0%

渗透测试与红队

07. 渗透测试与红队对抗

智能安全事件可观测性 · 红队攻防参考


一、红队攻防体系

1.1 概念定义

红队(Red Team):

  • 模拟真实攻击者的行为
  • 以发现组织防御弱点为目的
  • 采用真实的攻击技术和工具

蓝队(Blue Team):

  • 负责防御和保护
  • 检测和响应红队攻击
  • 持续改进安全能力

紫队(Purple Team):

  • 红蓝协作机制
  • 攻击与防御结合
  • 最大化学习效果

1.2 红队 vs 渗透测试

维度 渗透测试 红队对抗
目标 发现漏洞 评估防御能力
范围 限定范围 全域攻击
时间 短期(1-2周) 长期(1-3月)
方法 漏洞利用 APT 模拟
成果 漏洞报告 防御评估
隐秘性

二、攻击生命周期(ATTACK Lifecycle)

2.1侦察阶段

被动侦察:

方法 工具 检测难度
DNS 查询 dig, nslookup
WHOIS 查询 whois
搜索引擎 Google, Bing
证书查询 crt.sh, Censys
GitHub 搜索 GitHub CLI ⭐⭐

主动侦察:

方法 工具 检测难度
端口扫描 Nmap, Masscan ⭐⭐⭐⭐
漏洞扫描 Nessus, OpenVAS ⭐⭐⭐⭐
子域名枚举 Amass, Subfinder ⭐⭐⭐
Web 指纹 Wappalyzer, WhatWeb ⭐⭐

侦察检测:

检测规则: Reconnaissance_Detection
条件:
  - DNS 查询频率 > 100/分钟
  - 端口扫描 > 50端口/分钟
  - 爬虫行为检测
动作:
  - 告警
  - 记录源 IP
  - 添加情报

2.2 初始访问

常见入口:

技术 利用难度 检测难度 说明
钓鱼邮件 ⭐⭐⭐ 最常见入口
VPN 弱口令 ⭐⭐ ⭐⭐⭐ 远程办公风险
Web 漏洞 ⭐⭐ ⭐⭐⭐⭐ RCE、SQL注入
供应链 ⭐⭐⭐ ⭐⭐⭐⭐⭐ 软件更新投毒
物理访问 ⭐⭐ ⭐⭐⭐ USB 攻击

钓鱼攻击技术:

技术 说明 检测难度
鱼叉钓鱼 定向目标邮件 ⭐⭐
商业钓鱼 伪装成业务邮件 ⭐⭐⭐
BEC 欺诈 伪冒高管 ⭐⭐⭐⭐
恶意链接 短链接、混淆URL ⭐⭐⭐

2.3 权限提升

Windows 提权:

技术 说明 检测难度
Bypass UAC 利用 Windows 高权限进程 ⭐⭐⭐⭐
令牌操纵 SeImpersonatePrivilege ⭐⭐⭐⭐
DLL 劫持 系统 DLL 劫持 ⭐⭐⭐
漏洞利用 MS16-032, Juicypotato ⭐⭐⭐
凭据重用 密码复用、哈希传递 ⭐⭐

Linux 提权:

技术 说明 检测难度
SUDO 滥用 sudo 漏洞/错误配置 ⭐⭐⭐
内核漏洞 Dirty Pipe, etc ⭐⭐⭐⭐
计划任务 计划任务脚本劫持 ⭐⭐⭐
SUID 滥用 特殊权限文件 ⭐⭐⭐
容器逃逸 Docker/K8s 漏洞 ⭐⭐⭐⭐

2.4 持久化

Windows 持久化:

技术 持久化位置 检测难度
注册表 Run键 HKCU/HKLM\Run ⭐⭐⭐
计划任务 Task Scheduler ⭐⭐⭐
服务 创建 Windows 服务 ⭐⭐⭐
WMI 事件订阅 永久 WMI 事件 ⭐⭐⭐⭐⭐
COM 对象劫持 注册表 COM ⭐⭐⭐⭐
MSSQL 存储 xp_cmdshell ⭐⭐⭐
Startup 文件夹 启动目录 ⭐⭐

Linux 持久化:

技术 持久化位置 检测难度
SSH Key ~/.ssh/authorized_keys ⭐⭐
Cron /etc/cron.d ⭐⭐
rc.local /etc/rc.local ⭐⭐
Systemd /etc/systemd/system ⭐⭐⭐
Trap .bashrc ⭐⭐
后门用户 /etc/passwd ⭐⭐

