05-红队评估中的对抗策略与实战技巧.pdfVIP

红队评估中的对抗策略与实战技巧

陈殷

01红队评估生命周期介绍

02关键战术和技术技巧分享

03典型红队评估案例分享

01红队评估生命周期介绍

ATTCK全称为AdversarialTactics,Techniques,andCommonKnowledge（对抗性战术、技术和公共

知识库）。它提供了一个基于真实世界观察的对抗技术知识库，专注于攻击者在操作过程中如何与系统交互，

反映了攻击者攻击生命周期的各个阶段以及不同平台使用的各种技术。

ATTCK框架基于攻击者的视角，描述了网络攻击中的战术、技术和过程（TTPs），并被广泛用于网络安全

领域，以帮助防御者分析攻击者行为，构建威胁情报，进行对手仿真和红队行动，以及评估与工程决策。

ATTCKMatrixforEnterprise｜参考来源：https//

红队评估概述

红队评估是一种模拟攻击者的安全评估方法，以攻击者视角对网络、基础设施、业务系统等进行模拟攻击，持续暴露防控

薄弱点并协助改进，以提升企业安全的防御、监测和应急处置的整体安全水平。

在时间上

红队的一个生命周期为数周或更久，比较灵活且无固定时间限制；

渗透测试为几天一周左右，需要指定目标范围和测试时间。

在深度上

红队可以进行深入的后渗透，社会工程学等等贴近真实攻击的手法；

国内的渗透测试还是以发现漏洞为主，一般情况下不进行后渗透等操作。

在实施过程上

红队注重测试的隐蔽性，尽可能的绕过现有的防御系统，拿到目标权限；

渗透测试一般会提前告知防御团队且设置白名单无需隐藏测试行为，有限的时间内尽可能地发现更多漏洞。

AsimplemodelthatworksforconsultingorinternalcorporateRedTeams.

02关键战术和技术技巧分享

资源开发

@TA0042

建立可以用来支持行动的基础设施，包括基础设施、帐户等。

自动化脚本编排实现自动化测试/流程化处理

武器自动化或自主化，信息收集、邮件钓鱼、木马免杀的自动化，以及C2、Webshell自主管理工具。

流量加密：wireguard+混淆协议/或者其他的vpn协议

服务器登录限制：ip限制+公钥限制

防火墙策略：敏感服务和端口，只由统⼀的跳板服务器接入

巡检：定期的安全检查和渗透测试

基础设施的匿名性（redteam服务器和域名等信息资产）

红队工具的匿名性（减少TTP被追踪的可能性）

网络通讯的匿名性（代理，VPN，物联卡等）

网络身份的匿名性（邮箱，社交账号，虚拟身份等）

本报告来源于三个皮匠报告站（）,由用户Id:673421下载,文档Id:187756,下载日期:2025-02-19

多级加密代理协议伪装方案

部分场景下的需求：

1、加密传输（众所周知，明⽂传输等于没挂代理）

2、多级代理（众所周知，⼀层代理约等于没挂代理）

常用的SOCKS5协议虽然支持代理，但其传输过程是明文的，而TLS代理虽然提供了加密，但在速度上存在不足。因此我们选

择使用WireGuar