渗透测试实战第三版学习笔记(一)

[TOC]

介绍

红队：

• 任务是模仿入侵者的TTP（战术和技术手段）；

• 目的是测出公司应对入侵事件的真实情况，查找出安全计划中的问题及员工对安全项目理解的不足之处，最终目的是提升员工对安全计划的理解；

• 尽量不被发现，不对内网进行大规模漏扫；

• 测试时间周期较长，两周-六个月；

• 模拟真实的攻击、社会工程学、远控木马等；

• 模拟攻击的结果是要针对制定的安全技术。

  渗透测试与红队的区别以下图所示：

TTD--检测时效--从入侵事件的初始发生到安全分析分院检测并开始处理入侵事件之间的时间。

TTM--缓解时效--测试记录的次要指标。

第一章 赛前准备--安装

关注攻击手法

高级威胁组织的TTP（Tactics、Techniques & Procedures）--策略、技巧、程序

火眼(FireEye)威胁情报分析报告：该威胁组织使用推特做为C2 服务器（Command and Contr ol--命令控制服务器），也使用了github 做为存储加密图片和通过信息隐写文件的仓库。

https://www2.fireeye.com/rs/848-DID-242/images/rpt-apt29-hammertoss.pdf

APT攻击基本介绍

APT攻击，即高级可持续威胁攻击,也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活动。 这种攻击活动具备极强的隐蔽性和针对性,一般会运用受感染的各类介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。

由MITRE 公司提出的ATT&CK 矩阵( Adversarial Tactics, Techniques, andCommon Knowledge matrix ) 是对APT 攻击的详细分解。矩阵中是一个在各类攻击场景中使用的不一样 TTP的大集合。

Windows:https://attack.mitre.org/matrices/enterprise/windows/

Linux:https://attack.mitre.org/matrices/enterprise/linux/

macOS:https://attack.mitre.org/matrices/enterprise/macos/

windows版以下所示：

APT组织与方法持续更新列表http://www.bit.ly/2GZb8eW

这个谷歌文件列举了世界多个国家的疑似APT 组织及其使用的工具集。能够参考该文档模拟不一样的攻击，可能不会使用相同的工具，可是能够构建相似的工具来作一样的攻击。

假定攻破练习

要进入一种思惟状态，即咱们老是蹲守，假设威胁就潜伏在周围，咱们须要时刻寻找异常。

红队的终点是检测或给出措施而不是漏洞。

假定突破练习（Assumed breach exercise）

在一个假定突破练习中，总会遇到一些 0-day。

在这些场景中，红队与公司内部的有限团队一块儿工做，在他们的服务器上执行一个定制的恶意软件 payload。这个payload 应该尝试以多种方式链接，确保绕过常见的AV(avast--高级杀毒软件)，并容许额外的payload 从内存中执行。

设定行动

• 在进攻第一个系统以前，须要肯定红队活动范围。

• 在红队活动中，从几个目标开始，以下所示但不只限于：

• 最终的目标是什么?只是 APT 检测吗?是要在服务器上获取标志吗？是从数据库中获取数据吗? 或者只是为了获得检测时效(TTD)指标?

• 是否有咱们想要复制的公开活动?

• 你会用什么技巧?咱们讨论过用MITRE ATT&CK 矩阵，可是在每一个类别中确切的技术是什么?

  每种技术的详细信息：https://github.com/redcanaryco/atomic-red-team

• 客户但愿你使用什么工具?是一些诸如 Metasploit、Cobalt Strike、DNS Cat 这样的商业攻击工具软件？仍是自制的定制化工具?

被抓住也是评估的一部分。这代表客户的防护如他们预期的同样在起做用/没有起做用。

设置外部服务器

• 使用 AWS 的Lightsail 服务器；

• 渗透测试框架 (PTF)；

• 创建强大的IPTables 规则；

• Red Baron是 Terraform 的一组模块和自定义/第三方提供者，它能够为红队自动建立弹性、一次性、安全和灵活的基础设施。

  注：明天进行外部服务器及相关工具实操。