1、免责声明
本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究,谨遵守国家相关法律法规,请勿用于违法用途。
2、内容速览
红队概念
红队(Red Team)即安全团队最大化模拟真实世界里面的入侵事件,采用入侵者的战术、技术、流程,以此来检验蓝队(Blue Team)的威胁检测和应急响应的机制和效率,最终帮助企业真正提高整个安全建设、安全运营、安全管理等能力。
红队VS渗透测试
在企业内部的一般的渗透测试,很多就是点到为止,并不会被授予很多的权限。而红队整体来看,在合法合规的前提下,在充分沟通的前提下,授权范围会更加广泛,真实程度更加贴合实战。
红队VS蓝队
无论是Red Team 还是Blue Team,这些概念都来自真实的战争领域。
作为红队,是以攻击方的方式做安全工作的,常见的技术概念有APT攻击、渗透测试、零日漏洞、武器开发。
作为蓝队,则以防御方的方式做安全工作,是安全合规、安全运营、应急响应、态势感知、威胁情报等等。
红队常用模型框架
1. 渗透测试执行标准PTES
PTES中文全名【渗透测试执行标准】,他是由2010年由业界网络安全专家共同发起并定义的规范,目标是希望为企业和安全服务商,指定整个渗透测试的标准流程,方便大家工作和沟通。
PTES 包括 7 个标准步骤,即前期交互、情报收集、威胁建模、漏洞分析、渗透利用、报告输出等,一般的渗透测试工作,基本都绕不开这些步骤,可以看成一个标准的工作流。
① 前期交互
前期交互阶段,我们得先拿到客户的授权,并且了解授权范围多少?渗透目标是谁?期望目标是什么?
这些都是前期交互阶段要沟通好的。
② 情报搜集
情报搜集阶段,即根据上面的授权、范围、目标等信息,开始进行一些情报搜集工作。
无论是主动搜集还是被动搜集,我们得知道对方开了哪个端口、提供了什么服务、这些服务的软件版本是什么、这些软件是否曾经出现过漏洞?
③ 威胁建模
哪些信息是真正有价值的?哪个口子用什么攻击方法?哪条攻击路径是最大可能的?
根据情报搜集的汇总,我们得制定出接下来的「作战计划」。
这些就是在威胁建模阶段要分析出来的。
④ 漏洞分析
结合以上情报搜集和威胁建模阶段,此阶段我们要判断出哪些漏洞是最有可能拿到对方权限,打通攻击路径的。
哪些漏洞的攻击效果最佳?
哪些漏洞有最新的工具?
哪些漏洞需要自研渗透代码?
⑤ 渗透利用
前面 4 个阶段都不算真正 Hack 进目标系统,而这个阶段则是真正对目标进行渗透攻击,通过漏洞对应的利用工具等,获取目标控制权。
⑥ 后渗透
在拿到控制权限之后,为了避免对方发现,还需要进行后渗透,实现更持久的控制,更深层次地执行任务。
比如进程迁移、隧道建立、数据获取、擦除痕迹等。
⑦ 报告输出
最后阶段就是输出一份安全报告,即写明渗透测试工作中,企业 IT 基础系统所存在的漏洞和风险点。
以上便是 PTES 渗透测试执行标准。
2.网络杀伤链Cyber Kill Chain
网络杀伤链的英文全名是 Cyber Kill Chain,这是 2011 年洛克希德马丁公司提出的网络攻击模型。
跟真实世界的入侵者,对一个目标系统进行攻击的每个阶段都是一一映射的。
这里也分为 7 个步骤:
第 1 步,目标侦察: 跟前面 PTES 情报收集阶段是差不多的;
第 2 步,武器研制: 编写各种工具/后门/病毒 Exp / Weapon / Malware;
第 3 步,载荷投毒: 通过水坑鱼叉等攻击方式将武器散播出去(投毒);
第 4 步,渗透利用,通过漏洞利用获取对方控制器;
第 5 步,安装执行,在目标系统将后门木马跑起来;
第 6 步,命令控制,对目标来进行持久化控制;
第 7 步,任务执行,即开始执行窃取数据、破坏系统等;
以上便是网络杀伤链,相比 PTES 更加贴合实战阶段。
3.MITRE ATT&CK框架
「ATT&CK 框架」,由 MITRE 公司于 2013 年提出来的一个通用知识框架,中文名叫做「对抗战术、技术、常识 」
ATT&CK 框架是基于真实网络空间攻防案例及数据,采用军事战争中的 TTPs (Tactics, Techniques & Procedures)方法论,重新编排的网络安全知识体系,目的是建立一套网络安全的通用语言。
举例,大家经常听到的什么 APT 攻击、威胁情报、态势感知等等,无论个人还是企业,理解上不尽相同,总会有一些偏差的。
有了 ATT&CK 框架,大家不会存在太大的偏差,红队具体怎么去攻击的,蓝队具体到怎么去防御的,使用 ATT&CK 矩阵可以将每个细节标记出来,攻击路线和防御过程都可以图形展现出来,攻防双方就有了一套通用语言了。
网络安全行业的组织、机构、厂家,每年都会造各种 ”新词“,但 MITRE 这个组织推的这套框架,兼具实战和学术价值,具备广泛的应用场景,对安全行业的发展推动是实实在在的。
在未来 5 年也好 10 年也好 ,它可能会成为一个事实上的标准。
这里看一下左上角图片,它整体有三个部分,一个是 PRE ATT&CK,一个是 ATT&CK for Enterprise,一个是 ATT&CK for Mobile,我们学习和研究时,核心放在 ATT&CK forEnterprise 即可。
大家可以看到,其实左边这里面,也有侦查、武器化、载荷传递、利用、控制、执行、维持等等阶段,是不是跟前面介绍的网络杀伤链是一样的呢?
是的,你可以这么简单理解,其实 ATT&CK 这个框架,刚开始就是在杀伤链的基础上,提供了更加具体的、更细颗粒度的战术、技术、文档、工具、描述等等。
因此,如果要深入学习红队,平常可以多逛逛去 ATT&CK 框架官网。
接下来,我们来重点看一下 ATT&CK for Enterprise。
这张图里面,横轴代表是战术(Tactics),最新版本里横轴包括的战术有 12 个(原来是 10 个),纵轴代表的是技术(Techniques)有 156 个技术 272 个子技术,它是基于 TTPs 方法来描述的,所以非常标准和通用。
在实际的红蓝对抗、威胁情报分析、安全差距评估等工作场景中,都可以用得上。
这 12 个战术从左到右,也是按照网络杀伤链的路径来编排的,包括初始访问、执行、持久化、权限提升、防御绕过、凭证访问、发现、横向移动、收集、命令控制、数据获取、影响。
每一个战术下面包括很多技术,每个技术有详细的过程,包括独立的编号、描述、工具等。
腾讯云开发者
