红队常用攻击套路

在红队的实战过程中，红队专家们逐渐摸出了一些套路、总结了一些经验：有后台或登录入口的，会尽量尝试通过弱口令等方式进入系统；找不到系统漏洞时，会尝试社工钓鱼，从人开展突破；有安全防护设备的，会尽量少用或不用扫描器，使用EXP力求一击即中；针对防守严密的系统，会尝试从子公司或供应链来开展工作；建立据点过程中，会用多种手段多点潜伏，防患于未然。

下面介绍九种红队最常用的攻击战术。

一、 利用弱口令获得权限

弱密码、默认密码、通用密码和已泄露密码通常是红队专家们关注的重点。实际工作中，通过弱口令获得权限的情况占据90%以上。

很多企业员工用类似zhangsan、zhangsan001、zhangsan123、zhangsan888这种账号拼音或其简单变形，或者123456、888888、生日、身份证后6位、手机号后6位等做密码。导致通过信息收集后，生成简单的密码字典进行枚举即可攻陷邮箱、OA等账号。

还有很多员工喜欢在多个不同网站上设置同一套密码，其密码早已经被泄露并录入到了黑产交易的社工库中；或者针对未启用SSO验证的内网业务系统，均习惯使用同一套账户密码。这导致从某一途径获取了其账户密码后，通过凭证复用的方式可以轻而易举地登录到此员工所使用的其他业务系统中，为打开新的攻击面提供了便捷。

很多通用系统在安装后会设置默认管理密码，然而有些管理员从来没有修改过密码，如admin/admin、test/123456、admin/admin888等密码广泛存在于内外网系统后台，一旦进入后台系统，便有很大可能性获得服务器控制权限；同样，有很多管理员为了管理方便，用同一套密码管理不同服务器。当一台服务器被攻陷并窃取到密码后，进而可以扩展至多台服务器甚至造成域控制器沦陷的风险。

二、 利用互联网边界渗透内网

大部分企业都会有开放于互联网边界的设备或系统，如：VPN系统、虚拟化桌面系统、邮件服务系统、官方网站等。正是由于这些设备或系统可以从互联网一侧直接访问，因此也往往会成为红队首先尝试的，突破边界的切入点。

此类设备或系统通常都会访问内网的重要业务，为了避免影响到员工使用，很多企业都没有在其传输通道上增加更多的防护手段；再加上此类系统多会集成统一登录，一旦获得了某个员工的账号密码，就可以通过这些系统突破边界直接进入内网中来。

譬如，开放在内网边界的邮件服务如果缺乏审计，也未采用多因子认证；员工平时又经常通过邮件传送大量内网的敏感信息。如服务器账户密码、重点人员通讯录等。那么，当掌握相关员工的邮箱账号密码后，在邮件中所获得的信息，会被红队下一步工作提供很多方便。

三、 利用通用产品组件漏洞

信息化的应用提高了工作效率，但其存在的安全漏洞也是红队人员喜欢的。历年实战攻防演习中，经常被利用的通用产品漏洞包括：邮件系统漏洞、OA系统漏洞、中间件软件漏洞、数据库漏洞等。这些漏洞被利用后，可以使攻击方快速获取大量账户权限，进而控制目标系统。而作为防守方，漏洞往往很难被发现，相关活动常常被当作正常业务访问而被忽略。

四、 利用安全产品0Day漏洞

安全产品自身也无法避免0Day攻击！安全产品也是一行行代码构成，也是包含了操作系统、数据库、各类组件等组合而成的产品。历年攻防实战演习中，被发现和利用的各类安全产品的0Day漏洞，主要涉及安全网关、身份与访问管理、安全管理、终端安全等类型安全产品。这些安全产品的漏洞一旦被利用，可以使攻击者突破网络边界，获取控制权限进入网络；获取用户账户信息，并快速拿下相关设备和网络的控制权限。

安全产品的0Day漏洞常常是红队最好的攻击利器。

五、 利用人心弱点社工钓鱼

利用人的安全意识不足或安全能力不足，实施社会工程学攻击，通过钓鱼邮件或社交平台进行诱骗，是红队专家经常使用的社工手段。在很多情况下，“搞人”要比“搞系统”容易得多。

钓鱼邮件是最经常被使用的攻击手段之一。红队专家常常会首先通过社工钓鱼或漏洞利用等手段盗取某些安全意识不足的员工邮箱账号；再通过盗取的邮箱，向该单位的其他员工或系统管理员发送钓鱼邮件，骗取账号密码或投放木马程序。由于钓鱼邮件来自内部邮箱，“可信度”极高，所以，即便是安全意识较强的IT人员或管理员，也很容易被诱骗点开邮件中的钓鱼链接或木马附件，进而导致关键终端被控，甚至整个网络沦陷。

冒充客户进行虚假投诉，也是一种常用的社工手法，攻击方会通过单人或多人配合的方式，通过在线客服平台、社交软件平台等，向客户人员进行虚假的问题反馈或投诉，设局诱使或迫使客服人员接受经过精心设计的带毒文件或带毒压缩包。一旦客户人员的心理防线被突破，打开了带毒文件或压缩包，客服人员的电脑就会成为攻击队打入内网的一个“立足点”。

除了客服人员外，很多非技术类岗位的工作人员也很容易成为社工攻击的“外围目标”。例如，如给法务人员发律师函，给人力资源人员发简历，给销售人员发送采购需求等，都是比较常用的社工方法。而且往往“百试百灵”。

六、 利用供应链隐蔽攻击

供应链攻击是迂回攻击的典型方式。攻击方会从IT（设备及软件）服务商、安全服务商、办公及生产服务商等供应链入手，寻找软件、设备及系统漏洞，发现人员及管理薄弱点并实施攻击。常见的系统突破口包括：邮件系统、OA系统、安全设备、社交软件等；常见的突破方式包括软件漏洞，管理员弱口令等。

利用供应链攻击，可以实现第三方软件系统的恶意更新，第三方服务后台的秘密操控，以及物理边界的防御突破（如，受控的供应商驻场人员设备被接入内网）等多种复杂的攻击目标。

七、 利用下属单位迂回攻击

在有红队防守的实战攻防演习中，有时总部的系统防守会较为严密，红队很难正面突破，很难直接撬开进入内网的大门。此时，尝试绕过正面防御，通过攻击防守相对薄弱的下属单位，再迂回攻入总部的目标系统，就是一种很“明智”的策略。

红队大量实战中发现：绝大部分企业机构，其下属单位之间的内部网络，下属单位与集团总部之间的内部网络，均未进行有效隔离。很多部委单位、大型央企均习惯于使用单独架设一条专用网络，来打通各地区之间的内网连接，但同时又普遍忽视了不通区域网络之间必要的隔离管控措施，缺乏足够有效的网络访问控制。

这就导致红队一旦突破了子公司或分公司的防线，便可以通过内网横向渗透，直接攻击到集团总部，或是漫游整个企业内网，进而攻击任意系统。

例如A子公司位于深圳，B子公司位于广州，而总部位于北京。当A子公司或B子公司被突破后，就可以毫无阻拦地进入到总部网络中来。事实上，A子公司与B子公司可能仅需要访问北京总部的部分业务系统；同时，A与B则可能完全不需要有任何业务上的往来。那么，从安全角度看，就应该严格限制A与B之间的网络访问。但实际情况常常是：一条专线内网通往全国各地，一处沦陷，处处沦陷。

八、 秘密渗透

不同于民间黑客或黑产团队，红队工作一般不会大规模使用漏洞扫描器，因为扫描器活动特征明显，很容易暴露自己。例如，目前主流的WAF、IPS等防护设备都有识别漏洞扫描器的能力，一旦发现后，可能第一时间触发报警或阻断IP。

因此，信息收集和情报刺探是红队工作的基础。在数据积累的基础上，针对性地根据特定系统、特定平台、特定应用、特定版本，去寻找与之对应的漏洞，编写可以绕过防护设备的EXP来实施攻击操作，可以达到隐蔽攻一击即中的目的。

如果目标系统的防御纵深不够，或使用安全设备的能力不足，当面对这种有针对性攻击时，往往就很难及时发现和阻止攻击行为。在攻防演习的实战中，常常使用红队获取到目标资料或数据后，被攻击单位尚未感知到入侵行为。

如果参与演习的安全人员本身的技术能力也比较薄弱，无法实现对攻击行为的发现、识别，无法给出有效的攻击阻断、漏洞溯源及系统修复策略，则在攻击发生的很长一段时间内，防守一方可能都不会对红队的隐蔽攻击采取有效的应对措施。

九、 多点潜伏

红队专家在工作中，通常不会仅仅站在一个据点上去去开展渗透工作，而是会采取不同的Webshell，使用不同的后门程序，利用不同的协议来建立不同特征的据点。

事实上，大部分应急响应过程并没有溯源攻击源头，也未必能分析完整攻击路径。在防护设备告警时，很多防守方队员会仅仅只处理告警设备中对应告警IP的服务器，而忽略了对攻击链的梳理，从而导致尽管处理了告警，但仍未能将红队排除在内网之外。而红队则可以通过多个潜伏据点，实现快速“死灰复燃”。

如果某些防守方成员专业程度不高，安全意识不足，还有可能在红队的“伏击”之下暴露更多敏感信息。例如，在针对Windows服务器应急运维的过程中，有防守方队员会直接将自己的磁盘通过远程桌面共享挂载到被告警的服务器上。这样反而可以给秘密潜伏的红队进一步攻击防守方成员的机会。

 

本文始发于微信公众号（盾山实验室）：红队常用攻击套路