[翻译]-当下红队存在的问题
最近我发现了Andrew Thompson在推上创建了一个小问卷,主题是:蓝队是否应该在红队的行动过程中展示是如何捕捉到他们的攻击行为
我的回答是No
并给出了我的解释.
Andrew 指出:是取决于他们是什么类型的测试.
我自己的看法有以下几点:
问题1:单点打击
红蓝对抗旨在反映出防御者和真实对手之间的斗争,现实中的对手和红队一样,需要在攻击链的每一个环节都成功打击到目标.
红队的目的是不停地接近目标(比如拿到核心域控权限),拿鱼叉钓鱼来说,他不需要让所有人都上钩,只需要一个即可.
对于攻击链的每一个阶段,只需要一种方法就可以进入到下一步,发现的方法肯定不止一种,有时候是不经意间或者自动发生的.
红队可能会完成他们的任务,拿下最终目标,然后告诉蓝队他们每一个阶段做了哪些事,但是这对防守方有什么影响呢?
- 我们是否了解过每个阶段最可能出现的渗透方法?没有
- 我们是否可以采用封闭单个漏洞的策略来减小攻击面
那么,红队证明了什么?事实就是他们能够在Kill Chain
的不同阶段找到攻击方法.
我的意思是我们能否有最全面,最有效的方式来发挥出红队的作用?
问题2:专注于Kill Chain
红队经常把重点放在一条攻击链最短的路径上,换句话说,他们减少了更多可能的攻击思路.
但是,现实中,当对手开始行动以后,经常会持续的发现一些新的漏洞,从一个系统打到另外一个系统,只是为了寻找有价值的信息,收集信息和泄露的数据.
DMZ中一台Web服务器上的一个rar.exe
进程导致CPU使用率过高,发出大量DNS请求,监控也显示出完整的磁盘分区,从而发现很多的安全事件.
很多红队限制了自己在入场
时的行动,找到目标系统->拿到system权限->建立后门.他们知道如何混淆payload,但是他们是否训练过或者模拟过GB级的信息混淆?
他们是否获得了拿下域的任务,或者是拿到某开发部门设计蓝图的任务.
由此引入下一个问题.
问题3:模拟不完整
红队应该以最全面的方式来模拟对手(包括最笨拙和最明显的方式,不是吗?)
我认识的红队成员通常都很熟练,在我对Virustotal进行研究和研究时发现的有效payload经常与现实世界的攻击者工具集区分开。我问自己为什么?
,然后试着用语言表达出来。
- 混淆通常是定制的
- 独特的bypass方法
- 带有一些自定义编码/混淆过的的 MSF / Veil 框架趋势
- 强大的PowerShell工具集和其他研究人员完成的工具(例如,程序集加载代码段)
红队应该模拟对手的所有优点和缺点,而不是成为更好的攻击方。他们应该:
- 要去研究和使用知名的工具集 -即使它们已有十年历史,nbtscan或htran,让他们被检测到.(我没有在开玩笑,你确实应该这样做)
- 应用不同级别的
笨拙
并实现这一点,请研究威胁情报社区提供的APT报告-是的,这意味着你要去激活Guest帐户并将其添加到本地管理员组,即使你的灵魂反抗它。 - 设定切合实际的目标,因为完全控制高层
- 域从来不是的真正的实际目标。一些红队已经做到了这一点。设置诸如
检索有关客户/项目X公开招标的所有内部和机密信息
”或在机场X航站楼的行李处理系统中获取X射线管理控制台的屏幕快照
之类的目标。
ps:Wing肚子饿了,翻译不下去了,谷歌翻译CV一下???
怎么做才可以帮助我们的defender?
作为一名防守者,我希望得到:
- 更全面地了解杀伤链各个阶段的弱点和漏洞-是的,这需要花费很多时间,但我认为,比红队成员在每次迭代的过程中花时间不断去寻找新的途径要好得多.
如上所述:要想要更真实的模拟
- 使用已知的工具集,即使他们已经老了,缺乏创造力和个人化的自定义混淆
- 研究威胁报告并增加笨拙性,即使红队自己知道他们并且本身可以做得更好.
我要求这样做的原因并不是我害怕干架
(无论如何我还是赢了)。原因是,人们往往忽视了红队的真正目的-不是赢得比赛,而是训练蓝队进行真正的战斗。
蓝队的目的是:和真正的威胁对抗!
,而不是:去教红队你是如何抓住他们的,以便他们知道如何在下一次练习中躲避你的监测。
当然,你可以玩公开的猫捉老鼠游戏,直到两支球队都非常了解另一支球队的运作方式为止,但从我的角度来看,红队和蓝队的时间可以更有效地用于更好的演练.
更新24.11.19
在Twitter上进行一些讨论和评论后,我现在对红队的目的和局限性有了更清晰的了解。
- 首先,
我看到的红队做什么
和红队实际上应该做什么
混为一谈。有人告诉我,正确的红队
已经在进行合理的进行模拟对抗。 - 对红色团队提供的实际价值也存在误解。我想很多客户也一直相信,红队的练习将帮助你发现自我安全检测上的空白。这种错误的信念使我提出了这样的建议,即在杀死链的不同阶段对
保护/检测覆盖率
进行测试将非常有帮助。 合适的红队
告诉我,红队的主要目标不是发现检测缺口,而是发现反应本身,过程,协调,沟通等方面的缺陷。仅作为副产品,你会得到不完整的检测列表。主要目的是发现蓝队的内部弱点。
我是从以下观点写这篇博客文章的:
- 防御者去帮助客户缩小检测差距;
- 事件响应者经常偶然间发现红队活动的痕迹;
- 威胁情报分析师经常发现红队脚本,植入物和payload与现实世界中的示例完全不同。
我建议你阅读Twitter上的讨论以获得更好,更完整的在这里:
https://twitter.com/cyb3rops/status/1198231126508285952
Notes
今天我有事,后续我会在推特生继续分享我的idea!