2024HW红队视角下的防御体系突破.docx

5

5

红队视角下的防御体系突破HW2024

目 录

第一章 什么是红队 1

第二章 红队三板斧——攻击的三个阶段. 3

一、第一阶段：情报收集. 3

二、第二阶段：建立据点. 4

三、第三阶段：横向移动. 5

第三章 红队也套路——常用的攻击战术. 7

一、利用弱口令获得权限. 7

二、利用社工来进入内网. 8

三、利用旁路攻击实施渗透. 10

四、秘密渗透与多点潜伏. 11

第四章 红队三十六计——经典攻击实例. 14

6一、浑水摸鱼——社工钓鱼突破系统. 14

6

PAGE

PAGE10

7二、声东击西——混淆流量躲避侦察. 17

7

三、李代桃僵——旁路攻击搞定目标. 19

四、顺手牵羊——巧妙种马实施控制. 21

五、暗渡陈仓——迂回渗透取得突破. 23

第五章 红队眼中的防守弱点. 25

一、资产混乱、隔离策略不严格. 25

二、通用中间件未修复漏洞较多. 26

三、边界设备成为进入内网的缺口. 26

四、内网管理设备成扩大战果突破点. 26

第一章 什么是红队

红队，一般是指网络实战攻防演习中的攻击一方。

红队一般会针对目标系统、人员、软件、硬件和设备同时执行的多角度、混合、对抗性的模拟攻击；通过实现系统提权、控制业务、获取数据等目标，来发现系统、技术、人员和基础架构中存在的网络安全隐患或薄弱环节。

红队人员并不是一般意义上的电脑黑客。因为黑客往往以攻破系统，获取利益为目标；而红队则是以发现系统薄弱环节，提升系统安全性为目标。此外，对于一般的黑客来说，只要发现某一种攻击方法可以有效地达成目标，通常就没有必要再去尝试其他的攻击方法和途径；但红队的目标则是要尽可能地找出系统中存在的所有安全问题，因此往往会穷尽已知的“所有”方法来完成攻击。换句话说，红队人员需要的是全面的攻防能力，而不仅仅是一两招很牛的黑客技术。

红队的工作也与业界熟知的渗透测试有所区别。渗透测试通常是按照规范技术流程对目标系统进行的安全性测试；而红队攻击一般只限定攻击范围和攻击时段，对具体的攻击方法则没有太多限制。渗透测试过程一般只要验证漏洞的存在即可，而红队攻击则要求

实际获取系统权限或系统数据。此外，渗透测试一般都会明确要求禁止使用社工手段（通过对人的诱导、欺骗等方法完成攻击），而红队则可以在一定范围内使用社工手段。

还有一点必须说明:虽然实战攻防演习过程中通常不会严格限定红队的攻击手法，但所有技术的使用，目标的达成，也必须严格遵守国家相关的法律和法规。

在演习实践中，红队通常会以3人为一个战斗小组，1人为组长。组长通常是红队中综合能力最强的人，需要较强的组织意识、应变能力和丰富的实战经验。而2名组员则往往需要各有所长，具备边界突破、横向移动（利用一台受控设备攻击其他相邻设备）、情报收集或武器制作等某一方面或几个方面的专长。

红队工作对其成员的能力要求往往是综合性的、全面性的。红队成员不仅要会熟练使用各种黑客工具、分析工具，还要熟知目标系统及其安全配置，并具备一定的代码开发能力，以便应对特殊问题。

第二章 红队三板斧——攻击的三个阶段

红队的攻击并非是天马行空的撞大运，而是一个有章可循、科学合理的作战过程。一般来说，红队的工作可分为三个阶段：情报收集、建立据点和横向移动。我们也常将这个三个阶段称为红队工作的“三板斧”。

一、第一阶段：情报收集

当红队专家接到目标任务后，并不会像渗透测试那样在简单收集数据后直接去尝试各种常见漏洞，而是先去做情报侦察和信息收集工作。收集的内容包括组织架构、IT资产、敏感信息泄露、供应商信息等各个方面。组织架构包括单位部门划分、人员信息、工作职能、下属单位等；IT资产包括域名、IP地址、C段、开放端口、运行服务、WEB中间件、WEB应用、移动应用、网络架构等；敏感信息泄露包括代码泄露、文档信息泄露、邮箱信息泄露、历史漏洞泄露信息等方面；供应商信息包括相关合同、系统、软件、硬件、代码、服务、人员等相关信息。

掌握了目标企业相关人员信息和组织架构，可以快速定位关键人物以便实施鱼叉攻击，或确定内网横纵向渗透路径；而收集了IT资产信息，可以为漏洞发现

和利用提供数据支撑；掌握企业与供应商合作相关信息，可为有针对性开展供应链攻击提供素材。而究竟是要社工钓鱼，还是直接利用漏洞攻击，抑或是从供应链下手，一般取决于哪块是安全防护的薄弱环节，以及红队对攻击路径的选择。

二、第二阶段：建立据点

在找到薄弱环节后，红队专家会尝试利用漏洞或社工等方法去获取外网系统控制权限，一般称之为“打点”或撕口子。在这个过程中，红队专家会尝试绕过WAF、IPS、杀毒软件等防护设备或软件，用最少的流量、最小的动作去实现漏洞利用。

通过撕开的口子，寻找和内网联通的