公开文集
0x01 SRC 资产管理系统
0x02 Web 漏洞案例库
0x03 小程序漏洞案例库
第一章:小程序渗透基础
1.1 微信小程序反编译与动态调试
1.2 微信小程序强制开启开发者模式
0x99 信息安全学习体系
01-网络安全基础
Day-001-TCP-IP协议栈安全分析
Day-002-DNS协议安全与DNS劫持攻防
Day-003-IPv6 安全基础与过渡
Day-004-HTTP-HTTPS协议深度解析
Day-005-网络嗅探与流量分析技术
Day-006-防火墙原理与配置实践
Day-007-网络地址转换 NAT 安全分析
Day-008-路由协议安全 RIP-OSPF-BGP
Day-009-VLAN 安全与 VLAN-Hopping
Day-010-无线网络基础与安全 802.11
Day-011-网络访问控制 802.1X-NAC
Day-012-网络分段与微隔离设计
Day-013-负载均衡器安全配置
Day-014-CDN安全与防护
Day-015-NTP安全
Day-016-DHCP安全与攻击防护
Day-017-ICMP协议安全分析
Day-018-网络协议模糊测试基础
Day-019-网络流量基线建立
Day-020-网络取证基础
Day-021-网络入侵检测系统 NIDS
Day-022-网络入侵防御系统 NIPS
Day-023-网络流量加密与解密
Day-024-网络协议逆向工程基础
Day-025-网络性能与安全权衡
Day-026-SDN 安全
Day-027-网络虚拟化安全
Day-028-网络欺骗技术
Day-029-网络威胁情报应用
Day-030-网络容量规划与安全
Day-031-网络安全架构设计实战
02-Web 安全
Day-032-OWASP-Top-10-2021详解
Day-033-SQL 注入原理与手工检测
Day-034-SQL注入进阶报错注入与盲注
Day-035-XSS跨站脚本攻击基础
Day-036-XSS 进阶绕过与利用
Day-037-XSS进阶绕过与利用
Day-038-CSRF 跨站请求伪造
Day-039-文件上传漏洞
Day-040-反序列化漏洞基础
Day-041-PHP反序列化深入
Day-042-Java反序列化深入
Day-043-SSTI 服务端模板注入
Day-044-文件包含漏洞 LFI-RFI
Day-045-命令注入漏洞
Day-046-XXE-XML 外部实体注入
Day-047-反序列化漏洞进阶
Day-048-API 安全基础
Day-049-API认证与授权安全
Day-050-API漏洞挖掘实战
Day-051-文件上传漏洞进阶
Day-052-反序列化漏洞实战
Day-053-Web 安全综合实战
Day-054-移动安全基础
Day-055-Android 应用安全测试
Day-056-iOS 应用安全测试
Day-057-移动应用综合实战
Day-058-云安全基础
Day-059-AWS 安全实战
Day-060-Azure 安全实战
Day-061-GCP 安全实战
Day-062-云安全综合实战
Day-063-容器安全基础
Day-064-Docker 安全实战
Day-065-Kubernetes 安全实战
Day-066-容器安全综合实战
Day-067-API 安全进阶
Day-068-服务端请求伪造 SSRF 深入
Day-069-文件上传漏洞进阶
Day-070-反序列化漏洞实战进阶
Day-071-业务逻辑漏洞深入
Day-072-前端安全深入
Day-073-Web 安全综合实战
Day-074-云安全进阶
Day-075-移动安全进阶
Day-076-API 安全进阶
Day-077-前端安全进阶
Day-078-业务逻辑漏洞进阶
Day-079-反序列化漏洞实战进阶
Day-080-文件上传漏洞实战进阶
Day-081-SSTI 服务端模板注入进阶
Day-082-XXE-XML 外部实体注入进阶
Day-083-SSRF 服务端请求伪造进阶
Day-084-命令注入漏洞进阶
Day-085-文件包含漏洞进阶
Day-086-反序列化漏洞实战进阶
Day-087-文件上传漏洞实战进阶
Day-088-SSTI 服务端模板注入实战进阶
Day-089-XXE-XML 外部实体注入实战进阶
Day-090-SSRF 服务端请求伪造实战进阶
Day-091-命令注入漏洞实战进阶
Day-092-Web 安全综合实战
Day-093-GraphQL 安全
Day-094-JWT 与 OAuth2 安全
03-系统安全
Day-095-系统监控与检测
Day-096-主机防火墙配置
Day-097-系统审计与合规
Day-098-Linux 系统安全进阶
Day-099-Windows 系统安全进阶
Day-100-容器安全进阶
Day-101-容器编排安全进阶
Day-102-Linux 内核安全
Day-103-Windows 内核安全
Day-104-系统安全总结与实战
Day-105-Linux 系统安全基础
Day-106-Windows 系统安全基础
Day-107-容器安全基础
Day-108-系统加固技术
Day-109-日志分析技术
Day-110-威胁狩猎技术
04-应用安全
Day-111-安全编码规范
Day-112-输入验证技术
Day-113-输出编码技术
Day-114-错误处理安全
Day-115-会话管理安全
Day-116-认证安全
Day-117-授权安全
Day-118-数据保护安全
Day-119-日志安全
Day-120-API 安全
Day-121-微服务安全
Day-122-新兴技术安全概论
Day-123-DevSecOps 流水线安全
Day-124-云原生安全架构
Day-125-API 安全最佳实践
Day-126-安全编码规范
Day-127-SDL 安全开发生命周期
Day-128-威胁建模实战
Day-129-安全需求分析
Day-130-安全架构设计
Day-131-安全编码实践Java
Day-132-安全编码实践Python
Day-133-代码审计方法论
Day-134-静态代码分析SAST
Day-135-动态应用测试DAST
Day-136-交互式测试IAST
Day-137-软件成分分析SCA
Day-138-依赖漏洞管理
Day-139-安全测试自动化
Day-140-漏洞管理与响应
Day-141-应用安全总结与展望
Day-142-OWASP-Top10-2024 详解
Day-143-CWE-Top25 分析
Day-144-漏洞挖掘方法论
Day-145-模糊测试技术
Day-146-逆向工程基础
Day-147-漏洞利用开发基础
Day-148-漏洞复现与验证
Day-149-漏洞披露流程
Day-150-CVE 申请与管理
Day-151-漏洞赏金计划
Day-152-等保2.0详解
Day-153-GDPR 合规实践
Day-154-数据安全法解读
Day-155-个人信息保护法与合规指南
Day-156-个人信息保护法解读
Day-157-ISO-27001 信息安全管理体系
Day-158-SOC-2 合规与审计
Day-159-PCI-DSS 支付卡行业数据安全标准
Day-160-网络安全审查办法解读
Day-161-数据出境安全评估办法
Day-162-应用安全评估实战
Day-163-红蓝对抗演练
Day-164-安全应急响应
Day-165-安全运营中心建设
Day-166-应用安全总结与展望
05-密码学
Day-167-密码学基础
Day-168-对称加密算法详解
Day-169-非对称加密算法详解
Day-170-哈希函数与数字签名
Day-171-密钥管理与PKI
Day-172-TLS-SSL 协议详解
Day-173-国密算法详解
Day-174-认证与密钥协议
Day-175-随机数生成与熵源
Day-176-椭圆曲线密码学详解
Day-177-后量子密码学详解
Day-178-高级密码学主题
Day-179-密码学行业应用精选
Day-180-常用加密算法原理与实现
Day-181-密码学总结与展望
Day-182-密码学系列总结与展望
06-渗透测试
Day-183-渗透测试方法论
Day-184-信息收集技术详解
Day-185-漏洞扫描技术详解
Day-186-漏洞利用技术详解
Day-187-渗透测试中的漏洞利用框架
Day-188-漏洞利用框架与 Metasploit 深入
Day-189-渗透测试中的 WAF 绕过技术