2.5 横向移动

技术 所需权限 所需凭据 检测难度
PsExec 管理员 明文 ⭐⭐
WMI 用户 明文 ⭐⭐⭐
SMB/ RDP 用户 明文/哈希
SSH 用户 密钥/密码 ⭐⭐
Pass-the-Hash 用户 哈希 ⭐⭐
Pass-the-Ticket 用户 TGT ⭐⭐⭐

2.6 数据外传

技术分类:

技术 说明 检测难度
C2 信道 通过 C2 数据传输 ⭐⭐⭐
HTTPS 外传 加密流量外传 ⭐⭐⭐⭐
DNS Tunnel DNS 隧道外传 ⭐⭐⭐⭐
云盘上传 Google Drive, OneDrive ⭐⭐⭐
邮件外传 SMTP 外传数据 ⭐⭐

三、红队评估框架

3.1 MITRE ATT&CK 评估

评估流程:

graph LR P1[准备阶段] --> P2[执行阶段] P2 --> P3[报告阶段] P1 --> A1[定义目标] P1 --> A2[选择战术] P1 --> A3[准备工具] P2 --> B1[初始访问] P2 --> B2[权限提升] P2 --> B3[持久化] P2 --> B4[横向移动] P2 --> B5[达成目标] P3 --> C1[发现分析] P3 --> C2[覆盖评估] P3 --> C3[报告编写]

ATT&CK 覆盖评估:

战术 检测覆盖率 防御差距
初始访问 85% 钓鱼防护需加强
执行 90% PowerShell 监控需加强
持久化 70% WMI 监控缺失
权限提升 75% UAC 绕过检测不足
防御规避 60% 需加强行为检测
凭据访问 80% LSASS 保护需加强
发现 65% 内网扫描检测不足
横向移动 85% RDP 监控需加强
收集 70% 数据外传检测不足
命令控制 90% C2 检测能力良好
外传 55% 需加强 DLP
影响 75% 勒索行为检测需加强

3.2 评估报告模板

红队评估报告结构:

# 红队评估报告

## 1. 执行摘要
- 评估目标
- 时间范围
- 主要发现
- 风险评级

## 2. 攻击链分析
- 每个阶段的攻击路径
- 成功的技术和尝试但失败的
- 防御检测情况

## 3. ATT&CK 覆盖分析
- 使用的技术列表
- 检测率统计
- 防御差距

## 4. 详细发现
- 发现#1: 描述、利用方式、影响、建议
- 发现#2: ...

## 5. 防御建议
- 短期(1-3月)
- 中期(3-6月)
- 长期(6-12月)

## 6. 附录
- 工具列表
- IOC 指标

四、紫队协同机制

4.1 紫队工作流程

graph LR subgraph 计划阶段 R1[红队规划] --> P1[目标定义] B1[蓝队准备] --> P1 end subgraph 执行阶段 P1 --> R2[红队执行] R2 --> B2[蓝队检测] B2 --> R3[红队调整] end subgraph 学习阶段 R3 --> L1[红队复盘] B2 --> L2[蓝队复盘] L1 --> L3[联合总结] L2 --> L3 end

4.2 协同工具

工具 用途 紫队应用
Atomic Red Team ATT&CK 测试 红队攻击模拟
Caldera 自动攻击平台 自动化红队
Mythic C2 框架 红队命令控制
Lima Charlie EDR 蓝队监控
DetectionLab 检测实验室 检测规则测试

五、安全演练场景

5.1 勒索攻击演练

场景设置:

目标: 评估组织勒索防护能力
范围: 全域
时间: 2周
规则: 不加密真实数据

攻击链:

Day 1: 钓鱼邮件 → 恶意宏执行
Day 2: 内网侦察 → 横向移动
Day 3: 凭据窃取 → 域管理员获取
Day 5: 数据打包 → 模拟外传
Day 7: 模拟勒索 → 评估响应

评估标准:

阶段 检测时间 响应时间 评分
钓鱼邮件 < 5分钟 < 15分钟 ⭐⭐⭐⭐
恶意执行 < 1分钟 < 5分钟 ⭐⭐⭐⭐⭐
内网侦察 < 30分钟 < 1小时 ⭐⭐⭐
横向移动 < 5分钟 < 15分钟 ⭐⭐⭐⭐
数据外传 < 5分钟 < 10分钟 ⭐⭐⭐⭐

六、参考链接

资源 链接
MITRE ATT&CK https://attack.mitre.org/
Atomic Red Team https://atomicredteam.io/
MITRE CALDERA https://caldera.mitre.org/
洛克希德·马丁 Kill Chain https://www.lockheedmartin.com/

Last updated: 2026-06-02