正在本文中,咱们将为读者先容要想参加红队,须要掌握哪些方面的能力。仅供参照
红队究竟是做甚么的?
正在红队中,您须要仿真、摹拟或以其他办法串演某个、某组入侵者或外貌上的猜想敌。
这些震动常常以零丁的演习或操练的大局呈现,其想法是锻炼蓝队,蓝队由担任各类提防工事的小组或集体组成。并且,这种对立也许正在一切层面上进步,从利用法式的安全性到积极提防办法,等等。
其余,红队的构造大局或类别也随分歧的公司而异。比如,有的公司中,红队的全体责任是由某集体“兼任”的,除此之外,他们还要担任其他打击性的安全义务,如渗出测试或马脚评估等。
而有些公司的红队,成员之间拥有清爽的单干,各司其职,以便分散精神施行安全事宜的检测以及反映。
不管若何,只有红队的才略与蓝队的才略恐怕很好地匹配便可,一切大局都没有主要。
安全打击的生命周期
开始,主要的是要领会打击的生命周期,又称收集打击链,或简称打击链。这个纲目定义了入侵者告竣打击所需的一切方法。
大普遍红队的生意处事都是根据这些方法上告竣的,因为这些方法都是办事于一个一定的目的的,常常称为“有针对于性的步履”。
入侵者常常根据其动机施行分类,比如经过夺取支拨数据来赢利的入侵者等等。
因为打击历程触及的一切方法都是缭绕其动机施行的,因而,领会这些状况恐怕帮忙蓝队构造他们的提防工事。
假设您想深切周全地领会这些方法,又称为策略(或器械)、本领以及法式,请参照MITRE ATT&CK框架(http://attack.mitre.org/wiki/Main_Page)。
我应该挑选甚么角色?
红队常常都具备了大度的能力,不过正在若何将它们构造起来以便正在角色中失去最大的发扬方面,而今还没有一种正确的方式也许做到这一点。没有过,从逻辑大将各类震动分为分歧的两组依然很有帮忙的,即工程以及操作。这是一切类别的本领团队集体选择的一种政策。
简捷地说:工程师构建器械,操作员摆设以及利用器械。
许多团队会异常为某个操作建立一定的,常常是且自的操作员角色。比如,一个成员担任发送收集钓鱼电子邮件,而另一个成员则担任打击目的施行红队的payload时对于传入的远程拜候采用步履。
红队若何正在一个或多个团队成员中分配这些能力全面取决于作风、才略、训练以及可用人材。咱们应该挑选个中的多少个角色来施行锻炼,这样参加小团队时就也许精巧变通。
我应该练习甚么能力?
很是简捷!挑选您感趣味的相干能力,这能让您成为更好的本领沟通者。多实验一些,看看哪些更顺应自身……
红队的能力挑选及其与角色的相干性
打击性头脑
随着安全行业的繁华,天下上一切的“管道胶带以及泡泡糖”都结束浮出水面。大普遍系统的妄图目的,仅仅为了告竣指定的义务。你的处事将是把这些系统拆开,并侦察其粘糊糊的内部组织。
这是一种能让你克服一切容易的本领。
示例:你必需学会用弹簧片开锁,而没有是用钥匙(https://www.art-of-lockpicking.com/how-to-pick-a-lock-with-a-bobby-pin/)。
能力教育:CTF、wargames或渗出测试测验都是磨练打击性头脑的好方式,例如PicoCTF以及HackThe Box。追寻正在要地聚会上现场演示的CTF的小组。这边真正的枢纽是始终置疑假定。
渗出测试
正在渗出测试的旗子下,潜伏着许多也许被归类为马脚评估的货色,不过为了便于议论,让咱们正在这边将其形容为正在收集或主机上搜寻已知马脚的历程。
虽然这没有是红队的只有责任,不过你还要正在这个方面维持智慧。
正在对立历程中运用已知的马脚策动抨击是训练蓝队事宜反映分解人员的好方式。
示例:扫描无需身份验证的MongoDB实例以泄漏有价值的数据。
能力教育:纯熟现有的主动马脚扫描法式,如Nessus或OpenVAS。像打击性头脑一律,CTF、wargames或渗出测试测验也很是顺应用于教育这一能力。
马脚争论
没有逼迫性要求,但算作红队队员,假设自身具备开采0-day马脚的才略的话,当然是极好的。该能力也许用于运用第三方或内部开垦的利用法式中的未知马脚。