Day-190-渗透测试中的模糊测试技术
Day-191-渗透测试中的代码审计与静态分析
Day-192-渗透测试中的密码哈希破解技术
Day-193-渗透测试报告编写指南
Day-194-Web 应用渗透测试
Day-195-渗透测试中的 API 安全测试
Day-196-渗透测试中的 GraphQL 安全测试
Day-197-渗透测试中的前后端分离应用测试
Day-198-渗透测试中的小程序安全测试
Day-199-渗透测试中的浏览器安全测试
Day-200-OAuth-SSO安全测试
Day-201-渗透测试中的业务逻辑漏洞测试
Day-202-渗透测试中的厚客户端安全测试
Day-203-渗透测试综合实战演练
Day-204-内网渗透技术详解
Day-205-渗透测试中的内网信息收集进阶
Day-206-渗透测试中的域森林渗透技术
Day-207-渗透测试中的权限维持技术
Day-208-渗透测试中的横向移动技术
Day-209-渗透测试中的痕迹清理与反取证技术
Day-210-渗透测试中的数据窃取与 Exfiltration 技术
Day-211-渗透测试中的内部威胁与数据泄露测试
Day-212-渗透测试中的物理安全渗透
Day-213-社会工程学攻击技术
Day-214-移动应用渗透测试
Day-215-云安全渗透测试
Day-216-渗透测试中的容器与 Kubernetes 安全渗透
Day-217-渗透测试中的 Serverless 安全测试
Day-218-渗透测试中的微服务安全测试
Day-219-物联网安全渗透测试
Day-220-工业控制系统安全渗透测试
Day-221-无线网络安全渗透测试
Day-222-数据库安全渗透测试
Day-223-渗透测试中的供应链安全测试
Day-224-红队演练技术详解
Day-225-渗透测试中的红队基础设施搭建
Day-226-渗透测试中的威胁情报与狩猎
Day-227-渗透测试中的综合指纹识别技术
Day-228-自动化渗透测试技术
Day-229-渗透测试中的运维安全测试
Day-230-渗透测试中的区块链与智能合约安全测试
Day-231-渗透测试中的漏洞管理与修复验证
Day-232-渗透测试法律与合规
Day-233-后渗透攻击技术详解
Day-234-渗透测试中的人工智能应用
Day-235-漏洞利用开发深入
Day-236-云原生渗透测试深入
07-应急响应
Day-237-应急响应概述与核心概念
Day-238-应急响应流程框架
Day-239-CSIRT 团队组建与职责分工
Day-240-应急响应工具包准备
Day-241-应急响应法律与合规要求
Day-242-安全事件检测方法与指标
Day-243-云原生应急响应
Day-244-日志收集与分析技术
Day-245-网络流量分析与异常识别
Day-246-自动化响应与 SOAR
Day-247-端点监控与 EDR 技术
Day-248-威胁狩猎方法论
Day-249-威胁情报在检测中的应用
Day-250-数字取证基础与证据链管理
Day-251-内存取证技术
Day-252-磁盘取证与文件恢复
Day-253-网络取证与数据包分析
Day-254-云环境与容器取证
Day-255-恶意代码静态分析技术
Day-256-恶意代码动态分析技术
Day-257-恶意代码行为分析方法
Day-258-逆向工程基础与工具
Day-259-沙箱技术与自动化分析
Day-260-事件隔离与遏制策略
Day-261-威胁根除与系统修复
Day-262-系统恢复与数据重建
Day-263-业务连续性计划
Day-264-事件复盘与经验总结
Day-265-APT 攻击事件复盘分析
Day-266-勒索软件事件响应实战
Day-267-数据泄露事件处置流程
Day-268-内部威胁调查与取证
Day-269-综合应急响应演练
08-安全运维
Day-270-安全运营中心 SOC 概述
Day-271-安全监控指标体系
Day-272-安全告警管理
Day-273-安全可视化与仪表盘
Day-274-监控工具选型
Day-275-日志采集技术
Day-276-日志标准化与解析
Day-277-日志存储与归档
Day-278-日志分析技术
Day-279-日志合规要求
Day-280-SIEM 架构与设计
Day-281-关联规则引擎
Day-282-高级关联分析
Day-283-UEBA 用户实体行为分析
Day-284-威胁狩猎
Day-285-SOAR 基础概念
Day-286-剧本设计
Day-287-自动化响应技术
Day-288-安全工具集成
Day-289-SOAR 度量与优化
Day-290-安全基线管理
Day-291-漏洞管理流程
Day-292-补丁管理策略
Day-293-变更安全管理
Day-294-合规审计技术
Day-295-7x24 安全运营
Day-296-安全事件管理流程
Day-297-安全运营度量体系
Day-298-持续改进机制
Day-299-安全运维综合演练
Day-300-云原生安全运营
Day-301-AI 与机器学习安全运营
Day-302-安全自动化脚本实战
09-移动安全
Day-303-移动安全威胁概述
Day-304-移动设备安全架构
Day-305-移动操作系统安全模型
Day-306-移动应用权限管理
Day-307-移动端数据加密
Day-308-330-Android 安全合集
Day-309-Android 安全架构
Day-310-Android 组件安全
Day-311-Android 权限与隐私
Day-312-Android 逆向工程
Day-313-Android 应用加固
Day-314-iOS 安全架构
Day-315-iOS 应用沙盒机制
Day-316-越狱与反越狱
Day-317-iOS 逆向工程
Day-318-iOS 企业分发安全
Day-319-移动安全开发生命周期
Day-320-移动应用安全测试
Day-321-移动应用加固技术
Day-322-移动威胁防护
Day-323-移动安全合规
10-云安全
Day-324-云计算安全模型
Day-325-责任共担模型
Day-326-云安全威胁模型
Day-327-云安全合规框架
Day-328-云安全架构设计
Day-329-AWS IAM 安全
Day-330-AWS 网络安全
Day-331-AWS 存储安全
Day-332-AWS 安全监控
Day-333-AWS 安全最佳实践
Day-334-Azure AD 安全
Day-335-Azure 网络安全
Day-336-Azure 存储安全
Day-337-Azure 安全中心
Day-338-Azure 安全最佳实践
Day-339-容器安全基础
Day-340-Kubernetes 安全
Day-341-Serverless 安全
Day-342-云原生 DevSecOps
Day-343-云安全态势管理 CSPM
11-物联网工控
Day-344-物联网安全概述
Day-345-IoT 通信协议安全
Day-346-IoT 设备安全
Day-347-IoT 平台安全
Day-348-IoT 应用安全
Day-349-工业控制系统概述
Day-350-工控协议安全
Day-351-PLC 安全
Day-352-SCADA 系统安全
Day-353-工控安全防护
12-综合与总结
Day-354-安全职业发展路径
Day-355-安全技术趋势展望
Day-356-安全建设方法论
Day-357-经典攻防案例复盘
Day-358-安全学习资源指南
Day-359-信息安全行业求职指南
-
+
首页
Day-163-红蓝对抗演练
