一、红队及其目的:
模拟攻击者的战术、技术和工具,提供真实的攻击场景,以便公司从中找出问题,最终提升防御能力。
红队与一般的渗透测试的区别在于,需要尽量低调的进行,那么自然就不能在内网中运行漏洞扫描程序,因为在自己已经控制的网络中全盘扫描是一件很奇怪的事情,很快就会被识别并捕获。
另外,乙方更希望在红队的报告中看到有关防御团队在决策、合作流程和工具技能层面的差异,而不是一个漏洞列表,所以这要求红队应注重安全流程,最重要的是检测时间和缓解时间。检测时间指从攻击事件开始到安全人员检测到攻击并采取措施的时间;缓解时间指安全人员开展防火墙实时拦截、DNS黑洞和网络隔离的时间点。
二、熟悉常用工具:
Metasploit框架: 红队任务可能基于metasploit,生成MS17-00永恒之蓝漏洞并利用工具突破系统,以获取第一个shell;也可能基于metasploit生成meterpreter静荷,借助社会工程学开展攻击。在后续学习中,应着重关注如何设置metasploit静荷和流量特征,以绕过杀毒软件和网络监测设备的防护机制。
meterpreter静荷混淆:若借助社工进行攻击,我们往往希望借助Word或Excel等常见文件。此处可能的问题是,无法嵌入meterpreter二进制静荷或者从web直接下载,因为这可能被杀毒软件阻止。为此,磕借助powershell进行混淆处理。
posted on
