仅聊一聊我自己眼中的红队,如有异议请指教。
关于红队
红队:通常指攻防演习中的攻击方
红队评估
在聊红队结构的组成之前我们需要了解红队评估的简单流程和技术手段。
红队评估流程
1.打点:通过弱口令、文件上传、命令执行、社工等技术手段对Web、App、IoT等一切暴露在互联网的服务和个人PC等防守方内部机器进行外部攻击,并尝试获取内网入口权限也就是当前被攻击服务所在系统的权限;
2.横向:获取到内网入口权限后对当前主机的开放端口、运行进程、配置密码、内网网段、域等一切有价值的信息进行收集,并对收集到的信息进行分析、关联、整合并结合相关的技术手段进一步的对内网主机进行漏洞发现、权限和数据获取等操作;
3.报告:将红队评估过程中所涉技术手段、安全风险、所涉单位等信息进行梳理,整合成文档报告用于项目交付和复盘总结。
红队结构
在一般的攻防演习活动中所需的红队人员数为三人,三人分别是:队长、渗透师、横向师。
红队人员都应涉及较为全面的技术领域,除此之外可以细分三人的技术领域和应有的能力。
队长:技术综合能力较强,应具备较好的团队协作能力、组织能力、应变能力;
渗透师:前渗透能力较强,在演习过程中需能“稳、狠、准、快”的寻找到边界点并进行突破(打点);
横向师:后渗透能力较强,根据渗透师的打点结果进行梳理,横向渗透其他内网服务和主机,全面的评估内网的安全体系。
红队建设
建立一支优秀的红队所需:人员、武器库、漏洞库
1.人员:招聘、公司内部转换、人才培养;
2.武器库建设:将红队评估参与的人员比喻成一线,那么建设武器库的人员就是二线,二线人员不需要直接参与到红队评估中,但需要起到支撑作用;例如将一线人员的需求进行工具、脚本化的转变;
3.漏洞库建设:同上所述漏洞库的建设也离不开人员,除了红队评估人员自我产出的通用漏洞积累除外,还需要一批专门做漏洞研究的人员作为二线进行漏洞研究,以便于一线评估人员更“快速”的进行攻防。
准备工作
协作平台
俗话说的好“三个臭皮匠顶一个诸葛亮”,红队评估这件事情从来都不是一个人的“战斗”,它需要团队协作共同完成。
每个红队成员都有自己较为熟悉的技术领域,这也就导致了每个人所“打”的点和所“看”的面不同,要想全面的进行评估工作就需要协作平台将每个人的信息进行汇总便于每个人都能接触到“不同面”的信息。
协作平台的推荐:
1.Codimd - https://github.com/hackmdio/codimd (Markdown文档协作平台)
2.CobaltStrike - https://www.cobaltstrike.com (后渗透团队协作平台)
成员
1.队长:与主办方沟通了解比赛时间、比赛规则,有时可针对“规则漏洞”制定攻击方案;搭建所需的协作平台;
2.渗透师:应将前渗透中的通用技术手段(外网开放端口、服务弱口令扫描、信息泄露)转换为工具进行一键批量自动化,也可在规则允许的情况下准备对应的扫描器(通常目标几百、上千个的情况下没有精力一个一个的手工查看);
3.横向师:应将内网的弱口令扫描、端口扫描、高危漏洞扫描等操作转换为工具进行一键批量自动化,避免在后期的横向中浪费大量的不必要时间。
评论