1. 介绍
网络安全是白帽黑客与黑帽黑客之间永无止境的竞赛。随着网络世界的威胁不断演变,企业对能够使其尽可能为真实攻击做好准备的更专业服务的需求也在增加。
传统的安全服务,如漏洞评估和渗透测试可以,很好地概述企业的技术安全状况,但可能会忽略真实攻击者可以利用的其他方面。从这个意义上说,我们可以认为传统的渗透测试擅长揭示漏洞,以便企业采取主动措施,但可能无法教会企业如何应对一个有动机的对手正在进行的实际攻击。
房间目标:
- 了解红队行动的基础知识
- 识别红队行动中涉及的主要组成部分和利益相关者
- 理解红队行动与其他网络安全服务之间的主要区别
房间前提条件:
在开始本房间之前,需要熟悉一般的黑客技术。虽然并非绝对必要,但建议完成初级渗透测试人员学习路径。
2. 漏洞评估与渗透测试的局限性
漏洞评估
漏洞评估是安全评估的最简单形式,其主要目标是在网络中的尽可能多的系统中识别尽可能多的漏洞。为了有效实现这一目标,可能会做出一些妥协。例如,攻击者的机器可能会被添加到现有安全解决方案的白名单中,以避免干扰漏洞发现过程。这在逻辑上是合理的,因为目标是查看网络中的每一台主机,并单独评估其安全,状况同时为企业提供关于需要集中精力进行修复工作的信息。
总结来说,漏洞评估侧重于将主机作为独立实体进行漏洞扫描,以便识别安全缺陷,并部署有效的安全措施,以优先保护网络。大部分工作可以通过自动化工具完成,并且不需要操作人员具备太多技术知识。
例如,如果你对一个网络进行漏洞评估,通常会尝试扫描尽可能多的主机,但不会真正尝试利用任何漏洞。
渗透测试
除了扫描每一台主机的漏洞外,我们通常还需要了解这些漏洞对整个网络的影响。渗透测试在漏洞评估的基础上增加了额外的步骤,通过让渗透测试人员探索攻击者对整体网络的影响,从而提供更深入的信息。这些额外步骤包括:
- 尝试利用每个系统上发现的漏洞。这一点非常重要,因为有时一个漏洞可能存在于某个系统中,但由于存在有效的补偿性控制措施,实际上无法被利用。它还允许我们测试是否可以利用检测到的漏洞来攻陷特定主机。
- 在任何被攻陷的主机上执行后渗透任务,以便我们查找是否可以从这些主机中提取有用信息,或者是否可以利用它们跳转到之前无法直接访问的其他主机。
渗透测试可能会从扫描漏洞开始,就像常规的漏洞评估一样,但它进一步提供了攻击者如何将漏洞串联起来以实现特定目标的信息。虽然其重点仍然是识别漏洞并建立保护网络的措施,但它还将整个网络视为一个生态系统,并考虑攻击者如何从其组件之间的交互中获利。
如果我们使用前面提到的相同网络进行渗透测试,除了扫描网络中所有主机的漏洞外,我们还会尝试确认这些漏洞是否可以被利用,以展示攻击者可能对网络产生的影响:
通过分析攻击者可能如何在我们的网络中移动,我们还可以获得关于可能绕过安全措施以及我们在一定程度上检测真实威胁行为者的基本洞察。然而,这种洞察是有限的,因为渗透测试的范围通常很广泛,而且渗透测试人员通常不太在意制造大量噪音或在安全设备上产生大量警报,因为这类项目的时间限制通常要求我们在短时间内检查网络。
高级持续性威胁以及为什么常规渗透测试并不足够
尽管我们提到的传统安全服务能够发现大多数技术性漏洞,但这些流程在有效帮助公司抵御真实攻击者方面存在局限性。这些局限性包括:
因此,渗透测试的某些方面可能与真实攻击存在显著差异,例如:
- 渗透测试很“吵闹”:通常,渗透测试人员不会花费太多精力试图保持隐蔽。与真实攻击者不同,他们并不介意被轻易发现,因为他们是被雇佣来在尽可能多的主机上发现尽可能多的漏洞的。
- 非技术攻击向量可能被忽视:基于社会工程学或物理入侵的攻击通常不会包含在测试范围内。
- 安全机制的放松:在进行常规渗透测试时,为了提高效率,可能会暂时禁用或放松某些安全机制,以便渗透测试团队能够顺利开展工作。尽管这听起来可能有些反直觉,但必须记住,渗透测试人员的时间是有限的。因此,通常希望他们不要浪费时间去寻找绕过入侵检测系统/入侵防御系统(IDS/IPS)、Web应用防火墙(WAF)、入侵欺骗或其他安全措施的复杂方法,而是专注于审查关键技术基础设施中的漏洞。
另一方面,真实攻击者不会遵循任何道德准则,他们的行动几乎不受限制。如今,最突出的威胁行为者被称为高级持续性威胁(APT),这些通常是技术高超的攻击者群体,通常由国家或有组织的犯罪集团资助。他们主要针对关键基础设施、金融机构和政府机构。他们被称为“持续性”的原因在于,这些攻击团伙的操作可以在被攻陷的网络中长时间不被发现。
如果一家公司受到APT的影响,它是否能够有效应对?如果攻击者已经在网络中潜伏了几个月,他们是否能够检测到攻击者用来获取和维持访问权限的方法?如果最初的访问权限是因为会计部门的约翰打开了一个可疑的电子邮件附件而获得的呢?如果涉及到了零日漏洞利用呢?之前的渗透测试是否为我们做好了应对这些情况的准备?
