理解红队的常见术语,这些术语可以帮我我们更好的了解红队攻击。
基于:RedTeam Development and Operations
Allow-List
允许列表
Allow list也可以被称为白名单,白名单中的内容是值得信任的。白名单通常用来授予特定资源的访问权限,通过白名单指定规则,白名单可以指定多个规则,如用户、ip、文件后缀,域名等,只有匹配白名单规则的才可以访问资源。相比于黑名单,创建一个良好的规则列表通常被认为是更好的做法,白名单通过默认拒绝的规则来加强安全性。
ASSUMED BREACH
"假设已遭受入侵"模型
这个模型假设在红蓝攻防前已经获得了某种程度的访问权限。每个组织对这种演练模型有不同的理解,不成熟的组织通常会争辩"假定某个人能够入侵一个网络是不寻常的",那些要求"请证明它"的人通常不会欣赏这种攻防场景。然而,在衡量威胁"能否进入"的时候这种假设非常重要,如果这不是一个关键目标,使用“假定已经遭受入侵”模型将节省时间和金钱,红队可探索更多的目标。较成熟的组织会更看重这种模型,因为它从更复杂的攻击威胁中发掘更多威胁情景。
BLUE CELL
蓝方
也就是蓝方,红方的对立面团队,主要负责组织防御性的工作,蓝方通常由蓝队成员、组织管理人员、组织内部技术人员。在内部网络通过感知类设备探测来自红队的流量。
BULE TEAM
蓝队
防御威胁侵入的团队,防守方。
COMMAND AND CONTROL (C2)
C2
C2是指攻击者的远程控制系统(Cobalt Strike就是C2),C2有一个主服务端和一个客户端,客户端连接主服务端进行payload生成,payload上传到目标服务器,目标服务器运行后,反弹回shell,然后控制目标服务器,可执行任意命令。
C2的层级通常分为三类:Interactive、Short Haul和Long Haul。有时它们被标记为第1、2或3层。每个层级并没有什么独特的特征,除了它们的使用方式不同。
- Interactive(互动层级)
用于一般命令、枚举、扫描、数据外泄等。这个层级的交互最多,面临着最大的暴露风险。计划在通信故障、代理故障或蓝队行动中失去访问权限。运行足够的互动会话以保持访问。虽然是互动的,但这并不意味着要向客户端发送大量数据包。使用好判断力,将交互最小化到刚好能执行操作的程度。
- Short Haul(短距离层级)
用作恢复互动会话的备用方案。使用与目标融为一体的隐蔽通信。回调时间较慢。1-24小时的回调时间很常见。
- Long Haul
与短距离相同,但更低更慢。回调时间很慢。24小时以上的回调时间很常见。
不同的C2类别旨在防止C2被暴露,不同的C2不混用。
CONTROL CELL
控制单元,White Cell,紫队
在攻防演练期间,充当裁判的角色,协调蓝队和红队,协调比赛进行,控制参与环境和网络,制定演练规则,监督ROE规则的执行情况。
DENY-LIST
拒绝列表,黑名单
黑名单列表,拉入黑名单的任何内容都拒绝访问特定资源,通常用来过滤某些有害内容。
ENGAGEMENT/EXERCISE CONTROL GROUP (ECG)
参与/演习控制组
ECG负责演练期间的所有活动。ECG由一两个高级管理人员(例如首席信息官或首席运营官)、一个信息技术部门的成员、一个紫队和一个红队联络员组成。根据需要可以添加更多人选。所有人都被视为Trusted Agents(可信代理)。
EXFILTRATION
数据外泄,信息窃取
通过隐蔽隧道从目标提取敏感信息的过程,
GET IN, STAY IN, ACT
进入,保持,执行
红队攻击的三个步骤
GET IN
获取目标内网网络访问权限,红队需要获取目标网络访问权限才能进入到目标内网环境,才有后期的STAY IN和ACT,可以通过合法入侵和假设已入侵内部网络直接获取内部网络访问权限。
STAY IN
在内部网络建立持久化连接,红队在内网通常会做权限维持,防止被蓝队发现,导致连接掉线。
ACT
开始进行内网渗透的阶段,获取更多的目标、敏感数据,达到演练目标。
IOC(INDICATOR OF COMPROMISE)
入侵指标
IOC(Indicator of Compromise)是指在计算机网络安全中用来识别和检测恶意活动的特定线索或指标。这些线索或指标可以包括恶意软件的特征、系统和应用程序的异常行为、系统文件的修改、网络流量的异常行为、用户账号的异常活动等。
IOC可以用于检测和定位计算机和网络系统中的安全漏洞或攻击行为,以及预防未来的安全威胁。当系统或应用程序受到攻击或受到恶意软件的感染时,IOC可以帮助安全专家迅速识别、定位并消除安全威胁。此外,IOC还可以与其他安全系统进行集成,例如入侵检测系统、安全信息和事件管理系统等,从而加强整个系统的安全性能。
一些常见的IOC包括:
1、哈希值:恶意软件的唯一哈希值可以进行比对,从而对其进行识别和分析。
2、IP地址和域名:识别感染计算机和通信服务器的网络地址,以确定攻击来源和命令和控制(C2)服务器。
3、异常行为:通过比对正常和异常行为,例如文件变更、进程和计划任务等来监测系统中的活动。
