方面的能力。它们不会取代传统的渗透测试,而是对其进行补充,将重点放在检测和响应上,而不是预防上。
红队行动是从军队借鉴过来的术语。在军事演习中,一个团队会扮演红队的角色,模拟攻击技术以测试防御团队(通常称为蓝队)对已知对手策略的反应能力。在网络安全领域,红队行动包括模拟真实威胁行为者的战术、技术和程序(TTPs),以便我们可以衡量我们的蓝队对它们的响应能力,并最终改进任何安全控制措施。
每次红队行动都会首先确定明确的目标,通常被称为 "皇冠上的宝石 "或 "旗帜",从破坏特定的关键主机到窃取目标的某些敏感信息不等。通常情况下,蓝队不会被告知此类行动,以避免在分析中引入任何偏见。红队将竭尽所能实现目标,同时不被发现并躲避任何现有的安全机制,如防火墙、防病毒、EDR、IPS 等。请注意,在 "红队 "行动中,不会对网络上的所有主机进行漏洞检查。真正的攻击者只需要找到一条通往其目标的路径,而对执行蓝队可能检测到的嘈杂扫描不感兴趣。
以同样的网络为例,红队的目标是入侵内网服务器,我们将计划如何在达到目标的同时尽可能减少与其他主机的交互。与此同时,还可以评估蓝队检测攻击并做出相应响应的能力:
需要注意的是,此类演习的最终目的绝不是让红队 "击败 "蓝队,而是模拟足够多的 TTPs,让蓝队学会对真实的持续威胁做出充分反应。如有必要,他们可以调整或增加安全控制措施,以帮助提高检测能力。
红队参与还通过考虑多个攻击面来改进常规渗透测试:
- 技术基础设施:与常规渗透测试一样,红队也会尝试发现技术漏洞,但更强调隐蔽性和规避性。
- 社会工程:通过网络钓鱼活动、电话或社交媒体锁定目标人群,诱使他们透露本应属于隐私的信息。
- 物理入侵:使用撬锁、克隆
RFID
等技术,利用电子门禁设备的弱点进入设施的禁区。
根据可用资源的情况,红队演习可以通过多种方式进行:
- 全面参与:模拟攻击者从最初入侵到实现最终目标的整个工作流程。
- 假定入侵:首先假设攻击者已经控制了某些资产,然后尝试实现目标。例如,红队可以获得某些用户的凭证,甚至是内部网络中的工作站。
- 桌面演习: 在桌面上进行模拟,红队和蓝队讨论各种情况,评估理论上他们将如何应对某些威胁。非常适合现场模拟可能比较复杂的情况。
回答下列问题
红队参与的目标通常被称为旗帜或...
crown jewels
在 "红队 "交战中,攻击者使用的常用方法会被模仿来对付目标。这些方法通常称为 TTP。TTP 代表什么?
Tactics, Techniques and Procedures
红队参与的主要目的是在尽可能多的主机中检测出尽可能多的漏洞(是/否)
nay
参与的团队和职能
红队的参与涉及多个因素和人员。每个人都会有自己的思维方式和方法来对待参与人员;但是,每次参与都可以分成三个小组或单元。下面的表格简要说明了每个团队及其职责。
团队 | 定义 |
---|---|
红细胞 | 红细胞是构成红队交战进攻部分的组成部分,模拟特定目标的战略和战术反应。 |
蓝细胞 | 蓝色单元格是红色单元格的反面。它包括保卫目标网络的所有组成部分。蓝色单元通常由蓝色团队成员、防御者、内部员工和组织管理层组成。 |
白细胞 | 在一次交锋中,作为红细胞活动和蓝细胞反应之间的裁判。控制交锋环境/网络。监督遵守规则。协调实现交锋目标所需的活动。将红细胞活动与防御行动相结合。确保交锋不带任何偏见。 |
定义来自redteam.guide。
这些团队或单元可进一步细分为参与层次。
由于这是一个面向红队的会议室,我们将重点讨论红队的职责。下表概述了红队成员的角色和职责。
角色 | 目的 |
---|---|
红队队长 | 计划和组织高级别参与——授权、助理领导和操作员参与任务。 |
红队助理队长 | 协助团队领导监督参与业务和操作人员。如有需要,还可协助编写参与计划和文件。 |
红队操作员 | 执行团队领导委派的任务。解释和分析团队领导的参与计划。 |
与大多数红色团队职能一样,每个团队和公司都有自己的结构和每个团队成员的职责。上表仅举例说明了每个角色的典型职责。
回答下列问题
哪个小组负责交战中的进攻行动?