# Day 177: 红蓝对抗演练 > 综合实战系列第 2 天 | 预计阅读时间:55 分钟 | 难度:★★★★★ --- ## 清单 目录 1. [红蓝对抗概述](#红蓝对抗概述) 2. [红队建设与能力要求](#红队建设与能力要求) 3. [蓝队建设与能力要求](#蓝队建设与能力要求) 4. [演练准备与规划](#演练准备与规划) 5. [红队攻击方法论](#红队攻击方法论) 6. [蓝队防御与检测](#蓝队防御与检测) 7. [紫队协同与改进](#紫队协同与改进) 8. [攻击技战术详解](#攻击技战术详解) 9. [防守技战术详解](#防守技战术详解) 10. [演练评估与 scoring](#演练评估与 scoring) 11. [实战案例分析](#实战案例分析) 12. [工具与资源](#工具与资源) 13. [总结与思考](#总结与思考) 14. [参考资料](#参考资料) --- ## 红蓝对抗概述 ### 定义与目标 红蓝对抗(Red Team vs Blue Team Exercise)是一种模拟真实攻击的安全演练方法,通过模拟高级持续性威胁(APT)攻击,检验组织的检测、响应和恢复能力。 **核心目标**: ``` 1. 检验防御能力 ✓ 安全控制有效性 ✓ 检测能力覆盖度 ✓ 响应流程成熟度 ✓ 恢复能力可靠性 2. 发现安全盲点 ✓ 技术层面漏洞 ✓ 流程层面缺陷 ✓ 人员意识不足 ✓ 第三方风险 3. 提升安全能力 ✓ 实战经验积累 ✓ 团队协作磨合 ✓ 工具流程优化 ✓ 持续改进机制 4. 满足合规要求 ✓ 等保 2.0 要求 ✓ 行业监管要求 ✓ 内部审计要求 ``` ### 红蓝紫队角色 **红队(Red Team)**: ``` 角色定位:模拟攻击者 职责: - 规划攻击路径 - 执行渗透测试 - 模拟 APT 攻击 - 记录攻击过程 - 提供改进建议 能力要求: - 渗透测试技能 - 社会工程学 - 漏洞利用开发 - 痕迹隐藏技术 - 报告编写能力 ``` **蓝队(Blue Team)**: ``` 角色定位:防御者 职责: - 监控安全事件 - 检测异常行为 - 响应安全事件 - 溯源攻击者 - 修复安全漏洞 能力要求: - 安全监控技能 - 事件响应能力 - 取证分析能力 - 威胁情报分析 - 防御体系建设 ``` **紫队(Purple Team)**: ``` 角色定位:协调者与改进推动者 职责: - 协调红蓝双方 - 确保演练目标 - 促进知识共享 - 推动持续改进 - 评估演练效果 能力要求: - 全面的安全知识 - 沟通协调能力 - 项目管理能力 - 风险评估能力 ``` ### 演练类型 **按规模分类**: ``` ┌─────────────────────────────────────────────────────────────┐ │ 红蓝对抗演练类型 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ 1. 桌面推演 (Tabletop Exercise) │ │ - 规模:小型 │ │ - 时间:几小时 -1 天 │ │ - 形式:讨论式、无实际攻击 │ │ - 适用:流程验证、意识培训 │ │ - 成本:低 │ │ │ │ 2. 技术演练 (Technical Exercise) │ │ - 规模:中型 │ │ - 时间:1-2 周 │ │ - 形式:实际攻击 + 实际防御 │ │ - 适用:技术能力检验 │ │ - 成本:中 │ │ │ │ 3. 全规模演练 (Full-Scale Exercise) │ │ - 规模:大型 │ │ - 时间:2-4 周 │ │ - 形式:全面攻击 + 全面防御 + 社会工程学 │ │ - 适用:全面能力检验 │ │ - 成本:高 │ │ │ └─────────────────────────────────────────────────────────────┘ ``` **按通知方式分类**: | 类型 | 说明 | 优点 | 缺点 | |------|------|------|------| | 通知演练 | 提前通知蓝队 | 风险可控、便于协调 | 蓝队可能过度准备 | | 半通知演练 | 告知时间范围但不告知具体攻击 | 平衡真实性与风险 | 需要精细协调 | | 无通知演练 | 完全不通知蓝队 | 最真实、检验实战能力 | 风险高、可能影响业务 | --- ## 红队建设与能力要求 ### 红队组织架构 **典型红队结构**: ``` ┌─────────────────────────────────────────────────────────────┐ │ 红队组织架构 │ │ │ │ 红队负责人 │ │ │ │ │ ┌───────────────┼───────────────┐ │ │ │ │ │ │ │ ┌────▼────┐ ┌────▼────┐ ┌────▼────┐ │ │ │ 侦察组 │ │ 攻击组 │ │ 后渗透组│ │ │ │ │ │ │ │ │ │ │ │ • 信息 │ │ • 初始 │ │ • 权限 │ │ │ │ 收集 │ │ 访问 │ │ 提升 │ │ │ │ • 资产 │ │ • 漏洞 │ │ • 横向 │ │ │ │ 发现 │ │ 利用 │ │ 移动 │ │ │ │ • 威胁 │ │ • Web │ │ • 数据 │ │ │ │ 建模 │ │ 攻击 │ │ 窃取 │ │ │ └─────────┘ └─────────┘ └─────────┘ │ │ │ │ ┌─────────────┐ ┌─────────────┐ │ │ │ 社会工程学组│ │ 报告编写组 │ │ │ │ │ │ │ │ │ │ • 钓鱼邮件 │ │ • 过程记录 │ │ │ │ • 电话诈骗 │ │ • 成果整理 │ │ │ │ • 物理渗透 │ │ • 报告编写 │ │ │ └─────────────┘ └─────────────┘ │ │ │ └─────────────────────────────────────────────────────────────┘ ``` ### 红队能力矩阵 **技术能力要求**: ``` ┌─────────────────────────────────────────────────────────────┐ │ 红队技术能力矩阵 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ 核心能力(必须精通) │ │ ├── 网络渗透测试 │ │ ├── Web 应用安全 │ │ ├── 系统安全(Windows/Linux) │ │ ├── 漏洞利用开发 │ │ └── 后渗透技术 │ │ │ │ 重要能力(需要掌握) │ │ ├── 社会工程学 │ │ ├── 无线安全 │ │ ├── 物理安全 │ │ ├── 移动安全 │ │ └── 云安全 │ │ │ │ 辅助能力(需要了解) │ │ ├── 恶意代码分析 │ │ ├── 逆向工程 │ │ ├── 密码学 │ │ ├── 取证分析 │ │ └── 威胁情报 │ │ │ └─────────────────────────────────────────────────────────────┘ ``` **软技能要求**: ``` □ 沟通协调能力 □ 报告编写能力 □ 项目管理能力 □ 团队协作能力 □ 压力管理能力 □ 道德与法律意识 ``` ### 红队工具栈 **信息收集工具**: ```bash # 子域名枚举 subfinder -d target.com -o subdomains.txt amass enum -d target.com -o amass.txt # 端口扫描 nmap -sS -p- -T4 target.com masscan -p1-65535 target.com # Web 指纹 whatweb target.com wappalyzer target.com # 目录扫描 gobuster dir -u https://target.com -w wordlist.txt ffuf -u https://target.com/FUZZ -w wordlist.txt ``` **漏洞利用工具**: ```bash # 综合框架 msfconsole # Metasploit cobaltstrike # Cobalt Strike # Web 漏洞 sqlmap -u "https://target.com/id=1" burpsuite # Burp Suite # 密码攻击 hydra -l admin -P rockyou.txt target.com ssh hashcat -m 0 hash.txt wordlist.txt john --wordlist=rockyou.txt hash.txt ``` **后渗透工具**: ```bash # 权限提升 linpeas.sh # Linux winpeas.exe # Windows # 横向移动 crackmapexec smb 192.168.1.0/24 evil-winrm -i 192.168.1.100 -u admin -p password # 凭证窃取 mimikatz # Windows lazagne # 多平台 # C2 框架 sliver # Sliver C2 mythic # Mythic