红队战术

# 红队战术 > 基于 MITRE ATT&CK 框架的对手模拟原则。 --- ## 1. MITRE ATT&CK 阶段 ### 攻击生命周期 侦察 (RECONNAISSANCE) → 初始访问 (INITIAL ACCESS) → 执行 (EXECUTION) → 持久化 (PERSISTENCE) ↓ ↓ ↓ ↓ 提权 (PRIVILEGE ESC) → 检测规避 (DEFENSE EVASION) → 凭据访问 (CRED ACCESS) → 发现 (DISCOVERY) ↓ ↓ ↓ ↓ 横向移动 (LATERAL MOVEMENT) → 收集 (COLLECTION) → C2 → 数据外泄 (EXFILTRATION) → 影响 (IMPACT) ### 阶段目标 | 阶段 | 目标 | |-------|-----------| | **侦察** | 映射攻击面 | | **初始访问** | 获取第一个立足点 | | **执行** | 在目标上运行代码 | | **持久化** | 在重启后存活 | | **提权** | 获取管理员/root 权限 | | **检测规避** | 避免被发现 | | **凭据访问** | 获取凭据 | | **发现** | 映射内部网络 | | **横向移动** | 扩散到其他系统 | | **收集** | 收集目标数据 | | **C2** | 维护命令通道 | | **数据外泄** | 提取数据 | --- ## 2. 侦察原则 ### 被动与主动 | 类型 | 权衡 | |------|-----------| | **被动** | 无目标接触，信息有限 | | **主动** | 直接接触，检测风险更高 | ### 信息目标 | 类别 | 价值 | |----------|-------| | 技术栈 | 攻击向量选择 | | 员工信息 | 社会工程学 | | 网络范围 | 扫描范围 | | 第三方 | 供应链攻击 | --- ## 3. 初始访问向量 ### 选择标准 | 向量 | 使用场景 | |--------|-------------| | **钓鱼** | 人员目标，电子邮件访问 | | **公开漏洞** | 暴露的易受攻击服务 | | **有效凭据** | 已泄露或已破解 | | **供应链** | 第三方访问 | --- ## 4. 提权原则 ### Windows 目标 | 检查点 | 机会 | |-------|-------------| | 未引用的服务路径 | 写入路径 | | 弱服务权限 | 修改服务 | | 令牌权限 | 滥用 SeDebug 等 | | 存储的凭据 | 收集 | ### Linux 目标 | 检查点 | 机会 | |-------|-------------| | SUID 二进制文件 | 以所有者身份执行 | | Sudo 配置错误 | 命令执行 | | 内核漏洞 | 内核漏洞利用 | | Cron 任务 | 可写脚本 | --- ## 5. 检测规避原则 ### 关键技术 | 技术 | 目的 | |-----------|---------| | LOLBins | 使用合法工具 | | 混淆 | 隐藏恶意代码 | | 时间戳伪造 | 隐藏文件修改 | | 日志清理 | 清除证据 |