07. 渗透测试与红队对抗
智能安全事件可观测性 · 红队攻防参考
一、红队攻防体系
1.1 概念定义
红队(Red Team):
- 模拟真实攻击者的行为
- 以发现组织防御弱点为目的
- 采用真实的攻击技术和工具
蓝队(Blue Team):
- 负责防御和保护
- 检测和响应红队攻击
- 持续改进安全能力
紫队(Purple Team):
- 红蓝协作机制
- 攻击与防御结合
- 最大化学习效果
1.2 红队 vs 渗透测试
| 维度 | 渗透测试 | 红队对抗 |
|---|---|---|
| 目标 | 发现漏洞 | 评估防御能力 |
| 范围 | 限定范围 | 全域攻击 |
| 时间 | 短期(1-2周) | 长期(1-3月) |
| 方法 | 漏洞利用 | APT 模拟 |
| 成果 | 漏洞报告 | 防御评估 |
| 隐秘性 | 低 | 高 |
二、攻击生命周期(ATTACK Lifecycle)
2.1侦察阶段
被动侦察:
| 方法 | 工具 | 检测难度 |
|---|---|---|
| DNS 查询 | dig, nslookup | ⭐ |
| WHOIS 查询 | whois | ⭐ |
| 搜索引擎 | Google, Bing | ⭐ |
| 证书查询 | crt.sh, Censys | ⭐ |
| GitHub 搜索 | GitHub CLI | ⭐⭐ |
主动侦察:
| 方法 | 工具 | 检测难度 |
|---|---|---|
| 端口扫描 | Nmap, Masscan | ⭐⭐⭐⭐ |
| 漏洞扫描 | Nessus, OpenVAS | ⭐⭐⭐⭐ |
| 子域名枚举 | Amass, Subfinder | ⭐⭐⭐ |
| Web 指纹 | Wappalyzer, WhatWeb | ⭐⭐ |
侦察检测:
检测规则: Reconnaissance_Detection
条件:
- DNS 查询频率 > 100/分钟
- 端口扫描 > 50端口/分钟
- 爬虫行为检测
动作:
- 告警
- 记录源 IP
- 添加情报2.2 初始访问
常见入口:
| 技术 | 利用难度 | 检测难度 | 说明 |
|---|---|---|---|
| 钓鱼邮件 | ⭐ | ⭐⭐⭐ | 最常见入口 |
| VPN 弱口令 | ⭐⭐ | ⭐⭐⭐ | 远程办公风险 |
| Web 漏洞 | ⭐⭐ | ⭐⭐⭐⭐ | RCE、SQL注入 |
| 供应链 | ⭐⭐⭐ | ⭐⭐⭐⭐⭐ | 软件更新投毒 |
| 物理访问 | ⭐⭐ | ⭐⭐⭐ | USB 攻击 |
钓鱼攻击技术:
| 技术 | 说明 | 检测难度 |
|---|---|---|
| 鱼叉钓鱼 | 定向目标邮件 | ⭐⭐ |
| 商业钓鱼 | 伪装成业务邮件 | ⭐⭐⭐ |
| BEC 欺诈 | 伪冒高管 | ⭐⭐⭐⭐ |
| 恶意链接 | 短链接、混淆URL | ⭐⭐⭐ |
2.3 权限提升
Windows 提权:
| 技术 | 说明 | 检测难度 |
|---|---|---|
| Bypass UAC | 利用 Windows 高权限进程 | ⭐⭐⭐⭐ |
| 令牌操纵 | SeImpersonatePrivilege | ⭐⭐⭐⭐ |
| DLL 劫持 | 系统 DLL 劫持 | ⭐⭐⭐ |
| 漏洞利用 | MS16-032, Juicypotato | ⭐⭐⭐ |
| 凭据重用 | 密码复用、哈希传递 | ⭐⭐ |
Linux 提权:
| 技术 | 说明 | 检测难度 |
|---|---|---|
| SUDO 滥用 | sudo 漏洞/错误配置 | ⭐⭐⭐ |
| 内核漏洞 | Dirty Pipe, etc | ⭐⭐⭐⭐ |
| 计划任务 | 计划任务脚本劫持 | ⭐⭐⭐ |
| SUID 滥用 | 特殊权限文件 | ⭐⭐⭐ |
| 容器逃逸 | Docker/K8s 漏洞 | ⭐⭐⭐⭐ |
2.4 持久化
Windows 持久化:
| 技术 | 持久化位置 | 检测难度 |
|---|---|---|
| 注册表 Run键 | HKCU/HKLM\Run | ⭐⭐⭐ |
| 计划任务 | Task Scheduler | ⭐⭐⭐ |
| 服务 | 创建 Windows 服务 | ⭐⭐⭐ |
| WMI 事件订阅 | 永久 WMI 事件 | ⭐⭐⭐⭐⭐ |
| COM 对象劫持 | 注册表 COM | ⭐⭐⭐⭐ |
| MSSQL 存储 | xp_cmdshell | ⭐⭐⭐ |
| Startup 文件夹 | 启动目录 | ⭐⭐ |
Linux 持久化:
| 技术 | 持久化位置 | 检测难度 |
|---|---|---|
| SSH Key | ~/.ssh/authorized_keys | ⭐⭐ |
| Cron | /etc/cron.d | ⭐⭐ |
| rc.local | /etc/rc.local | ⭐⭐ |
| Systemd | /etc/systemd/system | ⭐⭐⭐ |
| Trap | .bashrc | ⭐⭐ |
| 后门用户 | /etc/passwd | ⭐⭐ |
2.5 横向移动
| 技术 | 所需权限 | 所需凭据 | 检测难度 |
|---|---|---|---|
| PsExec | 管理员 | 明文 | ⭐⭐ |
| WMI | 用户 | 明文 | ⭐⭐⭐ |