为了提供一种更贴近现实的安全方法,红队行动应运而生。
问答时间
- 漏洞评估是否能让我们准备好检测我们网络上的真实攻击者?(是/否)
Nay - 在进行渗透测试时,你会担心被客户检测到吗?(是/否)
Nay - 如今,技术娴熟且高度有组织的攻击者群体被称为……
Advanced Persistent Threats
3. 红队行动
为了跟上不断出现的威胁,红队行动被设计为从常规渗透测试转变为一个能够让我们清晰了解我们的防御团队在检测和应对真实威胁行为者方面的能力的过程。它不会取代传统的渗透测试,而是通过专注于检测和响应而非预防来补充它们。
“红队”一词来源于军事领域。在军事演习中,一个小组会扮演红队的角色,模拟攻击手段以测试防御小组(通常称为蓝队)对已知对手策略的反应能力。将其转化为网络安全领域,红队行动包括模拟真实威胁行为者的战术、技术、程序(TTPs),以便我们可以衡量我们的蓝队对它们的响应效果,并最终改进现有的任何安全控制措施。
每次红队行动都会从明确目标开始,这些目标通常被称为“王冠上的宝石”或“旗帜”,范围从攻陷特定的关键主机到从目标中窃取某些敏感信息。通常,蓝队不会被告知此类演习,以避免在其分析中引入任何偏见。红队将尽其所能实现目标,同时保持不被发现,并规避现有的安全机制,如防火墙、杀毒软件、终端检测与响应(EDR)、入侵防御系统(IPS)等。请注意,在红队行动中,并不是网络中的所有主机都会被检查漏洞。真实攻击者只需要找到一条通往目标的路径,并且对可能被蓝队检测到的嘈杂扫描不感兴趣。
以之前提到的同一个网络为例,在一个目标是攻陷内网服务器的红队行动中,我们会计划一种方法来实现我们的目标,同时尽量减少与其他主机的交互。与此同时,蓝队检测和相应地应对攻击的能力可以被评估:
需要注意的是,此类演习的最终目标永远不应是让红队“击败”蓝队,而是模拟足够多的战术、技术、程序(TTPs),以便蓝队能够学会如何应对真实进行中的威胁。如有需要,他们可以调整或增加有助于提高检测能力的安全控制措施。
红队行动还通过考虑多个攻击面来改进常规渗透测试:
- 技术基础设施:与常规渗透测试类似,红队会尝试发现技术性漏洞,但更注重隐蔽性和规避。
- 社会工程学:通过网络钓鱼活动、电话或社交媒体针对人员,诱使他们泄露本应保密的信息。
- 物理入侵:使用诸如锁匠技术、RFID克隆、利用电子门禁设备的弱点等手段进入设施的限制区域。
根据可用资源,红队演习可以有多种运行方式:
- 全面行动:模拟攻击者的完整工作流程,从最初的入侵直到最终目标的实现。
- 假设入侵:从假设攻击者已经控制了一些资产开始,尝试从那里实现目标。例如,红队可能会获得某些用户的凭据,甚至是内部网络中的一台工作站的访问权限。
- 桌面推演:红队和蓝队在桌面上讨论场景,以评估他们将如何理论性地应对某些威胁。这种形式适合于进行实时模拟可能较为复杂的场景。
问答时间
- 红队行动的目标通常被称为旗帜或……
crown jewels - 在红队行动中,会模拟攻击者常用的手段对目标进行攻击。这些手段通常被称为TTP。TTP代表什么?
