红队简介
红队是一种全范围的多层攻击模拟,旨在衡量公司的人员和网络、应用程序和物理安全控制,用以抵御现实对手的攻击。
在红队交战期间,攻击队员会制定攻击方案,以揭示潜在的物理、硬件、软件和人为漏洞。红队的参与也为坏的行为者和恶意内部人员提供了机会来破坏公司的系统和网络,或者损坏其数据。
渗透测试中只关注给定目标系统的漏洞,红队测试则完全不一样。
红队在测试过程中关注的是如何规划一条攻击路径来达到目的。在整个红队测试过程中不一定要也不一定会发现目标组织的漏洞,只要能达到目的,任何形式的攻击手段都可以使用,包括但不限于 web 或者操作系统漏洞、社会工程学、物理渗透、攻击上下游合作供应商等。
攻防演练人员规划
在一般的攻防演习活动中所需的红队人员数为三人,三人分别是:队长、渗透师、横向师。红队人员都应涉及较为全面的技术领域,除此之外可以细分三人的技术领域和应有的能力
代码语言:javascript复制队长:技术综合能力较强,应具备较好的团队协作能力、组织能力、应变能力;
渗透师:前渗透能力较强,在演习过程中需能“稳、狠、准、快”的寻找到边界点并进行突破(打点);
横向师:后渗透能力较强,根据渗透师的打点结果进行梳理,横向渗透其他内网服务和主机,全面的评估内网的安全体系。
协作平台
每个红队成员都有自己较为熟悉的技术领域 这也就导致了每个人所“打”的点和所“看”的面不同 要想全面的进行评估工作就需要协作平台将每个人的信息进行汇总便于每个人都能接触到“不同面”的信息。
协作平台的推荐
代码语言:javascript复制Codimd https://github.com/hackmdio/codimd (Markdown 文档协作平台)
https://shimo.im/ 石墨文档
腾讯协同文档
CobaltStrike https://www.cobaltstrike.com (后渗透团队协作平台)
一、红队攻击路径
首先,直接怼靶标系统肯定是很难进去的,而且很多靶标系统根本找不到,或者是非常难找到
只能在内网中访问,这就需要我们寻找突破口进入内网。
而且目标这么多,一个团队的话,需要进行分工合作。
刚开始,每人选择不同的目标进行突破,一旦找到突破口进入内网,则汇集团队之力一起打内网。
打入内网之后,进行内网横向渗透,寻找目标靶机。
打入内网通往靶标总的来说有三方面可以攻击:
代码语言:javascript复制Web挖洞打点
社工钓鱼
供应链攻击
这三个攻击面,我们可以同时分配不同的人员同步进行,比较重要的是Web 漏洞打点和社工钓鱼。
1、信息收集
- 收集源代码信息
- 查看目标单位的控股单位网络关系
- 收集重要方案文档
- 招投标信息,摸排供应链信息
- 端口探测、C段探测
- 邮件账户收集
2、获得突破口
- 第三方产品供应商
- 网络联通的下属单位
- 办公网终端
- VPN、Citrix虚拟机桌面等远程接入
- 邮件服务器
- 存在漏洞的互联网服务
3、内网渗透
- OA、ERP、财务等内部系统漏洞
- 堡垒机存在漏洞风险
- 域控服务器存在漏洞风险
- WebShell、反弹Shell、免杀后门混合使用
- 双网卡服务器或网关
- 源代码服务器存在漏洞
4、拿下目标
- 拿下核心系统
- 拿下核心网
- 控制数据库
二、蓝队防守思路
1、准备阶段
2、自查整改阶段
3、攻防预演习阶段
4、正式演习阶段
三、“护网” 网络安全攻防实战演习评分规则
1、攻击方评分规则
2、防守方评分规则
3、零日漏洞评分标准
