[TOC]linux
紅隊:git
任務是模仿入侵者的TTP(戰術和技術手段);github
目的是測出公司應對入侵事件的真實情況,查找出安全計劃中的問題及員工對安全項目理解的不足之處,最終目的是提升員工對安全計劃的理解;數據庫
儘量不被發現,不對內網進行大規模漏掃;macos
測試時間週期較長,兩週-六個月;windows
模擬真實的攻擊、社會工程學、遠控木馬等;安全
模擬攻擊的結果是要針對制定的安全技術。服務器
滲透測試與紅隊的區別以下圖所示:框架
TTD--檢測時效--從入侵事件的初始發生到安全分析分院檢測並開始處理入侵事件之間的時間。工具
TTM--緩解時效--測試記錄的次要指標。
關注攻擊手法
高級威脅組織的TTP(Tactics、Techniques & Procedures)--策略、技巧、程序
火眼(FireEye)威脅情報分析報告:該威脅組織使用推特做爲C2 服務器(Command and Contr ol--命令控制服務器),也使用了github 做爲存儲加密圖片和通過信息隱寫文件的倉庫。
https://www2.fireeye.com/rs/848-DID-242/images/rpt-apt29-hammertoss.pdf
APT攻擊,即高級可持續威脅攻擊,也稱爲定向威脅攻擊,指某組織對特定對象展開的持續有效的攻擊活動。 這種攻擊活動具備極強的隱蔽性和針對性,一般會運用受感染的各類介質、供應鏈和社會工程學等多種手段實施先進的、持久的且有效的威脅和攻擊。
由MITRE 公司提出的ATT&CK 矩陣( Adversarial Tactics, Techniques, andCommon Knowledge matrix ) 是對APT 攻擊的詳細分解。矩陣中是一個在各類攻擊場景中使用的不一樣 TTP的大集合。
Windows:https://attack.mitre.org/matrices/enterprise/windows/
Linux:https://attack.mitre.org/matrices/enterprise/linux/
macOS:https://attack.mitre.org/matrices/enterprise/macos/
windows版以下所示:
APT組織與方法持續更新列表http://www.bit.ly/2GZb8eW
這個谷歌文件列舉了世界多個國家的疑似APT 組織及其使用的工具集。能夠參考該文檔模擬不一樣的攻擊,可能不會使用相同的工具,可是能夠構建相似的工具來作一樣的攻擊。
要進入一種思惟狀態,即咱們老是蹲守,假設威脅就潛伏在周圍,咱們須要時刻尋找異常。
紅隊的終點是檢測或給出措施而不是漏洞。
假定突破練習(Assumed breach exercise)
在一個假定突破練習中,總會遇到一些 0-day。
在這些場景中,紅隊與公司內部的有限團隊一塊兒工做,在他們的服務器上執行一個定製的惡意軟件 payload。這個payload 應該嘗試以多種方式鏈接,確保繞過常見的AV(avast--高級殺毒軟件),並容許額外的payload 從內存中執行。
在進攻第一個系統以前,須要肯定紅隊活動範圍。
在紅隊活動中,從幾個目標開始,以下所示但不只限於:
最終的目標是什麼?只是 APT 檢測嗎?是要在服務器上獲取標誌嗎?是從數據庫中獲取數據嗎? 或者只是爲了獲得檢測時效(TTD)指標?
是否有咱們想要複製的公開活動?
你會用什麼技巧?咱們討論過用MITRE ATT&CK 矩陣,可是在每一個類別中確切的技術是什麼?
客戶但願你使用什麼工具?是一些諸如 Metasploit、Cobalt Strike、DNS Cat 這樣的商業攻擊工具軟件?仍是自制的定製化工具?
被抓住也是評估的一部分。這代表客戶的防護如他們預期的同樣在起做用/沒有起做用。
使用 AWS 的Lightsail 服務器;
滲透測試框架 (PTF);
創建強大的IPTables 規則;
Red Baron是 Terraform 的一組模塊和自定義/第三方提供者,它能夠爲紅隊自動建立彈性、一次性、安全和靈活的基礎設施。
注:明天進行外部服務器及相關工具實操。