介绍
红队:
-
任务是模仿入侵者的TTP(战术和技术手段);
-
目的是测出公司应对入侵事件的真实状况,查找出安全计划中的问题及员工对安全项目理解的不足之处,最终目的是提高员工对安全计划的理解;
-
尽可能不被发现,不对内网进行大规模漏扫;
-
测试时间周期较长,两周-六个月;
-
模拟真实的攻击、社会工程学、远控木马等;
-
模拟攻击的结果是要针对制定的安全技术。
渗透测试与红队的区别如下图所示:
TTD--检测时效--从入侵事件的初始发生到安全分析分院检测并开始处理入侵事件之间的时间。
TTM--缓解时效--测试记录的次要指标。
第一章 赛前准备--安装
关注攻击手法
高级威胁组织的TTP(Tactics、Techniques & Procedures)--策略、技巧、程序
火眼(FireEye)威胁情报分析报告:该威胁组织使用推特作为C2 服务器(Command and Contr
ol--命令控制服务器),也使用了github 作为存储加密图片和经过信息隐写文件的仓库。
https://www2.fireeye.com/rs/848-DID-242/images/rpt-apt29-hammertoss.pdf
APT攻击基本介绍
APT攻击,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。 这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。
由MITRE 公司提出的ATT&CK 矩阵( Adversarial Tactics, Techniques, andCommon Knowledge matrix ) 是对APT 攻击的详细分解。矩阵中是一个在各种攻击场景中使用的不同 TTP的大集合。
Windows:https://attack.mitre.org/matrices/enterprise/windows/
Linux:https://attack.mitre.org/matrices/enterprise/linux/
macOS:https://attack.mitre.org/matrices/enterprise/macos/
windows版如下所示:
APT组织与方法持续更新列表http://www.bit.ly/2GZb8eW
这个谷歌文件列举了世界多个国家的疑似APT 组织及其使用的工具集。可以参考该文档模拟不同的攻击,可能不会使用相同的工具,但是可以构建类似的工具来做同样的攻击。
假定攻破练习
要进入一种思维状态,即我们总是蹲守,假设威胁就潜伏在周围,我们需要时刻寻找异常。
红队的终点是检测或给出措施而不是漏洞。
假定突破练习(Assumed breach exercise)
在一个假定突破练习中,总会遇到一些 0-day。
在这些场景中,红队与公司内部的有限团队一起工作,在他们的服务器上执行一个定制的恶意软件
payload。这个payload 应该尝试以多种方式连接,确保绕过常见的AV(avast--高级杀毒软件),并允许额外的payload 从内存中执行。
设定行动
-
在进攻第一个系统之前,需要确定红队活动范围。
-
在红队活动中,从几个目标开始,如下所示但不仅限于:
-
最终的目标是什么?只是 APT 检测吗?是要在服务器上获取标志吗?是从数据库中获取数据吗?
或者只是为了得到检测时效(TTD)指标? -
是否有我们想要复制的公开活动?
-
你会用什么技巧?我们讨论过用MITRE ATT&CK 矩阵,但是在每个类别中确切的技术是什么?
-
客户希望你使用什么工具?是一些诸如 Metasploit、Cobalt Strike、DNS Cat 这样的商业攻击工具软件?还是自制的定制化工具?
被抓住也是评估的一部分。这表明客户的防御如他们预期的一样在起作用/没有起作用。
设置外部服务器
-
使用 AWS 的Lightsail 服务器;
-
渗透测试框架 (PTF);
-
建立强大的IPTables 规则;
-
Red Baron是 Terraform 的一组模块和自定义/第三方提供者,它可以为红队自动创建弹性、一次性、安全和灵活的基础设施。
注:明天进行外部服务器及相关工具实操。