C2 ``` --- ## 蓝队建设与能力要求 ### 蓝队组织架构 **典型蓝队结构**: ``` ┌─────────────────────────────────────────────────────────────┐ │ 蓝队组织架构 │ │ │ │ 蓝队负责人 │ │ │ │ │ ┌───────────────┼───────────────┐ │ │ │ │ │ │ │ ┌────▼────┐ ┌────▼────┐ ┌────▼────┐ │ │ │ 监控组 │ │ 分析组 │ │ 响应组 │ │ │ │ │ │ │ │ │ │ │ │ • SIEM │ │ • 威胁 │ │ • 事件 │ │ │ │ 监控 │ │ 分析 │ │ 处置 │ │ │ │ • 日志 │ │ • 行为 │ │ • 溯源 │ │ │ │ 收集 │ │ 分析 │ │ 取证 │ │ │ │ • 告警 │ │ • 情报 │ │ • 修复 │ │ │ │ 初筛 │ │ 关联 │ │ 验证 │ │ │ └─────────┘ └─────────┘ └─────────┘ │ │ │ │ ┌─────────────┐ ┌─────────────┐ │ │ │ 狩猎组 │ │ 改进组 │ │ │ │ │ │ │ │ │ │ • 主动狩猎 │ │ • 规则优化 │ │ │ │ • 威胁狩猎 │ │ • 流程改进 │ │ │ │ • 异常检测 │ │ • 工具建设 │ │ │ └─────────────┘ └─────────────┘ │ │ │ └─────────────────────────────────────────────────────────────┘ ``` ### 蓝队能力矩阵 **技术能力要求**: ``` ┌─────────────────────────────────────────────────────────────┐ │ 蓝队技术能力矩阵 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ 核心能力(必须精通) │ │ ├── 安全监控与告警 │ │ ├── 事件响应流程 │ │ ├── 日志分析与关联 │ │ ├── 取证分析技术 │ │ └── 恶意代码分析基础 │ │ │ │ 重要能力(需要掌握) │ │ ├── 网络流量分析 │ │ ├── 终端安全 │ │ ├── 威胁情报分析 │ │ ├── 攻击技战术理解 │ │ └── 安全工具使用 │ │ │ │ 辅助能力(需要了解) │ │ ├── 渗透测试技术 │ │ ├── 漏洞原理 │ │ ├── 系统管理 │ │ ├── 网络架构 │ │ └── 应用安全 │ │ │ └─────────────────────────────────────────────────────────────┘ ``` ### 蓝队工具栈 **监控与检测工具**: ``` ┌─────────────────────────────────────────────────────────────┐ │ 蓝队监控工具栈 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ SIEM 平台 │ │ ├── Splunk │ │ ├── ELK Stack (Elasticsearch, Logstash, Kibana) │ │ ├── QRadar │ │ ├── ArcSight │ │ └── 国产:奇安信、深信服、安恒等 │ │ │ │ 网络监控 │ │ ├── Zeek (Bro) │ │ ├── Suricata │ │ ├── Wireshark │ │ └── NetworkMiner │ │ │ │ 终端监控 │ │ ├── Sysmon │ │ ├── OSQuery │ │ ├── Wazuh │ │ └── EDR 解决方案 │ │ │ │ 威胁情报 │ │ ├── MISP │ │ ├── OpenCTI │ │ ├── VirusTotal │ │ └── 微步在线、奇安信威胁情报中心等 │ │ │ └─────────────────────────────────────────────────────────────┘ ``` **响应与取证工具**: ```bash # 内存取证 volatility -f memory.dump imageinfo volatility -f memory.dump --profile=Win10x64 pslist # 磁盘取证 autopsy ftk_imager # 网络取证 networkminer tcpflow # 恶意代码分析 ida pro ghidra x64dbg ``` --- ## 演练准备与规划 ### 演练目标设定 **SMART 原则**: ``` S - Specific (具体的) ✓ 检验邮件安全网关检测能力 ✓ 验证内网横向移动检测时间 ✓ 测试应急响应流程有效性 M - Measurable (可衡量的) ✓ 检测率 ≥ 80% ✓ 平均检测时间 < 4 小时 ✓ 响应时间 < 1 小时 A - Achievable (可实现的) ✓ 考虑现有资源 ✓ 考虑技术能力 ✓ 考虑时间限制 R - Relevant (相关的) ✓ 与业务风险相关 ✓ 与合规要求相关 ✓ 与安全战略相关 T - Time-bound (有时限的) ✓ 2 周内完成 ✓ 每周汇报进度 ✓ 结束后 1 周内提交报告 ``` ### 范围与规则 **演练范围文档模板**: ``` ┌─────────────────────────────────────────────────────────────┐ │ 红蓝对抗演练范围 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ 1. 目标系统 │ │ ✓ 生产环境:www.example.com │ │ ✓ 办公网络:192.168.1.0/24 │ │ ✓ 邮件系统:mail.example.com │ │ ✗ 排除系统:核心数据库、支付系统 │ │ │ │ 2. 攻击方式 │ │ ✓ 允许:网络渗透、Web 攻击、钓鱼邮件 │ │ ✓ 限制:社会工程学(需预先批准) │ │ ✗ 禁止:DDoS 攻击、物理破坏、勒索软件 │ │ │ │ 3. 时间窗口 │ │ - 开始时间:2026-04-20 09:00 │ │ - 结束时间:2026-05-03 18:00 │ │ - 攻击时段:工作日 9:00-18:00 │ │ │ │ 4. 紧急联系 │ │ - 红队负责人:张三 138xxxx1234 │ │ - 蓝队负责人:李四 138xxxx5678 │ │ - 紧急停止:拨打 xxx-xxxx 立即停止所有攻击 │ │ │ │ 5. 授权文件 │ │ - 见附件 A:演练授权书 │ │ - 见附件 B:保密协议 │ │ - 见附件 C:免责条款 │ │ │ └─────────────────────────────────────────────────────────────┘ ``` ### 演练时间线 **典型 2 周演练计划**: ``` Week 1: ┌─────────────────────────────────────────────────────────────┐ │ 周一 │ 周二 │ 周三 │ 周四 │ 周五 │ ├─────────────────────────────────────────────────────────────┤ │ 启动会 │ 侦察 │ 侦察 │ 初始 │ 初始 │ │ │ │ │ 访问 │ 访问 │ │ • 目标 │ • 信息 │ • 漏洞 │ • 钓鱼 │ • Web │ │ 确认 │ 收集 │ 扫描 │ 攻击 │ 漏洞 │ │ • 规则 │ • 资产 │ • 威胁 │ • 边界 │ 利用 │ │ 确认 │ 发现 │ 建模 │ 突破 │ • 初始 │ │ │ │ │ │ 后门 │ └─────────────────────────────────────────────────────────────┘ Week 2: ┌─────────────────────────────────────────────────────────────┐ │ 周一 │ 周二 │ 周三 │ 周四 │ 周五 │ ├─────────────────────────────────────────────────────────────┤ │ 横向 │ 横向 │ 权限 │ 数据 │ 总结 │ │ 移动 │ 移动 │ 提升 │ 窃取 │ 汇报 │ │ │ │ │ │ │ │ • 内网 │ • 域控 │ • 管理 │ • 敏感 │ • 红队 │ │ 扫描 │ 攻击 │ 权限 │ 数据 │ 报告 │ │ • 凭证 │ • 横向 │ • 持久 │ • 数据 │ • 蓝队 │ │ 窃取 │ 扩展 │ 化 │ 外传 │ 报告 │ │ │ │ │ │ • 紫队 │ │ │ │ │ │ 总结 │ └─────────────────────────────────────────────────────────────┘ ``` --- ## 红队攻击方法论 ### 杀伤链模型 (Cyber Kill Chain) **7 个阶段的攻击流程**: ``` ┌─────────────────────────────────────────────────────────────┐ │ 网络杀伤链模型 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ 1. 