做红队你需要学习如何挖掘战壕（一）

0x00 前言

看到红队和战壕，相信做红队或者蓝军的同学应该知道我想聊什么了？今天和大家聊一聊红队的基础设施。

19年的时候为了准备一个PPT，系统的梳理了下红队的基础设施，现在写出来算是抄冷饭了，希望对大家依旧有用。我曾经大言不惭的说过一句话“在红队行动中，完善的基础设施是成功的一半”。虽有夸张，却无不当。在这儿做个形象的比喻，搭建基础设施，类似于打仗前挖的战壕。战壕不仅是个人掩体，还是部队作战、输送和补给的场地。战壕置于战争的作用，就是基础设施置于红队行动的作用。对军事有兴趣的同学可以百度“如何挖掘战壕”。回归正题，所谓的红队的基础设施具体的是什么？下文中红队的基础设施，全部以基础设施代指。

0x01 什么是基础设施

为什么要花这么大的力气去搭建所谓的基础设施，什么是基础设施？在解释这些问题之前。你应该对“什么是挖漏洞”、“什么是渗透测试”、“什么是红队行动”有一定了解，在此我就不过多阐述了，网上有很多文章阐述，我也没有更多新的见解。在这儿用2个故事做个比喻，简单解释下：

故事2：

相信大家应该清晰了，故事1是挖漏洞，故事2是渗透测试。那什么是红队行动呢？

通过对挖漏洞、渗透测试、“APT”的对比发现，“APT”具有隐蔽、周期长（俗话说：不怕贼偷，就怕贼惦记）、长期盯着你、不择手段（针对性极强，明确的目的性）的特点，这些是挖漏洞和渗透测试不具备的。

说到这里，你联想一下应该就清楚什么是红队基础设施了。从意义和作用上讲，红队基础设施是为了满足红队行动中隐蔽性、周期性、持久性、针对性，以及满足作战协同和后期出报告的需求而发展形成的红队行动的一个阶段。实际落地具象化就是C2搭建（匿名网络链路相关的在此不谈，后面单独行文），看到这儿，你可能内心会想了，MD BB了半天，不就是搭建一个C2嘛！是的，就是搭建C2，搭建C2容易，但是要搭建一个好的C2就不容易了。

0x02 C2架构设计

• 功能无分离

• 通道无分离，无潜伏通道

• 没有前置机，架构灵活性太低

• TeamServer太少，回连机器过多，会导致CS日志同步极其耗时间

再看演进一个版本：

让我们看看最终版：

这下有了前置了，有钓鱼的前置、植入体下载前置、控制前置、潜伏通道前置，这里没有数据通道的前置，红队行动毕竟不是APT，不需要拖取大量数据（这是违法的）。

在这儿有几个小的tips，结合实际多次经历在稳定性和成本上的考量：

• TeamServer推荐配置：

• 1-2cpu

• 2G内存以上（内存太小，控制周期过长和操作太多会导致内存不够用，容易down机）

• 10G以上硬盘

• 每台TeamServer回连不超过5台

• 一台机器实际行动中往往有多个session存在，满足不同的操作互不影响的需求。
  

• 回连机器过多，回连频率设置不恰当会导致teamServer被DDOS，然后卡死。

• 潜伏通道

• 根据实际目标环境DNS通道优先，低频率、低速度、低数据

• 高隐蔽方式优先，例如：借用三方服务搭建的通道。这种通道隐蔽性好，但是效率低，非常适合潜伏通道。

这个系列就叫“如何挖掘战壕”系列：

• 架构设计和简述

• IP和域名

• C2工具（CobaltStrike）

• 前置器

• 自动化部署

原文始发于微信公众号（我需要的是坚持）：做红队你需要学习“如何挖掘战壕”（一）