做红队你需要学习如何挖掘战壕(一)

admin 2022年8月28日09:20:24安全文章评论4 views1947字阅读6分29秒阅读模式

做红队你需要学习如何挖掘战壕(一)

0x00 前言

看到红队和战壕,相信做红队或者蓝军的同学应该知道我想聊什么了?今天和大家聊一聊红队的基础设施。

19年的时候为了准备一个PPT,系统的梳理了下红队的基础设施,现在写出来算是抄冷饭了,希望对大家依旧有用。我曾经大言不惭的说过一句话“在红队行动中,完善的基础设施是成功的一半”。虽有夸张,却无不当。在这儿做个形象的比喻,搭建基础设施,类似于打仗前挖的战壕。战壕不仅是个人掩体,还是部队作战、输送和补给的场地。战壕置于战争的作用,就是基础设施置于红队行动的作用。对军事有兴趣的同学可以百度“如何挖掘战壕”。回归正题,所谓的红队的基础设施具体的是什么?下文中红队的基础设施,全部以基础设施代指。


0x01 什么是基础设施

为什么要花这么大的力气去搭建所谓的基础设施,什么是基础设施?在解释这些问题之前。你应该对“什么是挖漏洞”、“什么是渗透测试”、“什么是红队行动”有一定了解,在此我就不过多阐述了,网上有很多文章阐述,我也没有更多新的见解。在这儿用2个故事做个比喻,简单解释下:


故事1:

领导丢该小明一个网站,小明使用扫描器发现一个文件上传漏洞,然后小明告诉领导目标有文件上传漏洞。

故事2:

领导丢该小明一个网站,小明使用扫描器发现一个文件上传漏洞,然后上传webshell并提权,再以此台服务器为代理,对内网进行各种扫描,发现一堆弱口令、sql注入、文件上传等等漏洞,最后告诉领导整个流程。


相信大家应该清晰了,故事1是挖漏洞,故事2是渗透测试。那什么是红队行动呢?


做红队你需要学习如何挖掘战壕(一)

这是我19年的理解,现在针对“真实的ATP攻击行为”有了不同的一些认识,请阅读《做攻击者那些年的一些想法》

通过对挖漏洞、渗透测试、“APT”的对比发现,“APT”具有隐蔽、周期长(俗话说:不怕贼偷,就怕贼惦记)、长期盯着你、不择手段(针对性极强,明确的目的性)的特点,这些是挖漏洞和渗透测试不具备的。

说到这里,你联想一下应该就清楚什么是红队基础设施了。从意义和作用上讲,红队基础设施是为了满足红队行动中隐蔽性、周期性、持久性、针对性,以及满足作战协同和后期出报告的需求而发展形成的红队行动的一个阶段。实际落地具象化就是C2搭建(匿名网络链路相关的在此不谈,后面单独行文),看到这儿,你可能内心会想了,MD BB了半天,不就是搭建一个C2嘛!是的,就是搭建C2,搭建C2容易,但是要搭建一个好的C2就不容易了。


0x02 C2架构设计

做红队你需要学习如何挖掘战壕(一)

这是普通的C2架构,也是大家常用的,说架构都有点不合适,就是一个链路而已,它有哪些缺陷呢?
  • 功能无分离

  • 通道无分离,无潜伏通道

  • 没有前置机,架构灵活性太低

  • TeamServer太少,回连机器过多,会导致CS日志同步极其耗时间


再看演进一个版本:

做红队你需要学习如何挖掘战壕(一)

这一下有了DNS通道、HTTP通道、HTTPS通道,每种协议通道都有自己的优势劣势,根据这些优势劣势按需分配,分别作为数据通道、控制通道、潜伏通道,再根据红队行动中攻击方式的不同来做功能隔离,例如:钓鱼的C2不要和后渗透的放一起;不同的打点位用不同的链路。
那么这个架构有什么劣势呢?在行动中难免不触发报警,因此为了不被完全清场,同时还要做到功能分离、通道分离等,这样会导致teamserver成几何级部署。因此前置的作用尤为重要了。


让我们看看最终版:

做红队你需要学习如何挖掘战壕(一)

这下有了前置了,有钓鱼的前置、植入体下载前置、控制前置、潜伏通道前置,这里没有数据通道的前置,红队行动毕竟不是APT,不需要拖取大量数据(这是违法的)。

在这儿有几个小的tips,结合实际多次经历在稳定性和成本上的考量:

  • TeamServer推荐配置:

    • 1-2cpu

    • 2G内存以上(内存太小,控制周期过长和操作太多会导致内存不够用,容易down机)

    • 10G以上硬盘

  • 每台TeamServer回连不超过5台

    • 一台机器实际行动中往往有多个session存在,满足不同的操作互不影响的需求。

    • 回连机器过多,回连频率设置不恰当会导致teamServer被DDOS,然后卡死。

  • 潜伏通道

    • 根据实际目标环境DNS通道优先,低频率、低速度、低数据

    • 高隐蔽方式优先,例如:借用三方服务搭建的通道。这种通道隐蔽性好,但是效率低,非常适合潜伏通道。


从架构图中可以看出,基础的元素就是ip和域名(vps)、C2工具(cobaltStrike)、前置器(cdn类、反代类、三方类、漏洞类),关于VPS的选择、C2工具的对比不在本系列中描述,后面单独行文。做好一个C2的搭建,也就是选好这些元素。
第一篇就到此结束了吧,内容太多,我自己都会不想读,下一篇接着说ip和域名相关的选择。


这个系列就叫“如何挖掘战壕”系列:

  • 架构设计和简述

  • IP和域名

  • C2工具(CobaltStrike)

  • 前置器

  • 自动化部署


原文始发于微信公众号(我需要的是坚持):做红队你需要学习“如何挖掘战壕”(一)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月28日09:20:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  做红队你需要学习如何挖掘战壕(一) http://cn-sec.com/archives/908446.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: