红队评估概述

红队评估是一种模拟攻击者的安全评估方法，以攻击者视角对网络、基础设施、业务系统等进行模拟攻击，持续暴露防控薄弱点并协助改进，以提升企业安全的防御、监测和应急处置的整体安全水平。

时间上

• 红队的一个生命周期为数周或更久，比较灵活且无固定时间限制
• 渗透测试为几天一周左右，需要指定目标范围和测试时间

深度上

• 红队可以进行深入的后渗透，社会工程学等等贴近真实攻击的手法
• 国内的渗透测试还是以发现漏洞为主，一般情况下不进行后渗透等操作

实施过程上

• 红队注重测试的隐蔽性，尽可能的绕过现有的防御系统，拿到目标权限
• 渗透测试一般会提前告知防御团队且设置白名单无需隐藏测试行为，有限的时间内尽可能地发现更多漏洞

红队触雷操作经典情景

1. 在服务器公钥中添加了自己的真实邮箱
2. 在目标的服务中进行了实名注册
3. 未授权下载源码和数据并存储>利益相关者数据
4. 反转角色的社会工程学交互场景
5. 安全控制失衡导致系统瘫痪

关键战术和技术技巧分享

一、资源开发

建立可以用来支持行动的基础设施，包括基础设施、账户等。

1. 信息收集、邮件钓鱼、木马免杀的自动化：

• 流量加密：wireguard+混淆协议/或者其他的vpn协议。
• 服务器登录限制：ip限制+公钥限制。
• 防火墙策略：敏感服务和端口，只由统⼀的跳板服务器接入。
• 巡检：定期的安全检查和渗透测试。

2. 多级加密代理协议伪装方案：

常用的SOCKS5协议虽然支持代理，但其传输过程是明文的，而TLS代理虽然提供了加密，但在速度上存在不足。因此我们选择使用WireGuard协议进行数据传输。

WireGuard协议在两端都实现了加密，并且基于UDP协议，既满足了加密的需求，也保证了传输速度。然而，WireGuard协议本身存在两个问题：不支持级联（WireGuard协议本身并不支持级联，这限制了其在多级代理场景中的应用）和易被识别（WireGuard协议的特征较为明显，容易被识别和封锁）。针对这两个问题可以通过级联解决和流量伪装来有效应对。

级联解决

过在中转服务器（例如A服务器）上使用iptables进行端口转发，可以实现多级代理的级联功能。这样流量可以在不同的代理服务器之间无缝传递，而不需要WireGuard协议本身支持级联。

流量伪装

使用swgp-go工具将WireGuard流量伪装成普通的UDP流量。swgp-go是一个简单的WireGuard代理，可以减少WireGuard流量的开销，并且能够伪装流量，使其不易被识别和封锁

3. C2隐藏通信三板斧：

• DomainFronting：通过大型可信CDN或云服务提供商隐藏用户访问的目标服务器。
• DomainHiding：通过各种技术手段隐藏或混淆域名信息（适用国外）。
• DomainBorrowing：使用合法且广泛信任的域名作为掩盖，使审查系统难以区分合法与非法流量。

二、侦察

收集可用于规划未来行动的信息，包括受害者组织、基础设施或员工/人员的详细信息等。

1. 针对大范围的项目的资产发现

针对大范围的项目资产管理，我们可以使用以下工具来提升IP整理的效率，将fofa所有的资产进行整理，整理企业IP段的情况。

项目地址：https://github.com/SiJiDo/Ceyes

2.针对白帽子的fofa语句的优化

通过优化fofa查询语法，结合高效的语句编排策略，显著提升子域名或域名的收集效果与覆盖率。

（host ="xxx.com" || domain ="xxx.com"|| icon  hash ="xxx" || cert ="xxx.com" || cname  domain ="xxx.com" || header ="xxx.com"） && country ="CN" && region! ="HK" && region! ="TW" && is  domain =true

3.巧用censys GPT自动编排语句/发现域名对应关系

利用 Censys GPT 的智能化能力，自动编排查询语句，高效发现域名与 IP 之间的对应关系，并通过 IP 反查关联域名，实现资产关系的精准映射与分析。

三、初始化访问

我们可以重点关注高性价比漏洞，例如文件上传、SQL注入、代码/命令执行漏洞，以及中间件、组件和设备漏洞。

同时，聚焦边缘资产和业务线较长的系统：由于网络结构复杂且业务链条较长，安全防护措施难以全面覆盖远端节点，导致各级分支节点的安全水平参差不齐，攻击者可能利用分支机构的薄弱点发起攻击。

四、防御规避

针对终端对抗和杀软对抗可以采用以下方法：

静态绕过

• 使用强加密/压缩：XOR，AES DES，商用算法…
• 混淆加密：LLVM OLLVM…
• 隐藏导入导出表：动态调用Win
• API（GetModuleHandle（））
• 减少文件熵：分离加载，IPv4等资产
• 保护壳：VM，自写，商用
• 模拟正常软件：签名、文件名、图标、属性信息、资源等

动态绕过

• 沙箱和虚拟化隔离进程
• 注册内核回调
• ETW日志检测
• 堆栈跟踪检测
• 进程链检测（黑加黑）利用AMSI接口

沙箱/虚拟对抗

• 延迟执行
• 检测无法虚拟化的设备
• 检测系统开机时间
• 检测物理内存是否大于4G
• 检测文件名是否修改
• 检测进程信息

五、凭证收集

可以通过以下方式获取定向应用凭证：

• 浏览器Dump工具：浏览器Dump工具用于从浏览器中提取信息，包括浏览历史、缓存、Cookies、书签等。如Chrome、Firefox、Safari、Edge等。
• IM工具Dump和监听：即时通讯（IM）工具的Dump和监听工具用于提取和监控即时通讯软件中的聊天记录、联系人信息等。如：WeChat、钉钉、Telegram等。
• 邮件客户端Dump：邮件客户端Dump工具用于从邮件客户端软件中提取邮件数据，包括邮件正文、附件、发件人和收件人信息等。
• 终端和数据库管理工具Dump：终端工具如Xshell、Finalshell等，用于远程连接服务器和执行命令，也有相应的监控和数据提取工具。

网安加云课堂

2025年3月7日