实战攻防之红队视角下的防御体系突破

声明

本文是学习实战攻防之红队视角下的防御体系突破. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

什么是红队

红队，一般是指网络实战攻防演习中的攻击一方。

红队一般会针对目标系统、人员、软件、硬件和设备同时执行的多角度、混合、对抗性的模拟攻击；通过实现系统提权、控制业务、获取数据等目标，来发现系统、技术、人员和基础架构中存在的网络安全隐患或薄弱环节。

红队人员并不是一般意义上的电脑黑客。因为黑客往往以攻破系统，获取利益为目标；而红队则是以发现系统薄弱环节，提升系统安全性为目标。此外，对于一般的黑客来说，只要发现某一种攻击方法可以有效地达成目标，通常就没有必要再去尝试其他的攻击方法和途径；但红队的目标则是要尽可能地找出系统中存在的所有安全问题，因此往往会穷尽已知的“所有”方法来完成攻击。换句话说，红队人员需要的是全面的攻防能力，而不仅仅是一两招很牛的黑客技术。

红队的工作也与业界熟知的渗透测试有所区别。渗透测试通常是按照规范技术流程对目标系统进行的安全性测试；而红队攻击一般只限定攻击范围和攻击时段，对具体的攻击方法则没有太多限制。渗透测试过程一般只要验证漏洞的存在即可，而红队攻击则要求实际获取系统权限或系统数据。此外，渗透测试一般都会明确要求禁止使用社工手段（通过对人的诱导、欺骗等方法完成攻击），而红队则可以在一定范围内使用社工手段。

还有一点必须说明:虽然实战攻防演习过程中通常不会严格限定红队的攻击手法，但所有技术的使用，目标的达成，也必须严格遵守国家相关的法律和法规。

在演习实践中，红队通常会以3人为一个战斗小组，1人为组长。组长通常是红队中综合能力最强的人，需要较强的组织意识、应变能力和丰富的实战经验。而2名组员则往往需要各有所长，具备边界突破、横向移动（利用一台受控设备攻击其他相邻设备）、情报收集或武器制作等某一方面或几个方面的专长。

红队工作对其成员的能力要求往往是综合性的、全面性的。红队成员不仅要会熟练使用各种黑客工具、分析工具，还要熟知目标系统及其安全配置，并具备一定的代码开发能力，以便应对特殊问题。

红队三板斧——攻击的三个阶段

红队的攻击并非是天马行空的撞大运，而是一个有章可循、科学合理的作战过程。一般来说，红队的工作可分为三个阶段：情报收集、建立据点和横向移动。我们也常将这个三个阶段称为红队工作的“三板斧”。

第一阶段：情报收集

当红队专家接到目标任务后，并不会像渗透测试那样在简单收集数据后直接去尝试各种常见漏洞，而是先去做情报侦察和信息收集工作。收集的内容包括组织架构、IT资产、敏感信息泄露、供应商信息等各个方面。组织架构包括单位部门划分、人员信息、工作职能、下属单位等；IT资产包括域名、IP地址、C段、开放端口、运行服务、WEB中间件、WEB应用、移动应用、网络架构等；敏感信息泄露包括代码泄露、文档信息泄露、邮箱信息泄露、历史漏洞泄露信息等方面；供应商信息包括相关合同、系统、软件、硬件、代码、服务、人员等相关信息。

掌握了目标企业相关人员信息和组织架构，可以快速定位关键人物以便实施鱼叉攻击，或确定内网横纵向渗透路径；而收集了IT资产信息，可以为漏洞发现和利用提供数据支撑；掌握企业与供应商合作相关信息，可为有针对性开展供应链攻击提供素材。而究竟是要社工钓鱼，还是直接利用漏洞攻击，抑或是从供应链下手，一般取决于哪块是安全防护的薄弱环节，以及红队对攻击路径的选择。

第二阶段：建立据点

在找到薄弱环节后，红队专家会尝试利用漏洞或社工等方法去获取外网系统控制权限，一般称之为“打点”或撕口子。在这个过程中，红队专家会尝试绕过WAF、IPS、杀毒软件等防护设备或软件，用最少的流量、最小的动作去实现漏洞利用。

通过撕开的口子，寻找和内网联通的通道，再进一步进行深入渗透，这个由外到内的过程一般称之为纵向渗透，如果没有找到内外联通的DMZ区（Demilitarized Zone，隔离区），红队专家会继续撕口子，直到找到接入内网的点为止。

当红队专家找到合适的口子后，便可以把这个点作为从外网进入内网的根据地。通过frp、ewsocks、reGeorg等工具在这个点上建立隧道，形成从外网到内网的跳板，将它作为实施内网渗透的坚实据点。