4、威胁情报:使用有关恶意活动的公开信息,如黑客论坛、漏洞通告等,从而了解可能的攻击者、攻击方式和目标。
OPFOR
敌方势力
OPLOG (OPERATOR LOG)
操作日志
红队操作人员在演练期间攻击目标环境产生的攻击日志。
OPERATIONAL IMPACT
操作影响
红队在演练期间所达到的目标和效果,包括对目标环境的战略、战术和操作层面的影响,以及对任务成功程度的评估。
操作影响在不同的攻防任务中可能会有所不同,具体因情况而异。例如,在一个网络渗透测试中,操作影响可以包括获取敏感信息、利用漏洞入侵系统、搭建后门用于权限维持等;在一个红队演习中,操作影响可以包括推翻业务流程、破坏关键设备、窃取敏感数据等。
OPSEC
安全操作规范
攻击者把防御者当成敌人对抗的安全意识,关注敌方情报可能观察到的关键信息,并是否会导致这些关键信息被敌方利用从而溯源,采取特定的措施消除或减少对手对关键信息的利用。在红队测试中,OPSEC的作用是了解蓝队可能会注意到的行动,以最小化曝光。
参考:浅谈OPSEC和C2
OUT BRIEF, EXECUTIVE
总结会议,高层
演练结束后的第一次会议,此时红队攻击总结报告未出来,会议针对管理层,人员应包括目标组织的关键人员。红队测试的结果可能会影响组织未来的运营,需要资金来进行漏洞修复或人员变更,如果要将红队测试结果用于改进组织的安全立场以应对威胁,管理意识和认同是至关重要的。
OUT BRIEF, TECHNICAL
总结会议,技术
技术会议红队、蓝队和组织之间的双向技术信息交流的过程。在这次交流中,红队和蓝队都提供了执行过程和结果(包括所有相关细节)的高度详细的技术审查。这是培训和教育的结合,也是所有方面学习的最有价值的机会之一。
PENETRATION TESTING
渗透测试
在一定的时间内发现目标系统的漏洞,在业务风险方面,通过渗透测试减小攻击面,因为修复发现的漏洞会减少攻击面,渗透测试通常不关注整个组织如何应对威胁。
PERSISTENCE
权限维持
在目标环境中维持网络访问权限的过程,利用各种技术维持网络连接。
Red Cell
红方
红色小组指的是组成红队攻击部分的组件,模拟对指定目标的战略和战术反应。红色小组通常由红队领导和操作人员组成,通常被称为“红队”,而不是“红色小组”。
Red Team
红队
攻击队伍,从威胁或对手的角度模拟攻击。
RED TEAMING
红队演练
红队演练是使用战术、技术和程序(TTP)来模拟现实威胁的过程,旨在培训和衡量人员、流程和用于保护环境的技术的有效性。
在业务风险方面,红队演练侧重于了解安全操作通过培训或测量处理威胁的能力。在演练期间通常会揭示技术发现,但这不是重点。红队演练旨在挑战安全操作的防御策略和假设,以确定防御策略中的漏洞或缺陷。通过培训或测量来改善安全操作是红队演练的目标。
RED TEAM LEAD
作为红队的运营和行政负责人。进行红队的参与、预算和资源管理,为参与、能力和技术提供监督和指导。确保遵守所有法律、法规、政策和战斗规则。
RED TEAM OPERATOR
红队选手
红队攻击人员,负责实施攻击。
作为演练的攻击人员,遵守红队负责人指导的所有要求,运用红队的战术、技术和过程(TTP)参与任务,并为红队提供技术研究和能力支持。在任务的每个阶段记录详细日志,并为制作最终报告提供日志和信息支持。
RULES OF ENGAGEMENT (ROE)
参与规则
演练规则,旨在确立红队、客户、系统所有者以及执行参与者之间的责任、关系和指导方针,以确保任务有效执行。
THREAT
威胁
可能导致事故发生的潜在原因,会对系统和组织造成危害,信息安全中的威胁包括任何可能未经授权访问、破坏、泄露、修改信息或中断服务,对组织的运营(包括任务、职责、形象、声誉)、组织的资源、个人、其他组织或国家造成不利影响的任何情况或事件。
THREAT MODE
威胁模型
威胁建模是一个过程,通过这个过程可以识别潜在的威胁或者缺乏适当的安全措施,将它们列举出来,并且可以对减轻这些威胁的措施进行优先排序。
THREAT EMULATION
威胁模拟
模拟威胁入侵组织的场景,模拟真实入侵的效果。
威胁仿真是模拟特定威胁的战术、技术和过程的过程。
THREAT SCENARIO
威胁场景
场景关注防御解决方案如何执行和符合安全任务所涉及的流程、程序、政策、活动、人员、组织、环境、威胁、限制、假设和支持。情景通常描述了威胁的角色如何与目标环境中的系统和网络进行交互,并模拟真实的入侵效果。简而言之,它回答了防御方如何动态执行操作以提供结果、输出或证明防守能力的问题。
TTPs
战术、技术、程序的集合。
VULNERABILITY ASSESSMENT
漏洞评估,风险评估
对信息系统进行系统性的检查,以确定组织安全措施是否充分、识别安全缺陷,提供数据支撑安全措施的有效性,在实施后确认措施的充分性,就业务风险而言,漏洞评估尽量减少攻击面,修复发现的漏洞,最终将减少攻击面。
webshell
Webshell是一种在Web服务器上执行的命令行界面,它允许攻击者通过Web应用程序与服务器进行交互,并执行系统命令。攻击者可以使用Webshell来获取服务器的敏感信息,修改文件,上传恶意代码等。