今年职业上有了一点小变动,从一个攻击者变成了一个防御者。于是想把作为攻击者的一些想法写下来和大家交流。
某大型攻防演练暂告段落,攻击者们在弹冠相庆之后纷纷借着五一休假了。攻击方投入越来越大,攻击模式的体系化、流程化;攻击工具工程化、实战化,以肉眼可见的速度发展着。作为一个曾经的攻击者,内心是非常激动的。虽然已是局外人,但每每听到攻击方的故事,还是会热血沸腾。
我眼中的红队
曾经和朋友聊什么是红队?怎么做一只符合国情的红队?也阅读过很多国外红队报告,一度被各种高超的红队技巧迷花了眼。都说红队是在模仿APT攻击,但在前公司有幸参加“金链熊”分析后。我意识到红队如果是以模仿APT的路子走是不对的。红队和APT有着本质的区别,红队的出发点是让你的目标更加的安全,而APT的出发点是获取情报。因此整个执行的流程细节都有着很大的差别。它们唯一相通的或者说可以借鉴的是部分攻击技术。
红队永远不是主角,也不应该是主角。红队评估,红队是评估的助手;红蓝对抗,红队是蓝队的助手。红队是在模仿敌人,模仿攻击者,因此红队在我方阵营中不应该也不会是主角,它只有在敌方阵营中才是主角。
红队要有自己的体系。大家经常也会讨论某某红队主要是以什么方法打的,每个攻击环节他们是怎么串起来的。每个优秀的红队都有各自的风格,这就是体系的雏形。我想以后的红队应该是一个百家争鸣的状态。甲方的蓝军、乙方的红队、红队创业公司,各有各的体系,各有各的风格。
不要想着既要还要,红队不太可能既纵向做的深入,也横向覆盖的广。红队的投入是有限的而且是偏低的,助手和主角,助手投入盖过主角是不可能的。因此红队必然是小而精的,不可能是大而全的。
红队不要做成“打手”了,虽然这是现状。不可否认当前红队的商业价值来源于“打手”属性。这几年以政策为主的推动,使得“打手”属性的价值放大了很多倍。很多小伙伴也获益颇丰,甚至以此创业。看过古惑仔电影的小伙伴应该明白,“打手”的结局都不太好。
但也不要否认当前的“打手”阶段,我想“打手”阶段应该算红队v0.5版本。当“打手”价值放大到一定程度的时候,必将引起质变。我想接下来走向红队v1.0的路,应该是在红队评估的“评估”上做文章,应该是在红蓝对抗的“蓝”上思考。这才是真正能够产生红队长远价值的地方。我想在“评估”上做的好,在“蓝”上想的深,红队的价值也就越大。
我眼中的红队工具
红队工具不等于攻击工具。红队工具是红队人员执行攻击思路和方法的武器,就像士兵手中的枪,炮手面前的炮,亦或者指挥官手中的传令器。但子弹和炮弹不是真的,我们要去掉弹头,去掉破坏力,这只是演习。
往往在一次红队行动中,攻击可控、可溯源是一个很大的难题。我想它的解法在红队工具中,红队工具的发展应该是从小作坊到工程化再到系统化。在系统化的时候,攻击的可控、可溯是可以做到的。日志埋点、网关控流,还原每一步操作,梳理每一个请求。但是这样高昂的投入,目前看是不现实的,必然需要更大的市场、政策和商业价值来驱动。
当前的现状是什么样呢?近几年所谓的红队工具还只能叫做攻击工具,因为它只是攻击技术的执行程序而已,还必须给他增加紧箍咒,才能是红队工具。
我曾经做过一个问卷“CobaltStrike是不是一个远控木马”,我的本意是想知道大家觉得CobaltStrike是好的还是坏的。结果有点意料之中也有点出乎意料,意料之中的是坏多于好,出乎意料的是认为好的占比只比坏的低一点。
这是一个共识问题,拿切菜的刀举例,它固有的锋利让他既能违法也能切菜,但是因为有“菜”这个字,让菜刀也能在商店购买。我希望以后红队工具,因为有“红队”2个字,让它也可以被大家普遍使用。
曾经画过一个简图
![做为攻击者那些年的一些想法]( "做为攻击者那些年的一些想法")
安全社区很重要
很多和我一样的小伙伴,都是从社区学习成长,一路走出来的。社区一直在生死轮回中循环,每个阶段有每个阶段的不同表现形式从最早的论坛到现在的漏洞平台、SRC,从线上的YY、QQ到线下hackclub。我想最后必将走出一种各方共赢的方式。是谁会站出来呢?是360漏洞云,还是奇安信补天,亦或是阿里先知,白帽汇?
我曾经也有设想,做一个有知识星球、群、博客、论坛、开源项目、公益资源、训练平台等等。哈哈已是往事。其中公司之间的利益纠葛,法律界定都是需要考虑和寻解的。也多次被老板挑战“这能给公司带来什么实质利益?”
举一个例子,曾经有个小伙伴在A-Team星球发了一个话题,然后被主管训了一顿,勒令删除,还被......(此处略过一万字)最后愤然离职了。可能有小伙伴会说你和公司签了劳动合同,你的所有产出不管是上班下班都是公司财产。我觉得这里面需要有一个界定和共识,涉及到公司项目以及成果的当然应该保密,但是纯底层技术交流不应该被扼杀。不要因为你是A公司的员工在B公司技术论坛上学习的时候顺便回答一个技术问题,就被扣上一个“资敌”的帽子。
![做为攻击者那些年的一些想法]( "做为攻击者那些年的一些想法")
往事已矣......
原文始发于微信公众号(我需要的是坚持):做为攻击者那些年的一些想法
评论