红队攻防入门1

红队攻防入门1–初识红队

红队概念

红队（Red Team）即安全团队最大化模拟真实世界里面的入侵事件，采用入侵者的战术、技术、流程，以此来检验蓝队（Blue Team）的威胁检测和应急响应的机制和效率，最终帮助企业真正提高整个安全建设、安全运营、安全管理等能力。

1.1红队VS渗透测试

在企业内部的一般的渗透测试，很多就是点到为止，并不会被授予很多的权限。而红队整体来看，在合法合规的前提下，在充分沟通的前提下，授权范围会更加广泛，真实程度更加贴合实战。

1.2红队VS蓝队

无论是Red Team 还是Blue Team,这些概念都来自真实的战争领域。

作为红队，是以攻击方的方式做安全工作的，常见的技术概念有APT攻击、渗透测试、零日漏洞、武器开发。

作为蓝队，则以防御方的方式做安全工作，是安全合规、安全运营、应急响应、态势感知、威胁情报等等。

1.3 红队常用模型框架

1.3.1渗透测试执行标准PTES

PTES中文全名【渗透测试执行标准】，他是有2010年由业界网络安全专家共同发起并定义的规范，目标是希望为企业和安全服务商，指定整个渗透测试的标准流程，方便大家工作和沟通。

PTES 包括 7 个标准步骤，即前期交互、情报收集、威胁建模、漏洞分析、渗透利用、报告输出等，一般的渗透测试工作，基本都绕不开这些步骤，可以看成一个标准的工作流。

① 前期交互

前期交互阶段，我们得先拿到客户的授权，并且了解授权范围多少？渗透目标是谁？期望目标是什么？

这些都是前期交互阶段要沟通好的。

② 情报搜集

情报搜集阶段，即根据上面的授权、范围、目标等信息，开始进行一些情报搜集工作。

无论是主动搜集还是被动搜集，我们得知道对方开了哪个端口、提供了什么服务、这些服务的软件版本是什么、这些软件是否曾经出现过漏洞？

③ 威胁建模

哪些信息是真正有价值的？哪个口子用什么攻击方法？哪条攻击路径是最大可能的？

根据情报搜集的汇总，我们得制定出接下来的「作战计划」。

这些就是在威胁建模阶段要分析出来的。

④ 漏洞分析

结合以上情报搜集和威胁建模阶段，此阶段我们要判断出哪些漏洞是最有可能拿到对方权限，打通攻击路径的。

哪些漏洞的攻击效果最佳？

哪些漏洞有最新的工具？

哪些漏洞需要自研渗透代码？

⑤ 渗透利用

前面 4 个阶段都不算真正 Hack 进目标系统，而这个阶段则是真正对目标进行渗透攻击，通过漏洞对应的利用工具等，获取目标控制权。

⑥ 后渗透

在拿到控制权限之后，为了避免对方发现，还需要进行后渗透，实现更持久地控制，更深层次地执行任务。

比如进程迁移、隧道建立、数据获取、擦除痕迹等。

⑦ 报告输出

最后阶段就是输出一份安全报告，即写明渗透测试工作中，企业 IT 基础系统所存在的漏洞和风险点。

以上便是 PTES 渗透测试执行标准。

1.3.2网络杀伤链Cyber Kill Chain

网络杀伤链的英文全名是 Cyber Kill Chain，这是 2011 年洛克希德马丁公司提出的网络攻击模型。

跟真实世界的入侵者，对一个目标系统进行攻击的每个阶段都是一一映射的。

这里也分为 7 个步骤 =>

第 1 步，目标侦察: 跟前面 PTES 情报收集阶段是差不多的；

第 2 步，武器研制: 编写各种工具/后门/病毒 Exp / Weapon / Malware；

第 3 步，载荷投毒: 通过水坑鱼叉等攻击方式将武器散播出去（投毒）；

第 4 步，渗透利用，通过漏洞利用获取对方控制器；

第 5 步，安装执行，在目标系统将后门木马跑起来；

第 6 步，命令控制，对目标来进行持久化控制；

第 7 步，任务执行，即开始执行窃取数据、破坏系统等。

以上便是网络杀伤链，相比 PTES 更加贴合实战阶段。

1.3.3MITRE ATT&CK框架

「ATT&CK 框架」，由 MITRE 公司于 2013 年提出来的一个通用知识框架，中文名叫做「对抗战术、技术、常识 」 。

ATT&CK 框架是基于真实网络空间攻防案例及数据，采用军事战争中的 **TTPs （Tactics, Techniques & Procedures）**方法论，重新编排的网络安全知识体系，目的是建立一套网络安全的通用语言。

举例，大家经常听到的什么 APT 攻击、威胁情报、态势感知等等，无论个人还是企业，理解上不尽相同，总会有一些偏差的。

有了 ATT&CK 框架，大家不会存在太大的偏差，红队具体怎么去攻击的，蓝队具体到怎么去防御的，使用 ATT&CK 矩阵可以将每个细节标记出来，攻击路线和防御过程都可以图形展现出来，攻防双方就有了一套通用语言了。

网络安全行业的组织、机构、厂家，每年都会造各种 ”新词“，但 MITRE 这个组织推的这套框架，兼具实战和学术价值，具备广泛的应用场景，对安全行业的发展推动是实实在在的。

我认为，在未来 5 年也好 10 年也好 ，它可能会成为一个事实上的标准。

这里看一下左上角图片，它整体有三个部分，一个是 PRE ATT&CK，一个是 ATT&CK for Enterprise，一个是 ATT&CK for Mobile，我们学习和研究时，核心放在 ATT&CK forEnterprise 即可。

大家可以看到，其实左边这里面，也有侦查、武器化、载荷传递、利用、控制、执行、维持等等阶段，是不是跟前面介绍的网络杀伤链是一样的呢？

是的，你可以这么简单理解，其实 ATT&CK 这个框架，刚开始就是在杀伤链的基础上，提供了更加具体的、更细颗粒度的战术、技术、文档、工具、描述等等。

因此，如果要深入学习红队，平常可以多逛逛去 ATT&CK 框架官网。

接下来，我们来重点看一下 ATT&CK for Enterprise。

这张图里面，横轴代表是战术（Tactics），最新版本里横轴包括的战术有 12 个（原来是 10 个），纵轴代表的是技术（Techniques）有 156 个技术 272 个子技术。

前面我们提到了，它是基于 TTPs 方法来描述的，所以非常标准和通用。

在实际的红蓝对抗、威胁情报分析、安全差距评估等工作场景中，都可以用得上。

另外补充一点，这 12 个战术从左到右，也是按照网络杀伤链的路径来编排的，包括初始访问、执行、持久化、权限提升、防御绕过、凭证访问、发现、横向移动、收集、命令控制、数据获取、影响。

每一个战术下面包括很多技术，每个技术有详细的过程，包括独立的编号、描述、工具等。