侦察 (Reconnaissance) │ │ └── 目标信息收集、资产发现、人员信息 │ │ ↓ │ │ 2. 武器化 (Weaponization) │ │ └── 制作恶意文档、编写利用代码、配置 C2 │ │ ↓ │ │ 3. 投递 (Delivery) │ │ └── 钓鱼邮件、水坑攻击、USB 投放 │ │ ↓ │ │ 4. 利用 (Exploitation) │ │ └── 漏洞利用、代码执行、权限获取 │ │ ↓ │ │ 5. 安装 (Installation) │ │ └── 植入后门、建立持久化、配置 C2 通信 │ │ ↓ │ │ 6. 命令与控制 (C2) │ │ └── 建立稳定通信、接收指令、上传数据 │ │ ↓ │ │ 7. 目标行动 (Actions on Objectives) │ │ └── 数据窃取、系统破坏、勒索加密 │ │ │ └─────────────────────────────────────────────────────────────┘ ``` ### MITRE ATT&CK 框架 **ATT&CK 矩阵应用**: ``` 红队映射示例: ┌─────────────────────────────────────────────────────────────┐ │ 战术 (Tactics) │ 技术 (Techniques) │ ├─────────────────────────────────────────────────────────────┤ │ 初始访问 │ T1566 钓鱼攻击 │ │ (Initial Access) │ T1190 面向公众应用漏洞 │ │ │ T1078 有效凭证 │ ├─────────────────────────────────────────────────────────────┤ │ 执行 │ T1059 命令与脚本解释器 │ │ (Execution) │ T1204 用户执行 │ │ │ T1053 计划任务 │ ├─────────────────────────────────────────────────────────────┤ │ 持久化 │ T1547 启动自启项 │ │ (Persistence) │ T1543 创建服务 │ │ │ T1053 计划任务 │ ├─────────────────────────────────────────────────────────────┤ │ 权限提升 │ T1068 利用漏洞提权 │ │ (Privilege Escalation) │ T1134 访问令牌操作 │ │ │ T1548 滥用权限控制 │ ├─────────────────────────────────────────────────────────────┤ │ 防御规避 │ T1027 混淆文件 │ │ (Defense Evasion) │ T1070 清除日志 │ │ │ T1055 进程注入 │ ├─────────────────────────────────────────────────────────────┤ │ 凭证访问 │ T1003 凭证转储 │ │ (Credential Access) │ T1110 暴力破解 │ │ │ T1555 凭证从存储中获取 │ ├─────────────────────────────────────────────────────────────┤ │ 发现 │ T1082 系统信息发现 │ │ (Discovery) │ T1083 文件与目录发现 │ │ │ T1049 系统网络连接发现 │ ├─────────────────────────────────────────────────────────────┤ │ 横向移动 │ T1021 远程服务 │ │ (Lateral Movement) │ T1563 服务会话劫持 │ │ │ T1570 横向工具传输 │ ├─────────────────────────────────────────────────────────────┤ │ 收集 │ T1005 本地数据 │ │ (Collection) │ T1039 网络共享数据 │ │ │ T1113 屏幕捕获 │ ├─────────────────────────────────────────────────────────────┤ │ 渗出 │ T1041 通过 C2 渗出 │ │ (Exfiltration) │ T1048 通过替代协议渗出 │ │ │ T1567 通过 Web 服务渗出 │ ├─────────────────────────────────────────────────────────────┤ │ 影响 │ T1489 服务停止 │ │ (Impact) │ T1486 数据加密 │ │ │ T1565 数据篡改 │ └─────────────────────────────────────────────────────────────┘ ``` ### 攻击路径规划 **典型攻击路径示例**: ``` 攻击路径:外部 → Web 服务器 → 内网 → 域控 阶段 1: 初始访问 ┌─────────────────────────────────────────────────────────────┐ │ 目标:获取 Web 服务器初始访问权限 │ │ │ │ 方法 1: SQL 注入 │ │ - 发现注入点:/login.php │ │ - 利用:sqlmap -u "https://target.com/login.php" │ │ - 获取:数据库权限、管理员凭证 │ │ │ │ 方法 2: 文件上传 │ │ - 发现上传点:/upload.php │ │ - 绕过:修改扩展名、MIME 类型 │ │ - 获取:WebShell │ │ │ │ 方法 3: 钓鱼邮件 │ │ - 目标:Web 管理员 │ │ - 载荷:恶意 Word 文档 │ │ - 获取:初始访问、凭证 │ │ │ └─────────────────────────────────────────────────────────────┘ ↓ 阶段 2: 内网渗透 ┌─────────────────────────────────────────────────────────────┐ │ 目标:从 Web 服务器横向移动到内网 │ │ │ │ 步骤 1: 信息收集 │ │ - 收集网络配置:ipconfig /all │ │ - 收集域信息:nltest /domain_trusts │ │ - 收集用户信息:net user /domain │ │ │ │ 步骤 2: 凭证窃取 │ │ - 使用 Mimikatz 提取凭证 │ │ - 抓取浏览器保存的密码 │ │ - 查找配置文件中的硬编码密码 │ │ │ │ 步骤 3: 横向移动 │ │ - 使用 PsExec 远程执行 │ │ - 使用 WMI 远程管理 │ │ - 使用 RDP 远程桌面 │ │ │ └─────────────────────────────────────────────────────────────┘ ↓ 阶段 3: 域控攻击 ┌─────────────────────────────────────────────────────────────┐ │ 目标:获取域管理员权限 │ │ │ │ 方法 1: Kerberos 攻击 │ │ - Golden Ticket: 伪造 TGT │ │ - Silver Ticket: 伪造 TGS │ │ - Kerberoasting: 破解服务账号 │ │ │ │ 方法 2: 域信任滥用 │ │ - 利用域信任关系 │ │ - 跨域权限提升 │ │ │ │ 方法 3: AD 攻击 │ │ - DCSync: 同步域哈希 │ │ - DCShadow: 恶意域控 │ │ - ACL 攻击:权限配置错误 │ │ │ └─────────────────────────────────────────────────────────────┘ ``` --- ## 蓝队防御与检测 ### 纵深防御体系 **多层防御架构**: ``` ┌─────────────────────────────────────────────────────────────┐ │ 纵深防御体系 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ 第 1 层:边界防御 │ │ ├── 防火墙 (NGFW) │ │ ├── WAF (Web 应用防火墙) │ │ ├── IPS/IDS (入侵防御/检测系统) │ │ └── 邮件安全网关 │ │ │ │ 第 2 层:网络防御 │ │ ├── 网络分段 │ │ ├── VLAN 隔离 │ │ ├── NAC (网络访问控制) │ │ └── 网络流量分析 │ │ │ │ 第 3 层:终端防御 │ │ ├── 杀毒软件/EDR │ │ ├── 主机防火墙 │ │ ├── 应用白名单 │ │ └── 设备控制 │ │ │ │ 第 4 层:应用防御 │ │ ├── 身份认证 (MFA) │ │ ├── 访问控制 (RBAC) │ │ ├── 输入验证 │ │ └── 输出编码 │ │ │ │ 第 5 层:数据防御 │ │ ├── 数据加密 │ │ ├── 数据脱敏 │ │ ├── DLP (数据防泄露) │ │ └── 备份恢复 │ │ │ │ 第 6 层:监控响应 │ │ ├── SIEM │ │ ├── SOC (安全运营中心) │ │ ├── 应急响应 │ │ └── 威胁狩猎 │ │ │ └─────────────────────────────────────────────────────────────┘ ``` ### 检测规则编写 **Splunk 检测规则示例**: ```spl # 检测 Mimikatz 使用 index=windows sourcetype=win_eventlog (EventCode=4688 OR EventCode=1) (process_name="lsass.exe" OR process_name="mimikatz.exe" OR process_name="sekurlsa.log") | stats count by host, user, process_name | where count > 5 # 检测 PsExec 远程执行 index=windows sourcetype=win_eventlog EventCode=4688 (process_name="psexec.exe" OR process_name="psexesvc.exe") | table _time, host, user, process_name, command_line # 检测异常登录 index=windows sourcetype=win_eventlog EventCode=4624 | stats count by user, src_ip, host | where count > 10 | sort -count # 检测 Golden Ticket 攻击 index=windows sourcetype=win_eventlog EventCode=4624 (Logon_Type=3 AND Authentication_Package="KERBEROS") | stats count by user, domain | where count > 50 ``` **Suricata 规则示例**: ```suricata # 检测 Cobalt Strike Beacon alert http any any -> any any ( msg:"Cobalt Strike Beacon HTTP Request"; flow:to_server,established; content:"POST"; http_method; content:"/submit.php"; http_uri; content:"Content-Type: application/octet-stream"; http_header; classtype:trojan-activity; sid:1000001; rev:1; ) # 检测 Mimikatz alert http any any -> any any ( msg:"Mimikatz Command Execution"; flow:to_server,established; content:"sekurlsa::logonpasswords"; content:"lsadump::sam"; classtype:attempted-admin; sid:1000002; rev:1; ) # 检测 SQL 注入 alert http any any -> any any ( msg:"SQL Injection Attempt"; flow:to_server,established; content:"UNION SELECT"; http_uri; content:"' OR '1'='1"; http_uri; content:"DROP TABLE"; http_uri; classtype:web-application-attack; sid:1000003; rev:1; ) ``` ### 威胁狩猎方法 **假设驱动狩猎**: ``` 假设:攻击者可能使用计划任务进行持久化 狩猎步骤: 1. 定义假设 - 攻击者可能创建计划任务实现持久化 - 计划任务名称可能包含系统相关词汇 2. 数据收集 - 收集 Windows 事件日志(EventCode 4698) - 收集计划任务配置文件 - 收集 PowerShell 执行日志 3. 数据分析 | 查询条件 | 目的 | |-----------------------------------|--------------------------| | 非工作时间创建的任务 | 发现异常行为 | | 高权限账户创建的任务 | 发现权限滥用 | | 指向可疑路径的任务 | 发现恶意载荷 | | 频繁创建删除的任务 | 发现规避行为 | 4. 验证假设 - 确认是否为恶意活动 - 评估影响范围 - 制定响应措施 5. 改进检测 - 编写检测规则 - 更新监控策略 - 分享威胁情报 ``` --- ## 紫队协同与改进 ### 紫队工作流程 ``` ┌─────────────────────────────────────────────────────────────┐ │ 紫队协同工作流程 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ 阶段 1: 规划阶段 │ │ ├── 确定演练目标 │ │ ├── 制定攻击场景 │ │ ├── 设计检测指标 │ │ └── 协调资源时间 │ │ │ │ 阶段 2: 执行阶段 │ │ ├── 红队执行攻击 │ │ ├── 蓝队进行检测 │ │ ├── 紫队记录过程 │ │ └── 实时调整策略 │ │ │ │ 阶段 3: 分析阶段 │ │ ├── 对比攻击与检测结果 │ │ ├── 识别检测盲点 │ │ ├── 分析误报原因 │ │ └── 评估响应效果 │ │ │ │ 阶段 4: 改进阶段 │ │ ├── 优化检测规则 │ │ ├── 改进响应流程 │ │ ├── 更新安全策略 │ │ └── 开展培训演练 │ │ │ └─────────────────────────────────────────────────────────────┘ ``` ### 协同会议机制 **每日站会模板**: ``` 时间:每天 9:00,15 分钟 参会人员:红队代表、蓝队代表、紫队负责人 议程: 1. 