解析 | 红队最常用的3大工具

有人说，历史就像任人打扮的小姑娘，每次表演都唱同样的歌。网络安全也不能免俗，红队工具似乎总是能逃避检测，给蓝队制造麻烦。造成这种局面原因有很多，但有一点是决定性的，那就是：红队只需要做对一次，而蓝队每次都需要做对。

蓝队通常很难检测到红队的工具，这迫使蓝队需要与威胁狩猎团队坐下来共同研究如何查找和检测红队最常使用的工具——例如Cobalt Strike、Brute Ratel、Meterpreter和PowerShell Empire。

以下，我们逐一介绍红队最常用的三大工具：

Cobalt Strike可能是红队（包括许多对手）今天最常用的红队工具之一。Cobalt Strike是一个功能齐全的商用渗透测试工具，由Strategic CyberLLC公司提供。该工具被宣传为“对手模拟和红队行动”，但其重要的定制和功能导致很多威胁参与者出于各种动机也会使用它。Cobalt Strike还整合了各种其他后期开发工具，例如Mimikatz，以扩展其功能。

一旦红队（或对手）站稳脚跟，策略重点就会转移到执行，在目标系统上“引爆”他们的工具，同时避免被安全团队发现。最常见的执行方法之一是使用脚本解释器——在Windows环境下通常是PowerShell。因此，许多安全控制措施都在密切关注PowerShell及其产生的进程。然而，Cobalt Strike（以及许多其他对手）找到了一种巧妙的方法，将PowerShell直接加载到内存中来绕过这个问题，通常使用类似unmanagedpowershell的工具在内存中运行PowerShell而无需生成powershell.exe。

检测Cobalt Strike活动最简单的方法之一是查找与非默认PowerShell可执行文件的PowerShell运行时环境关联的DLL加载，这可以帮助识别可能的恶意活动。

另一个大受欢迎的红队工具是Brute Ratel。该工具由Chetan Nayak（Mandiant和Crowdstrike的前红队成员）开发的攻击模拟和后利用工具包，于2020年发布。后利用工具包是一个可定制的命令和控制框架，为用户提供诸如（但不限于）：将shellcode注入进程、执行脚本执行和编写C2通道（如Slack、Microsoft团队）。

许多红队和对手在取得立足点后首先执行的技术动作之一是下载其他工具。许多现代安全工具能够使用无头浏览器（headless browser）之类的工具轻松检测到攻击者。但是，蓝队有时可能会被忽视的一种攻击方法是利用系统上已经存在的现有二进制文件（LOLBins）。该方法最流行工具之一是certutil，它是Windows操作系统上的命令行程序，用作证书服务的一部分。它可用于配置证书服务、验证证书以及更多与证书相关的活动。CertUtil中的一个命令参数——urlcache，可用于执行URL缓存管理操作——攻击者已经意识到他们可以使用该工具来下载恶意文件，但是如何检测呢？

检测恶意certutil活动的一种简单方法是通过CertUtil.exe的“urlcache”参数查找正在启动下载的文件。CertUtil通常不用于从Web下载可执行文件或文件，因此当它从互联网下载文件时应被视为可疑活动。

被红队和对手广泛使用的另一个红队工具是Metasploit，一种非常流行的攻击框架，用于渗透测试和恶意活动。

Metasploit有很多功能，最常见的是对手和红队用它来实现横向移动和在远程系统上执行操作。实现此目的的最常见技术之一是滥用PsExec进行服务安装。

检测Metasploit活动的一个简便的好方法是查找包含与Metasploit的PsExec工具使用的模式名称一致的服务安装，同时在“Windows”目录中查找具有相同名称的二进制文件。攻击者和红队可以更改此命名约定，但许多人并没有意识到这一点。