Tactics, Techniques and Procedures - 红队行动的主要目标是尽可能多地在尽可能多的主机上检测漏洞。(是/否)
Nay
4. 参与行动的团队及其职能
在红队行动中,涉及多个因素和人员。尽管每个人在参与行动时都有自己的思维方式和方法,但每次行动都可以划分为三个团队或小组。以下是简要表格,展示了每个团队及其职责的简要说明。
| 团队 | 定义 |
|---|---|
| 红队(Red Cell) | 红队是红队行动的攻击部分,负责模拟针对特定目标的战略和战术响应。 |
| 蓝队(Blue Cell) | 蓝队是红队的对立面,包括所有负责防御目标网络的组件。蓝队通常由蓝队成员、防御者、内部员工以及组织管理层组成。 |
| 白队(White Cell) | 在行动期间,白队作为红队活动与蓝队响应之间的裁判。控制行动环境/网络。监督对交战规则(ROE)的遵守情况。协调实现行动目标所需的活动。将红队活动与防御行动进行关联。确保行动的进行不会偏向任何一方。 |
这些定义来源于 redteam.guide。
这些团队或小组还可以进一步细分为行动层级结构。
由于这是一个以红队为导向的场景,我们将重点关注红队的职责。以下是关于红队成员的角色和职责的表格。
| 角色 | 目的 |
|---|---|
| 红队负责人(Red Team Lead) | 在高层次上规划和组织行动——分配任务给助理负责人和操作人员。 |
| 红队助理负责人(Red Team Assistant Lead) | 协助团队负责人监督行动操作和操作人员。如有需要,也可以协助撰写行动计划和文档。 |
| 红队操作员(Red Team Operator) | 执行团队负责人分配的任务。解读并分析团队负责人提供的行动方案。 |
与大多数红队职能一样,每个团队和公司都会为每个团队成员设定自己的结构和角色。上述表格仅作为每个角色典型职责的一个示例。
问答时间
- 哪个小组负责行动中的进攻性操作?
Red Cell - 可信代理被认为属于哪个小组?
White Cell
5. 行动结构
红队的一个核心职能是对手模拟。虽然并非强制性要求,但它通常被用来评估真实对手在环境中会使用他们的工具和方法做些什么。红队可以使用各种网络杀伤链(Cyber Kill Chain)来总结和评估行动的步骤和程序。
蓝队通常使用网络杀伤链来映射行为并分解对手的行动路径。红队可以借鉴这一思路,将对手的战术、技术、程序(TTPs)映射到行动的各个组成部分。
许多监管和标准化机构已经发布了它们的网络杀伤链。每种杀伤链大致遵循相同的结构,有些会更深入,或者以不同的方式定义目标。以下是一些常见的标准网络杀伤链:
- 洛克希德·马丁网络杀伤链(Lockheed Martin Cyber Kill Chain)
- 统一杀伤链(Unified Kill Chain)
- Varonis 网络杀伤链(Varonis Cyber Kill Chain)
- 活动目录攻击周期(Active Directory Attack Cycle)
- MITRE ATT&CK 框架(MITRE ATT&CK Framework)
在本课程中,我们将经常引用“洛克希德·马丁网络杀伤链”。与其他杀伤链相比,它是一个更标准化的版本,并且在红队和蓝队中被广泛使用。
洛克希德·马丁杀伤链专注于边界或外部入侵。与其他杀伤链不同,它没有提供内部移动的深入分解。你可以将这个杀伤链视为对所有行为和操作的总结。
杀伤链的组成部分在下表中进行了分解。
| 技术 | 目的 | 示例 |
|---|---|---|
| 侦察(Reconnaissance) | 获取目标信息 | 收集电子邮件、开源情报(OSINT) |
| 武器化(Weaponization) | 将目标与漏洞利用相结合。通常会产生可交付的有效载荷 | 带有后门的漏洞利用、恶意办公文档 |
| 投递(Delivery) | 武器化功能将如何传递给目标 | 电子邮件、网络、USB |
| 利用(Exploitation) | 利用目标系统执行代码 | MS17-010、Zero-Logon 等 |
| 安装(Installation) | 安装恶意软件或其他工具 | Mimikatz、Rubeus 等 |
| 命令与控制(Command & Control) | 通过远程中央控制器控制被攻陷的资产 | Empire、Cobalt Strike 等 |
| 针对目标的行动(Actions on Objectives) | 任何最终目标:勒索软件、数据泄露等 | Conti、LockBit2.0 等 |
问答时间
- 如果对手在目标机器上部署了 Mimikatz,他们在洛克希德·马丁网络杀伤链中处于哪个阶段?
Installation - 哪种技术的目的是利用目标系统执行代码?
Exploitation
6. 红队行动概述
我们在讨论的所有内容在执行红队行动时都会整合在一起。为了更好地理解各个组成部分和利益相关者之间的互动,我们将分析一个简化的行动示例。点击绿色的“查看网站”按钮继续。
请注意,网络杀伤链自然地与这个练习相契合:我们从侦察阶段开始,尽可能多地收集关于目标的情报,然后通过发送带有恶意附件的网络钓鱼邮件来进行武器化和投递,接着利用本地漏洞提升BOB-PC上的权限并安装工具以转储密码哈希值并执行横向移动,最后在目标上建立连接,完成针对目标的行动。
问答时间
点击“查看网站”按钮,按照示例行动获取旗帜。THM{RED_TEAM_ROCKS}, 一路点击Next即可
7. 总结
本课程提供了一个关于红队行动的简化概述。主要概念、组成部分和利益相关者已经被介绍,以便对这类演习有一个初步的了解。在接下来的课程中,你将学习到真实行动背后的所有规划,以及真实攻击者在过程中会使用到的许多酷炫技术,包括如何利用威胁情报为自己谋利,规避现代主机中存在的安全机制,执行横向移动,并尽可能避免被检测到。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