昨日进展(各 2 分钟) - 红队:昨日攻击成果、今日计划 - 蓝队:昨日检测情况、今日重点 2. 问题讨论(5 分钟) - 技术障碍 - 资源需求 - 风险问题 3. 今日计划(3 分钟) - 攻击目标确认 - 检测重点确认 - 协同事项确认 4. 其他事项(2 分钟) - 管理层关注 - 外部协调 ``` **周例会模板**: ``` 时间:每周五 14:00,1 小时 参会人员:全体红蓝紫队员、管理层代表 议程: 1. 本周总结(20 分钟) - 攻击成果汇报 - 检测效果汇报 - 关键发现分享 2. 深度分析(20 分钟) - 成功攻击案例分析 - 成功检测案例分析 - 失败案例反思 3. 改进计划(15 分钟) - 检测规则优化 - 响应流程改进 - 工具能力建设 4. 下周计划(5 分钟) - 攻击重点 - 检测重点 - 协同事项 ``` --- ## 攻击技战术详解 ### 钓鱼攻击 **高级钓鱼邮件制作**: ``` 1. 目标研究 - 收集目标人员信息(LinkedIn、公司网站) - 了解目标业务场景 - 分析目标沟通风格 2. 邮件主题设计 ✓ 紧急性:「请尽快处理」「今日截止」 ✓ 权威性:「财务部通知」「IT 部门要求」 ✓ 相关性:「项目更新」「会议邀请」 3. 邮件内容设计 - 使用目标熟悉的语言风格 - 包含真实业务元素 - 制造紧迫感但不引起怀疑 4. 附件/链接设计 - 附件:恶意文档(宏病毒)、可执行文件 - 链接:仿冒登录页、恶意下载页 5. 发送策略 - 使用真实发件人域名(spoofing) - 选择合适发送时间(工作日上午) - 控制发送频率(避免触发阈值) ``` **钓鱼邮件示例**: ``` From: IT 支持 <it-support@company-name.com> (仿冒) To: 目标用户 Subject: 【重要】您的邮箱需要立即验证 尊敬的同事, 您好! 由于公司邮箱系统升级,需要所有员工在 今日 18:00 前 完成邮箱验证,否则将无法正常使用邮箱服务。 请点击以下链接进行验证: https://company-verify.com/login (仿冒链接) 如有疑问,请联系 IT 支持热线:xxx-xxxx 感谢您的配合! IT 支持团队 ``` ### 横向移动 **常见横向移动技术**: ``` 1. PsExec - 原理:使用 SMB 协议远程执行命令 - 命令:psexec \\target -u admin -p password cmd - 检测:EventCode 4688 (psexec.exe)、SMB 连接日志 2. WMI - 原理:使用 Windows 管理规范远程执行 - 命令:wmic /node:target /user:admin process call create "cmd.exe" - 检测:EventCode 5857、WMI 活动日志 3. RDP - 原理:远程桌面协议 - 命令:mstsc /v:target - 检测:EventCode 4624 (Logon Type 10) 4. WinRM - 原理:Windows 远程管理 - 命令:winrm -r:target cmd - 检测:EventCode 4688、WinRM 日志 5. SMB 共享 - 原理:访问网络共享 - 命令:net use \\target\share - 检测:SMB 访问日志、文件访问日志 ``` ### 权限提升 **Windows 提权技术**: ``` 1. 漏洞提权 - MS17-010 (EternalBlue) - MS08-067 - PrintNightmare (CVE-2021-34527) - 检测:漏洞扫描、补丁管理 2. 配置错误提权 - 弱服务权限 - 未引用引号路径 - 可写服务路径 - 检测:权限审计、配置检查 3. 凭证提权 - Mimikatz 提取明文密码 - Pass-the-Hash - Pass-the-Ticket - 检测:LSASS 访问监控、Kerberos 日志 4. 内核提权 - 内核漏洞利用 - 驱动程序漏洞 - 检测:内核完整性监控、驱动签名验证 ``` **Linux 提权技术**: ``` 1. 内核漏洞 - Dirty COW (CVE-2016-5195) - PwnKit (CVE-2021-4034) - 检测:内核版本检查、漏洞扫描 2. SUID/SGID 滥用 - 查找 SUID 文件:find / -perm -4000 2>/dev/null - 常见可利用:vim、nmap、find、bash - 检测:SUID 文件审计 3. sudo 配置错误 - NOPASSWD 配置 - 通配符滥用 - 检测:sudoers 文件审计 4. 计划任务 - crontab 提权 - 系统计划任务 - 检测:计划任务监控 ``` --- ## 防守技战术详解 ### 检测工程 **检测成熟度模型**: ``` ┌─────────────────────────────────────────────────────────────┐ │ 检测成熟度模型 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ Level 1: 基础检测 │ │ ├── 基于签名的检测 │ │ ├── 已知 IOC 匹配 │ │ └── 覆盖率:< 30% │ │ │ │ Level 2: 行为检测 │ │ ├── 基于行为的检测 │ │ ├── 异常检测 │ │ └── 覆盖率:30-60% │ │ │ │ Level 3: 威胁狩猎 │ │ ├── 假设驱动狩猎 │ │ ├── 情报驱动狩猎 │ │ └── 覆盖率:60-80% │ │ │ │ Level 4: 预测检测 │ │ ├── 机器学习检测 │ │ ├── 自动化狩猎 │ │ └── 覆盖率:> 80% │ │ │ └─────────────────────────────────────────────────────────────┘ ``` ### 响应流程 **事件响应流程 (NIST SP 800-61)**: ``` ┌─────────────────────────────────────────────────────────────┐ │ 事件响应流程 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ 1. 准备 (Preparation) │ │ ├── 制定响应计划 │ │ ├── 组建响应团队 │ │ ├── 准备工具资源 │ │ └── 开展培训演练 │ │ │ │ 2. 检测与分析 (Detection & Analysis) │ │ ├── 事件检测 │ │ ├── 初步分析 │ │ ├── 事件确认 │ │ └── 事件分级 │ │ │ │ 3. 遏制、根除与恢复 (Containment, Eradication & Recovery) │ │ ├── 短期遏制(隔离主机、阻断网络) │ │ ├── 长期遏制(修改策略、加强监控) │ │ ├── 根除(删除恶意软件、修复漏洞) │ │ └── 恢复(恢复系统、验证完整性) │ │ │ │ 4. 事后总结 (Post-Incident Activity) │ │ ├── 事件复盘 │ │ ├── 经验总结 │ │ ├── 改进计划 │ │ └── 报告编写 │ │ │ └─────────────────────────────────────────────────────────────┘ ``` ### 溯源分析 **攻击溯源方法**: ``` 1. 时间线分析 - 收集所有相关日志 - 按时间顺序排列事件 - 识别攻击各阶段 - 确定入侵时间点 2. 攻击者画像 - TTPs 分析(技战术与过程) - 工具指纹分析 - 基础设施分析 - 动机分析 3. 影响范围评估 - 受影响系统清单 - 受影响数据清单 - 业务影响评估 - 合规影响评估 4. 