若权限不足以建立跳板，红队专家通常会利用系统、程序或服务漏洞进行提权操作，以获得更高权限；若据点是非稳定的PC机，则会进行持久化操作，保证PC机重启后，据点依然可以在线。

第三阶段：横向移动

进入内网后，红队专家一般会在本机以及内部网络开展进一步信息收集和情报刺探工作。包括收集当前计算机的网络连接、进程列表、命令执行历史记录、数据库信息、当前用户信息、管理员登录信息、总结密码规律、补丁更新频率等信息；同时对内网的其他计算机或服务器的IP、主机名、开放端口、开放服务、开放应用等情况进行情报刺探。再利用内网计算机、服务器不及时修复漏洞、不做安全防护、同口令等弱点来进行横向渗透扩大战果。

对于含有域的内网，红队专家会在扩大战果的同时去寻找域管理员登录的蛛丝马迹。一旦发现某台服务器有域管理员登录，就可以利用Mimikatz等工具去尝试获得登录账号密码明文，或者Hashdump工具去导出NTLM哈希，继而实现对域控服务器的渗透控制。

在内网漫游过程中，红队专家会重点关注邮件服务器权限、OA系统权限、版本控制服务器权限、集中运维管理平台权限、统一认证系统权限、域控权限等位置，尝试突破核心系统权限、控制核心业务、获取核心数据，最终完成目标突破工作。

红队也套路——常用的攻击战术

在红队的实战过程中，红队专家们逐渐摸出了一些套路、总结了一些经验：有后台或登录入口的，会尽量尝试通过弱口令等方式进入系统；找不到系统漏洞时，会尝试社工钓鱼，从人开展突破；有安全防护设备的，会尽量少用或不用扫描器，使用EXP力求一击即中；针对蓝队防守严密的系统，会尝试从子公司或供应链来开展工作。建立据点过程中，会用多种手段多点潜伏，防患于未然。

下面介绍四种红队最常用的攻击战术。

利用弱口令获得权限

弱密码、默认密码、通用密码和已泄露密码通常是红队专家们关注的重点。实际工作中，通过脆弱口令获得权限的情况占据90%以上。

很多企业员工用类似zhangsan、zhangsan001、zhangsan123、zhangsan888这种账号拼音或其简单变形，或者123456、888888、生日、身份证后6位、手机号后6位等做密码。导致通过信息收集后，生成简单的密码字典进行枚举即可攻陷邮箱、OA等账号。

还有很多员工喜欢在多个不同网站上设置同一套密码，其密码早已经被泄露并录入到了社工库中；或者针对未启用SSO验证的内网业务系统，均习惯使用同一套账户密码。这导致从某一途径获取了其账户密码后，通过凭证复用的方式可以轻而易举地登录到此员工所使用的其他业务系统中，为打开新的攻击面提供了便捷。

很多通用系统在安装后会设置默认管理密码，然而有些管理员从来没有修改过密码，如admin/admin、test/123456、admin/admin888等密码广泛存在于内外网系统后台，一旦进入后台系统，便有很大可能性获得服务器控制权限；同样，有很多管理员为了管理方便，用同一套密码管理不同服务器。当一台服务器被攻陷并窃取到密码后，进而可以扩展至多台服务器甚至造成域控制器沦陷的风险。

利用社工来进入内网

计算机“从来”不会犯错误，程序怎么写，逻辑便怎么执行；在一台计算机上怎样执行，在另外一台计算机也同样执行。但人却会犯各种各样的错误，同一名员工在不同情况下的同一件事情上可能会犯不同的错误，不同的员工在同一情况的同一件事情上也可能会犯不同错误。很多情况下，当红队专家发现搞系统困难时，通常会把思路转到“搞人”（社工、钓鱼等）。

很多员工对接收的木马、钓鱼邮件没有防范意识。红队专家可针对某目标员工获取邮箱权限后，再通过此邮箱发送钓鱼邮件。大多数员工由于信任内部员工发出的邮件，从而轻易点击了夹带在钓鱼邮件中的恶意附件。一旦员工个人电脑沦陷，红队专家可以员工PC作为跳板实施横向内网渗透，继而攻击目标系统或其他系统、甚至攻击域控制器导致内网沦陷。

当然，社工不仅仅局限于使用电子邮件，通过客服系统、聊天软件、电话等方式有时也能取得不错的效果。像当年经典的黑客“朽木”入侵某大型互联网公司，所采用的就是通过客服系统反馈客户端软件存在问题无法运行，继而向客服发送了木马文件，最终木马上线后成功控制了该公司核心系统，就是一个经典的案例。有时，黑客会利用企业中不太懂安全的员工来打开局面，譬如给法务人员发律师函、给人力资源人员发简历、给销售人员发采购需求等等。