| SMB/ RDP | 用户 | 明文/哈希 | ⭐ |
| SSH | 用户 | 密钥/密码 | ⭐⭐ |
| Pass-the-Hash | 用户 | 哈希 | ⭐⭐ |
| Pass-the-Ticket | 用户 | TGT | ⭐⭐⭐ |
2.6 数据外传
技术分类:
| 技术 | 说明 | 检测难度 |
|---|---|---|
| C2 信道 | 通过 C2 数据传输 | ⭐⭐⭐ |
| HTTPS 外传 | 加密流量外传 | ⭐⭐⭐⭐ |
| DNS Tunnel | DNS 隧道外传 | ⭐⭐⭐⭐ |
| 云盘上传 | Google Drive, OneDrive | ⭐⭐⭐ |
| 邮件外传 | SMTP 外传数据 | ⭐⭐ |
三、红队评估框架
3.1 MITRE ATT&CK 评估
评估流程:
graph LR
P1[准备阶段] --> P2[执行阶段]
P2 --> P3[报告阶段]
P1 --> A1[定义目标]
P1 --> A2[选择战术]
P1 --> A3[准备工具]
P2 --> B1[初始访问]
P2 --> B2[权限提升]
P2 --> B3[持久化]
P2 --> B4[横向移动]
P2 --> B5[达成目标]
P3 --> C1[发现分析]
P3 --> C2[覆盖评估]
P3 --> C3[报告编写]
ATT&CK 覆盖评估:
| 战术 | 检测覆盖率 | 防御差距 |
|---|---|---|
| 初始访问 | 85% | 钓鱼防护需加强 |
| 执行 | 90% | PowerShell 监控需加强 |
| 持久化 | 70% | WMI 监控缺失 |
| 权限提升 | 75% | UAC 绕过检测不足 |
| 防御规避 | 60% | 需加强行为检测 |
| 凭据访问 | 80% | LSASS 保护需加强 |
| 发现 | 65% | 内网扫描检测不足 |
| 横向移动 | 85% | RDP 监控需加强 |
| 收集 | 70% | 数据外传检测不足 |
| 命令控制 | 90% | C2 检测能力良好 |
| 外传 | 55% | 需加强 DLP |
| 影响 | 75% | 勒索行为检测需加强 |
3.2 评估报告模板
红队评估报告结构:
# 红队评估报告
## 1. 执行摘要
- 评估目标
- 时间范围
- 主要发现
- 风险评级
## 2. 攻击链分析
- 每个阶段的攻击路径
- 成功的技术和尝试但失败的
- 防御检测情况
## 3. ATT&CK 覆盖分析
- 使用的技术列表
- 检测率统计
- 防御差距
## 4. 详细发现
- 发现#1: 描述、利用方式、影响、建议
- 发现#2: ...
## 5. 防御建议
- 短期(1-3月)
- 中期(3-6月)
- 长期(6-12月)
## 6. 附录
- 工具列表
- IOC 指标四、紫队协同机制
4.1 紫队工作流程
graph LR
subgraph 计划阶段
R1[红队规划] --> P1[目标定义]
B1[蓝队准备] --> P1
end
subgraph 执行阶段
P1 --> R2[红队执行]
R2 --> B2[蓝队检测]
B2 --> R3[红队调整]
end
subgraph 学习阶段
R3 --> L1[红队复盘]
B2 --> L2[蓝队复盘]
L1 --> L3[联合总结]
L2 --> L3
end
4.2 协同工具
| 工具 | 用途 | 紫队应用 |
|---|---|---|
| Atomic Red Team | ATT&CK 测试 | 红队攻击模拟 |
| Caldera | 自动攻击平台 | 自动化红队 |
| Mythic | C2 框架 | 红队命令控制 |
| Lima Charlie | EDR | 蓝队监控 |
| DetectionLab | 检测实验室 | 检测规则测试 |
五、安全演练场景
5.1 勒索攻击演练
场景设置:
目标: 评估组织勒索防护能力
范围: 全域
时间: 2周
规则: 不加密真实数据攻击链:
Day 1: 钓鱼邮件 → 恶意宏执行
Day 2: 内网侦察 → 横向移动
Day 3: 凭据窃取 → 域管理员获取
Day 5: 数据打包 → 模拟外传
Day 7: 模拟勒索 → 评估响应评估标准:
| 阶段 | 检测时间 | 响应时间 | 评分 |
|---|---|---|---|
| 钓鱼邮件 | < 5分钟 | < 15分钟 | ⭐⭐⭐⭐ |
| 恶意执行 | < 1分钟 | < 5分钟 | ⭐⭐⭐⭐⭐ |
| 内网侦察 | < 30分钟 | < 1小时 | ⭐⭐⭐ |
| 横向移动 | < 5分钟 | < 15分钟 | ⭐⭐⭐⭐ |
| 数据外传 | < 5分钟 | < 10分钟 | ⭐⭐⭐⭐ |
六、参考链接
| 资源 | 链接 |
|---|---|
| MITRE ATT&CK | https://attack.mitre.org/ |
| Atomic Red Team | https://atomicredteam.io/ |
| MITRE CALDERA | https://caldera.mitre.org/ |
| 洛克希德·马丁 Kill Chain | https://www.lockheedmartin.com/ |
Last updated: 2026-06-02