解析 | 红队最常用的3大工具

admin 2022年9月15日23:54:54安全工具评论21 views1750字阅读5分50秒阅读模式
解析 | 红队最常用的3大工具


有人说,历史就像任人打扮的小姑娘,每次表演都唱同样的歌。网络安全也不能免俗,红队工具似乎总是能逃避检测,给蓝队制造麻烦。造成这种局面原因有很多,但有一点是决定性的,那就是:红队只需要做对一次,而蓝队每次都需要做对。


蓝队通常很难检测到红队的工具,这迫使蓝队需要与威胁狩猎团队坐下来共同研究如何查找和检测红队最常使用的工具——例如Cobalt Strike、Brute Ratel、Meterpreter和PowerShell Empire。


以下,我们逐一介绍红队最常用的三大工具:


红队工具一:Cobalt Strike


Cobalt Strike可能是红队(包括许多对手)今天最常用的红队工具之一。Cobalt Strike是一个功能齐全的商用渗透测试工具,由Strategic CyberLLC公司提供。该工具被宣传为“对手模拟和红队行动”,但其重要的定制和功能导致很多威胁参与者出于各种动机也会使用它。Cobalt Strike还整合了各种其他后期开发工具,例如Mimikatz,以扩展其功能。


一旦红队(或对手)站稳脚跟,策略重点就会转移到执行,在目标系统上“引爆”他们的工具,同时避免被安全团队发现。最常见的执行方法之一是使用脚本解释器——在Windows环境下通常是PowerShell。因此,许多安全控制措施都在密切关注PowerShell及其产生的进程。然而,Cobalt Strike(以及许多其他对手)找到了一种巧妙的方法,将PowerShell直接加载到内存中来绕过这个问题,通常使用类似unmanagedpowershell的工具在内存中运行PowerShell而无需生成powershell.exe。


检测Cobalt Strike活动最简单的方法之一是查找与非默认PowerShell可执行文件的PowerShell运行时环境关联的DLL加载,这可以帮助识别可能的恶意活动。


红队工具二:Brute Ratel


另一个大受欢迎的红队工具是Brute Ratel。该工具由Chetan Nayak(Mandiant和Crowdstrike的前红队成员)开发的攻击模拟和后利用工具包,于2020年发布。后利用工具包是一个可定制的命令和控制框架,为用户提供诸如(但不限于):将shellcode注入进程、执行脚本执行和编写C2通道(如Slack、Microsoft团队)。


许多红队和对手在取得立足点后首先执行的技术动作之一是下载其他工具。许多现代安全工具能够使用无头浏览器(headless browser)之类的工具轻松检测到攻击者。但是,蓝队有时可能会被忽视的一种攻击方法是利用系统上已经存在的现有二进制文件(LOLBins)。该方法最流行工具之一是certutil,它是Windows操作系统上的命令行程序,用作证书服务的一部分。它可用于配置证书服务、验证证书以及更多与证书相关的活动。CertUtil中的一个命令参数——urlcache,可用于执行URL缓存管理操作——攻击者已经意识到他们可以使用该工具来下载恶意文件,但是如何检测呢?


检测恶意certutil活动的一种简单方法是通过CertUtil.exe的“urlcache”参数查找正在启动下载的文件。CertUtil通常不用于从Web下载可执行文件或文件,因此当它从互联网下载文件时应被视为可疑活动。


红队工具三:Metasploit


被红队和对手广泛使用的另一个红队工具是Metasploit,一种非常流行的攻击框架,用于渗透测试和恶意活动。


Metasploit有很多功能,最常见的是对手和红队用它来实现横向移动和在远程系统上执行操作。实现此目的的最常见技术之一是滥用PsExec进行服务安装。


检测Metasploit活动的一个简便的好方法是查找包含与Metasploit的PsExec工具使用的模式名称一致的服务安装,同时在“Windows”目录中查找具有相同名称的二进制文件。攻击者和红队可以更改此命名约定,但许多人并没有意识到这一点。


声明:除发布的文章无法追溯到作者并获得授权外,我们均会注明作者和文章来源。如涉及版权问题请及时联系我们,我们会在第一时间删改,谢谢!文章来源:GoUpSec


解析 | 红队最常用的3大工具


原文始发于微信公众号(e安在线):解析 | 红队最常用的3大工具

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月15日23:54:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  解析 | 红队最常用的3大工具 http://cn-sec.com/archives/1297967.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: