05-红队评估中的对抗策略与实战技巧.pdf

《05-红队评估中的对抗策略与实战技巧.pdf》由会员分享，可在线阅读，更多相关《05-红队评估中的对抗策略与实战技巧.pdf（38页珍藏版）》请在三个皮匠报告上搜索。

1、红队评估中的对抗策略与实战技巧陈殷01红队评估生命周期介绍02关键战术和技术技巧分享03典型红队评估案例分享01红队评估生命周期介绍ATT&CK全称为Adversarial Tactics,Techniques,and Common Knowledge（对抗性战术、技术和公共知识库）。它提供了一个基于真实世界观察的对抗技术知识库，专注于攻击者在操作过程中如何与系统交互，反映了攻击者攻击生命周期的各个阶段以及不同平台使用的各种技术。ATT&CK框架基于攻击者的视角，描述了网络攻击中的战术、技术和过程（TTPs），并被广泛用于网络安全领域，以帮助防御者分析攻击者行为，构建威胁情报，进行对手仿真和红

2、队行动，以及评估与工程决策。ATT&CK Matrix for Enterprise 参考来源：https:/attack.mitre.org红队评估概述红队评估是一种模拟攻击者的安全评估方法，以攻击者视角对网络、基础设施、业务系统等进行模拟攻击，持续暴露防控薄弱点并协助改进，以提升企业安全的防御、监测和应急处置的整体安全水平。红队的一个生命周期为数周或更久，比较灵活且无固定时间限制；渗透测试为几天一周左右，需要指定目标范围和测试时间。红队可以进行深入的后渗透，社会工程学等等贴近真实攻击的手法；国内的渗透测试还是以发现漏洞为主，一般情况下不进行后渗透等操作。红队注重测试的隐蔽性，尽可能的绕过现

3、有的防御系统，拿到目标权限；渗透测试一般会提前告知防御团队且设置白名单无需隐藏测试行为，有限的时间内尽可能地发现更多漏洞。在时间上在深度上在实施过程上A simple model that works for consulting or internal corporate Red Teams.02关键战术和技术技巧分享资源开发TA0042建立可以用来支持行动的基础设施，包括基础设施、帐户等。自动化脚本编排实现自动化测试/流程化处理武器自动化或自主化，信息收集、邮件钓鱼、木马免杀的自动化，以及C2、Webshell自主管理工具。流量加密：wireguard+混淆协议/或者其他的vpn协议服务器

4、登录限制：ip限制+公钥限制防火墙策略：敏感服务和端口，只由统的跳板服务器接入巡检：定期的安全检查和渗透测试基础设施的匿名性（redteam服务器和域名等信息资产）红队工具的匿名性（减少TTP被追踪的可能性）网络通讯的匿名性（代理，VPN，物联卡等）网络身份的匿名性（邮箱，社交账号，虚拟身份等）多级加密代理协议伪装方案部分场景下的需求：1、加密传输（众所周知，明传输等于没挂代理）2、多级代理（众所周知，层代理约等于没挂代理）常用的SOCKS5协议虽然支持代理，但其传输过程是明文的，而TLS代理虽然提供了加密，但在速度上存在不足。因此我们选择使用WireGuard协议进行数据传输。WireGua

5、rd协议在两端都实现了加密，并且基于UDP协议，既满足了加密的需求，也保证了传输速度。然而，WireGuard协议本身存在两个问题：1.不支持级联：WireGuard协议本身并不支持级联，这限制了其在多级代理场景中的应用。2.易被识别：WireGuard协议的特征较为明显，容易被识别和封锁。PS：级联指的是将多个代理服务器串联起来使用多级加密代理协议伪装方案级联解决：通过在中转服务器（例如A服务器）上使用iptables进行端口转发，可以实现多级代理的级联功能。这样流量可以在不同的代理服务器之间无缝传递，而不需要WireGuard协议本身支持级联。流量伪装：使用swgp-go工具将WireGu

6、ard流量伪装成普通的UDP流量。swgp-go是一个简单的WireGuard代理，可以减少WireGuard流量的开销，并且能够伪装流量，使其不易被识别和封锁。C2隐藏通信三板斧Domain Fronting：通过大型可信CDN或云服务提供商隐藏用户访问的目标服务器。Domain Hiding：通过各种技术手段隐藏或混淆域名信息（适用国外）。Domain Borrowing：使用合法且广泛信任的域名作为掩盖，使审查系统难以区分合法与非法流量。借助码云，仿冒微软，回连某电视台网站的RT样本分析 https:/ GPT自动编排语句/发现域名对应关系利用第三方引擎探测C段资产情况利用第三方服务平台