这与渗出测试有许多重叠之处,但枢纽区分正在于,0-day马脚开采历程很是耗时,并且从检测以及反映安全事宜的角度来看,大概没法无效进步蓝队正在这方面的应付才略。
示例:您的团队会发明某个内部利用法式生存马脚的告急很大。正在此之后,经过争论发明了一个可运用的马脚,并编写一个概念验证器械,这样,您的团队就也许运用该器械来完结代码施行打击了。
能力教育:对于利用法式马脚运用的文章或书籍有良多,如Security Sift站点上的https://www.securitysift.com/windows-exploit-development-part-1-basics/,大概Dafydd Stuttard以及Marcus Pinto撰写的“https://www.amazon.com/Web-Application-Hackers-Handbook-Exploiting/dp/1118026470”一书。
软件开垦
红队要想乐成,枢纽正在于其软件开垦才略,这一点再夸大也没有为过。
顶级的红队多少乎没法与规范利用产物团队识别开来;他们也会选择正轨的开垦方式,利用版本掌握以及揭晓软件,树立门路图,利用CI/CD本领,编写测试用例,等等。
假设正在没有知情的状况下,大普遍红队看上去便是开垦团队。
您将发明,自身须要利用多种语言来编写代码,这全部取决于您计划利用的平台以及对立本领,其余,还必需与其他人单干编程。
这方面,最主要的是要领会最小可行产物(MVP)准则。
要让代码运行起来,要编写相映的文档。假设它正在将来成为了一个主要的器械,那么,也许正在将来参预更多的事宜来革新它。
示例:您的操作人员须要一种方式来搜寻主机中的敏锐文件。为了供给相映的支柱,也许编写一个Python剧本,列出一切大概的私钥以及电子表格。
能力教育:对付普遍的编程书籍,正在这方面大概须要施行相映的革新,但也有良多书埋头于编程语言的打击性利用,比如Justin Seitz编写的“ Black Hat Python: Python Programming for Hackers and Pentesters(https://www.amazon.com/Black-Hat-Python-Programming-Pentesters/dp/1593275900)”一书。
根底办法
为了让红队发扬最高文用,最佳将建立以及维护C2根底办法的噜苏事宜交由其他人处置。
对付根底办法来讲,切实性以及可恢复性利害常主要的个性。利用根底办法主动化以及配置办理器械,没有仅也许完结加紧迭代,同时也能俭朴破费正在终端上的时光。
根底办法即代码应该是红队的妄想,这样一来,就没有用每天都抽出一个小团队来办理整体根底办法了。
示例:您的反向代办应该被配置为抵挡“好事的”分解师,并且该功能应该从保存库或容器中主动摆设。
能力教育:实验利用收费试用的AWS资源和相映的主动化器械,如 CloudFormation以及OpsWorks来建立一个基于云的收集测验室。其余,提议赏玩@bluscreenofjeff撰写的Red Team Infrastructure Wiki(https://github.com/bluscreenofjeff/Red-Team-Infrastructure-Wiki) ,领会异常白色团队施行优化的相干过程。
收集以及系统
正在根底办法的妄图以及完结历程中,特定要搞领会主机以及收集相干的一切细节——切实性以及安全性都正在细节中。这一点怎样夸大也没有为过。
这些系统也许是众人云或公有云托管、ESXi上的假造机、物理或假造收集。
它们常常见面临黑客千奇百怪的打击,因而,咱们特定要确保红队也许毫没有劳累地摹拟打击者的处事办法。同时,您还须要对于敕令行很是纯熟。
其余,纯熟这些主旨也有助于您正在目的境况中告竣操作。
示例:取得目的主机拜候权力后,第一步常常是列出在运行的里程。
能力教育:这些能力也许经过通例方式养成,但须要多加操练,如树立反向代办、防火墙、身份验证等。其余,还也许正在测验室中搭建诸如Empire之类的后续运用框架,并研究其各类功能。
