2024HVV | 红队最常用的三大工具（非常详细）零基础入门到精通，收藏这一篇就够了

最新推荐文章于 2024-10-11 09:30:49 发布

Python_chichi

最新推荐文章于 2024-10-11 09:30:49 发布

阅读量2.2k

点赞数 46

分类专栏：渗透测试网络安全 web安全文章标签：网络安全安全系统安全

本文链接：https://blog.csdn.net/Javachichi/article/details/136136368

版权

网络安全同时被 3 个专栏收录

371 篇文章 15 订阅

订阅专栏

web安全

209 篇文章 4 订阅

订阅专栏

渗透测试

199 篇文章 10 订阅

订阅专栏

本文探讨了红队常用的三种工具：CobaltStrike、BruteRatel和Metasploit，介绍了它们的功能、用途以及如何通过检测非典型行为如内存中的PowerShell执行和CertUtil的异常下载来识别潜在威胁。同时，文章也提及了网络安全学习资源的重要性。

摘要由CSDN通过智能技术生成

红队工具一：Cobalt Strike

Cobalt Strike可能是红队（包括许多对手）今天最常用的红队工具之一。Cobalt Strike是一个功能齐全的商用渗透测试工具，由Strategic CyberLLC公司提供。该工具被宣传为“对手模拟和红队行动”，但其重要的定制和功能导致很多威胁参与者出于各种动机也会使用它。Cobalt Strike还整合了各种其他后期开发工具，例如Mimikatz，以扩展其功能。

一旦红队（或对手）站稳脚跟，策略重点就会转移到执行，在目标系统上“引爆”他们的工具，同时避免被安全团队发现。最常见的执行方法之一是使用脚本解释器——在Windows环境下通常是PowerShell。因此，许多安全控制措施都在密切关注PowerShell及其产生的进程。然而，Cobalt Strike（以及许多其他对手）找到了一种巧妙的方法，将PowerShell直接加载到内存中来绕过这个问题，通常使用类似unmanagedpowershell的工具在内存中运行PowerShell而无需生成powershell.exe。

检测Cobalt Strike活动最简单的方法之一是查找与非默认PowerShell可执行文件的PowerShell运行时环境关联的DLL加载，这可以帮助识别可能的恶意活动。

红队工具二：Brute Ratel

另一个大受欢迎的红队工具是Brute Ratel。该工具由Chetan Nayak（Mandiant和Crowdstrike的前红队成员）开发的攻击模拟和后利用工具包，于2020年发布。后利用工具包是一个可定制的命令和控制框架，为用户提供诸如（但不限于）：将shellcode注入进程、执行脚本执行和编写C2通道（如Slack、Microsoft团队）。

许多红队和对手在取得立足点后首先执行的技术动作之一是下载其他工具。许多现代安全工具能够使用无头浏览器（headless browser）之类的工具轻松检测到攻击者。但是，蓝队有时可能会被忽视的一种攻击方法是利用系统上已经存在的现有二进制文件（LOLBins）。该方法最流行工具之一是certutil，它是Windows操作系统上的命令行程序，用作证书服务的一部分。它可用于配置证书服务、验证证书以及更多与证书相关的活动。CertUtil中的一个命令参数——urlcache，可用于执行URL缓存管理操作——攻击者已经意识到他们可以使用该工具来下载恶意文件，但是如何检测呢？

检测恶意certutil活动的一种简单方法是通过CertUtil.exe的“urlcache”参数查找正在启动下载的文件。CertUtil通常不用于从Web下载可执行文件或文件，因此当它从互联网下载文件时应被视为可疑活动。

红队工具三：Metasploit

被红队和对手广泛使用的另一个红队工具是Metasploit，一种非常流行的攻击框架，用于渗透测试和恶意活动。

Metasploit有很多功能，最常见的是对手和红队用它来实现横向移动和在远程系统上执行操作。实现此目的的最常见技术之一是滥用PsExec进行服务安装。

检测Metasploit活动的一个简便的好方法是查找包含与Metasploit的PsExec工具使用的模式名称一致的服务安装，同时在“Windows”目录中查找具有相同名称的二进制文件。攻击者和红队可以更改此命名约定，但许多人并没有意识到这一点。

`黑客&网络安全如何学习