red cell
受信任的代理属于哪个单元?
white cell
参与结构
红队的一项核心职能是模拟对手。虽然不是强制性的,但通常用于评估真正的对手在某种环境下使用其工具和方法会做什么。红队可以使用各种网络杀伤链来总结和评估交战的步骤和程序。
蓝方团队通常使用网络杀伤链来映射对手的行为并瓦解其行动。红队可以借鉴这一思路,将对手的 TTP(战术、技术和程序)映射到交战的各个组成部分。
许多监管和标准化机构都发布了自己的网络杀手链。每个致命链都遵循大致相同的结构,但有些结构更加深入,或对目标的定义有所不同。以下是标准网络防护链的一小部分。
- Lockheed Martin Cyber Kill Chain
- Unified Kill Chain
- Varonis Cyber Kill Chain
- Active Directory Attack Cycle
- MITRE ATT&CK Framework
在本会议室,我们通常会参考 "洛克希德-马丁网络杀伤链"。与其他杀伤链相比,该杀伤链更加标准化,在红蓝团队中非常常用。
洛克希德-马丁公司的杀伤链侧重于外围或外部入侵。与其他杀伤链不同的是,它没有对内部运动进行深入分析。您可以将此杀伤链视为所有行为和操作的汇总。
杀戮链的组成部分细分如下表所示。
技术 | 用途 | 示例 |
---|---|---|
侦察 | 获取目标信息 | 收获电子邮件、OSINT |
武器化 | 将目标与漏洞结合起来。通常会产生可交付的载荷。 | 带有后门的漏洞、恶意办公文档 |
交付 | 如何将武器化功能交付给目标 | 电子邮件、网络、USB |
利用 | 利用目标系统执行 | MS17-010、零登录等代码 |
安装 | 安装恶意软件或其他工具 | Mimikatz、Rubeus 等 |
指挥与控制 | 通过远程中央控制器控制受损资产 | Empire, Cobalt Strike, etc. |
目标行动 | 任何最终目标:勒索软件、数据外泄等。 | Conti, LockBit2.0, etc. |
回答下列问题
如果对手在目标机器上部署了 Mimikatz,他们会被置于洛克希德-马丁公司网络杀伤链的哪个位置?
Installation
什么技术的目的是利用目标系统执行代码?
Exploitation
红队参与概述
在执行红队参与时,我们所讨论的所有问题都会汇集在一起。为了更好地理解各组成部分和利益相关者如何相互作用,我们将分析一个简化的参与示例。导航至绿色的 "查看网站 "按钮以继续。
请注意 "网络杀戮链 "是如何与演习自然衔接的:我们从侦察阶段开始,尽可能多地收集有关目标的情报,然后通过发送带有恶意附件的网络钓鱼邮件进行武器化和交付,接着是利用和安装阶段,使用本地漏洞提升 BOB-PC 上的权限,然后在受损主机上安装工具以转储密码哈希值并执行横向移动,最后在目标上采取行动,最终与目标建立连接。
回答下列问题
点击 "查看网站 "按钮,并按照示例操作来获取标志
THM{RED_TEAM_ROCKS}
结论
本会议室提供了红队参与的简化概述。介绍了主要概念、组成部分和利益相关者,以便对此类练习有一个初步的了解。在接下来的房间中,您将了解真实交战背后的所有计划,以及真正的攻击者在此过程中会使用的许多很酷的技术,包括如何利用威胁情报来发挥自己的优势,逃避任何现代主机中存在的安全机制,执行横向移动并尝试不惜一切代价避免检测。
回答以下问题
阅读以上内容并继续学习!