逆向工程
逆向工程是分解某些工具的历程,想法是弄领会其处事原理。
逆向分解也许用来分解正在野好心软件(这常常称为好心软件分解),旨正在掌握其功能,和打击者是若何利用它们的。咱们也许从良多地点找到好心软件样本施行逆向操练,但特定要倍加严慎。
其余,咱们还也许逆向分解来领会目的利用法式的运行办法,以便找出相映的马脚运用代码。
示例:假定您要利用没有常见的COM工具来施行代码。您须要批量分解Windows COM工具,以找到含有煽动里程所需的导入函数的工具。
能力教育:您也许经过赏玩Chris Eagle撰写的“The IDA Pro Book”一书,来练习若何利用IDA Pro,大概赏玩@malwareunicorn撰写的Reverse Engineering Malware 101(https://securedorg.github.io/RE101/)。
社会工程学
入侵者策动收集打击时,第一步常常是发送收集钓鱼电子邮件,所以,领会人们正在哪方面轻易被骗上当利害常主要的。
社会工程正在打击历程中的利用很是精深,比如佯装失落正在地上的USB设施,水坑打击等。
利用社会工程是红队理论处事中的一全体,旨正在诈骗毫无戒心的用户。固然,忽悠人仅仅可选的一个方法。其余,也也许跳过收集钓鱼,直接利用已有的拜候权力,或成心给队员留下针对于一定主机的远程拜候权力,以削减操作时光。
这种测试分歧于测量以及锻炼最终用户安全意识的收集钓鱼评估。
示例:客户要求您针对于公司高管建立一个令人敬佩的鲸钓器械,以测试其提防意识。
能力教育:反省您的废物邮件文件夹中的收集钓鱼样本,并掌握@HackingDave供给的Social Engineer Toolkit的利用方式。
物理安全
一些红队的处事范围以至席卷物理安全。这个测试大概很是简捷,比如暗暗的投入某个场面,然后正在指定的地点留下一个送达箱。这虽然是一个乐趣的话题,但许多公司还没有引起渊博的器重。
示例:总部大厅中的收集插孔位于内部LAN上,您须要演示针对于它们的打击。
能力教育:开锁,安全系统绕过本领,徽章破解(badge hacking)以及诈骗玩耍(confidence games)等,都是没有错的锻炼方式。
吓唬谍报
红队须要来自多个吓唬谍报源的策略谍报,进而为策略桶中的入侵者仿真供给丰硕的素材。其余,咱们还也许为器械以及文档推广新的功能,以就可以搜寻一定入侵者的相干材料,如博客文章等。
吓唬谍报还也许决定入侵者的动机,和正在称为入侵追踪( threat actor tracking)的历程中判别打击者的动作模式。红队也许利用这些信息来妄图对立演习相干背景。
吓唬谍报也也许来自安全争论人员等更为平和的起因。他们的处事没有仅也许预计入侵者的策略,以至也许作用他们的动作。
示例:您分解一定的入侵者会正在取得长久性拜候权力时发送起用宏的好心Office文档来运用WMI定阅,所以您也许妄图POC来复现该动作。
能力教育:检察大度对于好心软件分解以及入侵者跟踪本领的相干文章以及讲述。
安全事宜的检测以及反映
蓝队将成为您的主要客户以及对于手。他们是安全检测以及反映方面的各人。
红队须要恐怕预计蓝队的才略,并正在处事历程中充分运用这些学识。
练习公司的提防体制恐怕让红队成员比其他打击性安全从业者更有价值。
示例:您分解蓝队会监督与Powershell相干的日志,所以,当您妄图运用Poweshell马脚的器械时,您也许挪用版本为2的Poweshell,而没有是最新版本的Poweshell。
能力教育:正在您的测验室收集上搭建Security Onion,和基于主机的监控器械,如sysmon或auditd。
正在测验室施行相干功课时要出色存眷它们。你会徐徐发明,你也能从蓝队的角度思虑课题了。
其余,还也许时常赏玩先容若何无效小心以及检测入侵方式的相干文章(https://blog.stealthbits.com/ways-to-detect-and-mitigate-powershell-attacks)。
