目錄
- 介紹
- 第一章 賽前準備--安裝
- APT攻擊基本介紹
- 假定攻破練習
- 設定行動
- 設定外部服務器
介紹
紅隊:
-
任務是模仿入侵者的TTP(戰術和技術手段);
-
目的是測出公司應對入侵事件的真實狀況,查找出安全計劃中的問題及員工對安全專案理解的不足之處,最終目的是提高員工對安全計劃的理解;
-
盡可能不被發現,不對內網進行大規模漏掃;
-
測驗時間周期較長,兩周-六個月;
-
模擬真實的攻擊、社會工程學、遠控木馬等;
-
模擬攻擊的結果是要針對制定的安全技術,
滲透測驗與紅隊的區別如下圖所示:
TTD--檢測時效--從入侵事件的初始發生到安全分析分院檢測并開始處理入侵事件之間的時間,
TTM--緩解時效--測驗記錄的次要指標,
第一章 賽前準備--安裝
關注攻擊手法
高級威脅組織的TTP(Tactics、Techniques & Procedures)--策略、技巧、程式
火眼(FireEye)威脅情報分析報告:該威脅組織使用推特作為C2 服務器(Command and Contr
ol--命令控制服務器),也使用了github 作為存盤加密圖片和經過資訊隱寫檔案的倉庫,
https://www2.fireeye.com/rs/848-DID-242/images/rpt-apt29-hammertoss.pdf
APT攻擊基本介紹
APT攻擊,即高級可持續威脅攻擊,也稱為定向威脅攻擊,指某組織對特定物件展開的持續有效的攻擊活動, 這種攻擊活動具有極強的隱蔽性和針對性,通常會運用受感染的各種介質、供應鏈和社會工程學等多種手段實施先進的、持久的且有效的威脅和攻擊,
由MITRE 公司提出的ATT&CK 矩陣( Adversarial Tactics, Techniques, andCommon Knowledge matrix ) 是對APT 攻擊的詳細分解,矩陣中是一個在各種攻擊場景中使用的不同 TTP的大集合,
Windows:https://attack.mitre.org/matrices/enterprise/windows/
Linux:https://attack.mitre.org/matrices/enterprise/linux/
macOS:https://attack.mitre.org/matrices/enterprise/macos/
windows版如下所示:
APT組織與方法持續更新串列http://www.bit.ly/2GZb8eW
這個谷歌檔案列舉了世界多個國家的疑似APT 組織及其使用的工具集,可以參考該檔案模擬不同的攻擊,可能不會使用相同的工具,但是可以構建類似的工具來做同樣的攻擊,
假定攻破練習
要進入一種思維狀態,即我們總是蹲守,假設威脅就潛伏在周圍,我們需要時刻尋找例外,
紅隊的終點是檢測或給出措施而不是漏洞,
假定突破練習(Assumed breach exercise)
在一個假定突破練習中,總會遇到一些 0-day,
在這些場景中,紅隊與公司內部的有限團隊一起作業,在他們的服務器上執行一個定制的惡意軟體
payload,這個payload 應該嘗試以多種方式連接,確保繞過常見的AV(avast--高級殺毒軟體),并允許額外的payload 從記憶體中執行,
設定行動
-
在進攻第一個系統之前,需要確定紅隊活動范圍,
-
在紅隊活動中,從幾個目標開始,如下所示但不僅限于:
-
最終的目標是什么?只是 APT 檢測嗎?是要在服務器上獲取標志嗎?是從資料庫中獲取資料嗎?
或者只是為了得到檢測時效(TTD)指標? -
是否有我們想要復制的公開活動?
-
你會用什么技巧?我們討論過用MITRE ATT&CK 矩陣,但是在每個類別中確切的技術是什么?
每種技術的詳細資訊:https://github.com/redcanaryco/atomic-red-team
-
客戶希望你使用什么工具?是一些諸如 Metasploit、Cobalt Strike、DNS Cat 這樣的商業攻擊工具軟體?還是自制的定制化工具?
被抓住也是評估的一部分,這表明客戶的防御如他們預期的一樣在起作用/沒有起作用,
設定外部服務器
-
使用 AWS 的Lightsail 服務器;
-
滲透測驗框架 (PTF);
-
建立強大的IPTables 規則;
-
Red Baron是 Terraform 的一組模塊和自定義/第三方提供者,它可以為紅隊自動創建彈性、一次性、安全和靈活的基礎設施,
注:明天進行外部服務器及相關工具實操,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/61926.html
標籤:其他