ᴀᴜᴛʜᴏʀ: ᴠᴜʟᴋᴇʏ_ᴄʜᴇɴ

ᴀʙᴏᴜᴛ | ʟɪɴᴋs | ᴀssɪsᴛ ᴛᴏᴏʟ | ʀɢᴘᴇʀsᴏɴ | ʙɪɴᴀʀʏ ʟᴇᴀʀɴɪɴɢ

我眼中的红队

我眼中的红队

碎语闲谈,作为一名多年的十八线红队选手一直想写一篇文章来总结下“我眼中的红队”,之前写过一点,因文笔拙劣遂删除,起本文重写。

什么是红队

现如今是数字化时代,万物联网创造了一个新的空间,即网络空间,网络空间的安全也上升到了国家安全层面,并且网络已经成为国家继海、陆、空、天之后的第五大主权领域空间。

正是如此,网络空间也就如传统领域空间一样,需要通过演习对抗的模式,提升网络安全防御能力,以攻促防,知攻善防。

攻防双方在演习中通常称之为红队(Red Team)和蓝队(Blue Team),红队(Red Team)即攻击方,穷尽方法攻击以达到获取演习靶标权限的目的。

红队攻击流程

红队的攻击流程大致分为4个步骤,分别是制定战术、外网打点、内网横向、结果报告。

制定战术:根据演习规则及目标结合自身优点制定攻击战术,以保证演习过程不盲目、不混乱,有条不紊的完成演习;

外网打点:通过漏洞、供应链、社工、近源等手段对目标暴露面进行攻击,以此打开进入目标内网的入口;

内网横向:通过信息收集、分析、关联,结合相关漏洞及密码对内网可达网段机器进行横向攻击,以此发现更多脆弱点或接近内网的演习靶标;

结果报告:将红队攻击过程、所涉技术手段、攻击痕迹等信息进行整理,形成文档提交至演习平台,并且便于后续复盘。

红队成员结构

通常在攻防演习中,主办方都是要求现场红队成员有三位,按照我的理解这三位应该是:队长、渗透师、横向师。

队长:技术综合能力较强,具备较好的团队协作、组织、应变、沟通能力,能有条理的安排演习任务,并且在演习结果上报后有争议时与裁判进行沟通;

渗透师:前渗透能力较强,也就是侧重于信息收集、Web漏洞黑盒挖掘及代码审计能力,在拿到目标信息后能够快速的找到脆弱资产,撕开暴露面入口以供后渗透;

横向师:后渗透能力较强,也就是侧重于木马免杀、权限维持及漏洞利用能力,当具有暴露面入口时能够通过它对内网进行持续性的脆弱点发现。

当然,目标往往是美好的,现实却是残酷的,在演习中真正的红队成员都应该具备这三种能力,才能应对这万变的局面。

红队基础设施

红队的基础设施,我将其分为三大块:人员、武器库、漏洞库。

人员:万事皆以人为本,红队的基础设施也离不开人,优秀的伙伴可以让你在演习过程中更舒心,而人员通常是最难解决的,大部分都是通过外部招聘的形式引入技术人才,或培养初入职场的学生;

武器库:武器库在我的理解中,就是一切皆自动化或自主化,信息收集、邮件钓鱼、木马免杀的自动化,以及C2、Webshell管理工具的自主化,这都是最基础的一些;

漏洞库:漏洞库即0day、1day这些漏洞的利用,例如SQL注入不应只是注入,而是要结合SQL注入直接获取目标站点权限,无论你是结合SQL注入获取密码再进入后台进行文件上传获取权限,还是SQL注入直接堆叠执行命令获取权限,简而言之,漏洞只是开始,通过漏洞获取权限才是漏洞库所需要的,这也是大家通常所说的漏洞武器化。

红队结果复盘

在进行一场演习之后,红队应结合演习结果进行复盘,主要围绕这几个方面:演习结果的总结、红队成员的分工、演习过程的问题。

演习结果的总结:对演习上报的结果进行总结,梳理出攻击技术及相关路径;

红队成员的分工:明确每个成员的分工,并且结合成果来看分工的落实程度;

演习过程的问题:总结演习过程中发现的问题,找出问题产生的原因,有解决方案的提出解决方案,没有的就复盘会上进行交流。