本领写作
领会地形容纯本领方面课题并能统筹浩大受众的感化是一件拥有寻衅性的办事,但其主要性没有容小觑。算作顾问,本领写对峙于向客户供给有价值的讲述相当主要。
老天保佑,指望你须要做的讲述越少越好。
异样主要的是,为红队利用的器械以及过程编写文档。这方面的信息很是多,维持态势感知的仅有方式便是编写精细的文档,并且不停更新文档。
正在拟定筹备时,大普遍团队都讨论递交相干的提案,精细阐明一定红队震动的告急以及回报,以供办理层同意。
示例:对付您的步履提案,您须要向好处相干方保险,您也许安全以及担任地告竣相干震动,并给出全部的震动结果,固然,必需以书面大局给出。
能力教育:教育这种能力很是拥有寻衅性,咱们提议练习本领写作的正式课程,比如Coursera供给的相干课程。其余,也也许撰写您善于范畴方面的问这,并请一些有体味的熟人做您的审稿人。
训练与汇报
一切上述能力都建立正在完结红队熏陶目的的才略之上的。
您应该恐怕经过红队处事讲述向主要蓝队好处相干者供给简略的先容(汇报),留神陈说相干的事宜链。
认识地、统一地、没有带尖刻的评判地告竣这件事,没有仅是红队向更大的构造揭示其价值的正确办法,也是与蓝队维持努力联系的正确姿式。
您还应该恐怕构造与红队相干的各类学识,并正在集体或整体训练境况中供给这些学识。这样,没有仅也许瓜分您对于相干主旨的领会,同时,听众还也许时刻提问,这样,他们就没有用经过查看您的处事来间接练习相干的学识。
示例:假定公司蓝队正在分解Windows中的备用数据流的运用方式时碰到课题。这时,你也许将自身对于ADS的领会,和入侵者常用的策略,作成一个简略的汇报,来说给蓝队分解师听。
能力教育:找机缘向他人先容自身纯熟的主旨,比如写博客文章,或讲解给对于安全感趣味的冤家。假设您指望进步自身的秘密报告能力,咱们向您引荐Toastmasters,大概正在要地袖珍聚会上宣布报告。
我应该去内部红队吗?
这取决于你想要的是甚么……
外部(磋商)红队恐怕让您有机缘向漫溢构造练习。而且你会发明,分歧的构造对于幼稚度、智慧性以及采用度的要求各没有不异。这是练习以及领会行业环境的绝佳机缘。
正在外部(磋商)红队处事,住址的处事都是针对于一切客户的。
并且,你与客户的提防方之间的反应轮回常常利害常深沉的,虽然没法领会客户内部的运作体制,却也离开了办公室政治以及企业内耗。
内部(公司)红队特征与下面先容的适值相反。您也许挑选个中一个拥有一定幼稚度的公司,并且有机缘深切领会公司内部的运作体制——不过,这样一来,你就难成为一位顾问。
您将感受到直接由功能完整的生意供给资金所带来的一切繁复性,这些生意的主要义务是经营生意,而没有是信息安全。你将与提防者并肩修筑——事宜反应者、谍报分解员、安全工程师……你没有仅也许运用他们的专科学识来进步你算作打击者的能力,其余,运用这些学识,还也许帮忙自身正在他日打造更好的安全构造。
为此,您大概须要做出良多和解。您将与构造中的许多其他人一统发展。您将对于损坏主要信息的系统孕育可见的、可掂量的以及担任任的作用。
停止语
对于你来讲,最主要的是唆使对于抨击性安全范畴的趣味,而各类能力对付无效的红队单干来讲都很是主要,所以,不管掌握了该范畴的哪些能力,一致没有缺就业机缘。其余,弄领会你指望以何种大局来作用构造也很主要。
你面临的最大寻衅是找到这样一家公司:设有红队,并且与您拥有不异的价值不雅,同时承诺与你一统发展。
理论上,红队常常根据往日的抨击或(指望)防止安全体味来聘任相干人员。
那若何才华脱颖而出呢?
要领会提防方究竟须要甚么,和他们的凡是处事是甚么样的。
红队的当中是寻衅假定。它总是挑剔性地对付系统某人类,并客气地提出寻衅:“为甚么它会以这种办法运作,还也许做得更好吗?”
证实:本大众号所瓜分实质仅用于网安癖好者之间的本领议论,允许用于不法路子,一切渗出都需猎取授权!不然需自行负担,本大众号及原作家没有负担相映的前因.
练习更多渗出能力!供靶场操练能力
(扫码领白帽黑客视频材料及器械)