一旦控制了相关员工计算机，便可以进一步实施信息收集。譬如大部分员工为了日常计算机操作中的方便，以明文的方式在桌面或“我的文档”存储了包含系统地址以及账号密码的文档；此外大多数员工也习惯使用浏览器的记住密码功能，浏览器记住密码功能大部分依赖系统的API进行加密，所存储的密码是可逆的。红队在导出保存的密码后，可以在受控机上建立跳板，用受控员工的IP、账号、密码来登录，简直没有比这更方便的了。

利用旁路攻击实施渗透

在有蓝队防守的红队工作中，有时总部的网站防守得较为严密，红队专家很难直面硬钢，撬开进入内网的大门。此种情况下，通常红队不会去硬攻城门，而是会想方设法去找“下水道”，或者挖地道去迂回进攻。

红队实战中发现，绝大部分企业的下属子公司之间，以及下属公司与集团总部之间的内部网络均未进行有效隔离。很多部委单位、大型央企均习惯使用单独架设一条专用网络来打通各地区之间的内网连接，但同时又忽视了针对此类内网的安全建设，缺乏足够有效的网络访问控制，导致子公司、分公司一旦被突破，红队可通过内网横向渗透直接攻击到集团总部，漫游企业整个内网，攻击任意系统。

例如A子公司位于深圳，B子公司位于广州，而总部位于北京。当A子公司或B子公司被突破后，都可以毫无阻拦地进入到总部网络中来；而另外一种情况，A与B子公司可能仅需要访问总部位于北京的业务系统，而A与B不需要有业务上的往来，理论上应该限制A与B之间的网络访问。但实际情况是，一条专线内网通往全国各地，一处沦陷可以导致处处沦陷。

另外大部分企业对开放于互联网的边界设备较为信任，如VPN系统、虚拟化桌面系统、邮件服务系统等。考虑到此类设备通常访问内网的重要业务，为了避免影响到员工的正常使用，企业没有在其传输通道上增加更多的防护手段；再加上此类系统多会集成统一登录，一旦获得了某个员工的账号密码，就可以通过这些系统突破边界直接进入内网中来。

譬如开放在内网边界的邮件服务通常缺乏审计、也未采用多因子认证，员工平时通过邮件传送大量内网的敏感信息，如服务器账户密码、重点人员通讯录等；当掌握员工账号密码后，在邮件中所获得的信息，会给红队下一步工作提供很多方便。

秘密渗透与多点潜伏

红队工作一般不会大规模使用漏洞扫描器。目前主流的WAF、IPS等防护设备都有识别漏洞扫描器的能力，一旦发现后，可能第一时间触发报警或阻断IP。因此信息收集和情报刺探是红队工作的基础，在数据积累的基础上，针对性地根据特定系统、特定平台、特定应用、特定版本，去寻找与之对应的漏洞，编写可以绕过防护设备的EXP来实施攻击操作，可以达到一击即中的目的。

现有的很多安全设备由于自身缺陷或安全防护能力薄弱，基本上不具备对这种针对性攻击进行及时有效发现和阻止攻击行为的能力。导致即便系统被入侵，红队获取到目标资料、数据后，被攻击单位尚未感知到入侵行为。此外由于安全人员技术能力薄弱，无法实现对攻击行为的发现、识别，无法给出有效的攻击阻断、漏洞溯源及系统修复策略，导致在攻击发生的很长一段时间内，对红队尚没有有效的应对措施。

红队专家在工作中，通常不会仅仅站在一个据点上去开展渗透工作，而是会采取不同的Webshell、后门，利用不同的协议来建立不同特征的据点。因为大部分应急响应过程并不能溯源攻击源头，也未必能分析完整攻击路径，缺乏联动防御。蓝队在防护设备告警时，大部分仅仅只处理告警设备中对应告警IP的服务器，而忽略了对攻击链的梳理，导致尽管处理了告警，仍未能将红队排除在内网之外，红队的据点可以快速“死灰复燃”；如果某些蓝队成员专业程度不高，缺乏安全意识，导致如针对Windows服务器应急运维的过程中，直接将自己的磁盘通过远程桌面共享挂载到被告警的服务器上行为，反而可以给红队进一步攻击蓝队成员的机会。

延伸阅读

更多内容 可以 实战攻防之红队视角下的防御体系突破. 进一步学习

联系我们

Purple Team Exercise Framework.pdf