证据保全 - 内存镜像 - 磁盘镜像 - 网络流量包 - 日志备份 ``` --- ## 演练评估与 Scoring ### 评估指标 **红队评分指标**: ``` ┌─────────────────────────────────────────────────────────────┐ │ 红队评分卡 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ 目标达成 (40 分) │ │ ├── 初始访问成功:10 分 │ │ ├── 权限提升成功:10 分 │ │ ├── 横向移动成功:10 分 │ │ └── 目标达成(数据窃取/域控):10 分 │ │ │ │ 隐蔽性 (30 分) │ │ ├── 未被检测到的攻击步骤数:15 分 │ │ ├── 平均检测时间(越长越好):15 分 │ │ │ │ 技术能力 (20 分) │ │ ├── 漏洞利用质量:10 分 │ │ └── 工具使用水平:10 分 │ │ │ │ 报告质量 (10 分) │ │ ├── 过程记录完整性:5 分 │ │ └── 改进建议质量:5 分 │ │ │ │ 总分:100 分 │ │ │ └─────────────────────────────────────────────────────────────┘ ``` **蓝队评分指标**: ``` ┌─────────────────────────────────────────────────────────────┐ │ 蓝队评分卡 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ 检测能力 (40 分) │ │ ├── 攻击检测率:20 分 │ │ ├── 平均检测时间(越短越好):20 分 │ │ │ │ 响应能力 (30 分) │ │ ├── 响应及时性:15 分 │ │ ├── 响应有效性:15 分 │ │ │ │ 分析能力 (20 分) │ │ ├── 溯源分析质量:10 分 │ │ └── 威胁情报质量:10 分 │ │ │ │ 改进能力 (10 分) │ │ ├── 检测规则优化:5 分 │ │ └── 流程改进落实:5 分 │ │ │ │ 总分:100 分 │ │ │ └─────────────────────────────────────────────────────────────┘ ``` ### 成功标准 **演练成功标准**: ``` 红队成功标准: ✓ 达成预定攻击目标 ✓ 展示高级攻击技战术 ✓ 发现未知安全盲点 ✓ 提供有价值的改进建议 蓝队成功标准: ✓ 检测到大部分攻击活动 ✓ 及时响应安全事件 ✓ 有效遏制攻击影响 ✓ 完成攻击溯源分析 整体成功标准: ✓ 演练目标达成 ✓ 双方能力提升 ✓ 安全体系改进 ✓ 形成持续改进机制 ``` --- ## 实战案例分析 ### 案例一:金融行业红蓝对抗 **项目背景**: ``` - 客户类型:大型商业银行 - 系统规模:500+ 系统、10000+ 终端 - 演练类型:全规模演练(通知) - 演练时间:4 周 - 团队规模:红队 5 人、蓝队 15 人、紫队 3 人 ``` **攻击成果**: ``` ┌─────────────────────────────────────────────────────────────┐ │ 阶段 │ 目标 │ 结果 │ 检测时间 │ ├─────────────────────────────────────────────────────────────┤ │ 初始访问 │ 外网系统 │ 成功 │ 2 小时 │ │ 权限提升 │ 系统管理员 │ 成功 │ 4 小时 │ │ 横向移动 │ 内网核心系统 │ 成功 │ 8 小时 │ │ 域控攻击 │ 域管理员 │ 部分 │ 12 小时 │ │ 数据窃取 │ 敏感数据 │ 失败 │ - │ └─────────────────────────────────────────────────────────────┘ 关键发现: 1. 外网 WAF 规则可绕过(SQL 注入) 2. 内网缺乏有效分段 3. 域管理员权限管理不当 4. 敏感数据未加密存储 ``` **改进措施**: ``` 短期(1 月内): - 修复所有高危漏洞 - 优化 WAF 规则 - 实施网络分段 - 加强域管理员权限管理 中期(3 月内): - 部署 EDR 解决方案 - 建设 SOC 平台 - 完善监控体系 - 开展全员安全培训 长期(6 月内): - 通过等保测评 - 建立红队常态化机制 - 持续安全改进 ``` ### 案例二:互联网公司无通知演练 **项目背景**: ``` - 客户类型:大型互联网公司 - 系统规模:云原生架构、微服务 - 演练类型:技术演练(无通知) - 演练时间:2 周 - 团队规模:红队 3 人、蓝队 10 人 ``` **特殊挑战**: ``` 1. 云环境复杂性 - 多公有云(AWS、阿里云) - 容器化部署(Kubernetes) - 微服务架构 2. 无通知限制 - 蓝队完全不知情 - 需要精细控制攻击强度 - 避免影响业务 3. 合规要求 - 不能触碰用户数据 - 不能影响生产业务 - 需要实时汇报进展 ``` **攻击路径**: ``` 外部 → 开发系统 → CI/CD → 生产环境 1. 初始访问:钓鱼邮件(开发人员) 2. 权限提升:利用 Jenkins 漏洞 3. 横向移动:利用 Kubernetes 配置错误 4. 生产访问:利用 CI/CD 管道 ``` **关键发现**: ``` 1. 开发人员安全意识不足(钓鱼成功率 60%) 2. CI/CD 系统权限过大 3. 容器安全配置不当 4. 云资源配置错误 ``` --- ## 工具与资源 ### 红队工具 ``` 信息收集: - Subfinder、Amass、theHarvester - Nmap、Masscan、Naabu - Shodan、Censys、FOFA 漏洞利用: - Metasploit、Cobalt Strike - SQLMap、Burp Suite - Nuclei、Xray 后渗透: - Mimikatz、BloodHound - CrackMapExec、Evil-WinRM - Sliver、Mythic 痕迹清理: - Timestomp、ClearLogs - Gogland、Regeorg ``` ### 蓝队工具 ``` 监控检测: - Splunk、ELK、QRadar - Suricata、Zeek、Snort - Sysmon、Wazuh、OSQuery 事件响应: - Volatility、Autopsy - NetworkMiner、FTK - GRR、Velociraptor 威胁情报: - MISP、OpenCTI - VirusTotal、微步在线 - AlienVault OTX ``` ### 学习资源 ``` 框架与标准: - MITRE ATT&CK: https://attack.mitre.org/ - Cyber Kill Chain: Lockheed Martin - NIST SP 800-61: 事件响应指南 - NIST SP 800-115: 安全测试指南 培训认证: - OSCP (Offensive Security Certified Professional) - OSCE (Offensive Security Certified Expert) - GCFA (GIAC Certified Forensic Analyst) - GCIH (GIAC Certified Incident Handler) 实战平台: - HackTheBox - TryHackMe - PentesterLab - VulnHub ``` --- ## 总结与思考 ### 核心要点回顾 ``` 1. 红蓝对抗价值 ✓ 检验真实防御能力 ✓ 发现安全盲点 ✓ 提升团队实战能力 ✓ 推动持续改进 2. 成功关键因素 ✓ 明确的目标与范围 ✓ 专业的红蓝团队 ✓ 有效的紫队协同 ✓ 持续的改进机制 3. 常见误区 ✗ 重攻击轻防御 ✗ 重技术轻流程 ✗ 重结果轻过程 ✗ 重一次性轻持续 ``` ### 深入思考 **1. 红蓝对抗的本质** 我认为,红蓝对抗的本质不是「攻击 vs 防御」,而是「以攻促防」: - 红队是手段,不是目的 - 检测能力提升才是核心价值 - 持续改进才是最终目标 **2. 红队与渗透测试的区别** 很多人混淆红队和渗透测试,我认为关键区别在于: | 维度 | 渗透测试 | 红队演练 | |------|----------|----------| | 目标 | 发现尽可能多的漏洞 | 达成特定攻击目标 | | 方法 | 全面扫描 + 手动验证 | 隐蔽攻击 + TTPs 模拟 | | 范围 | 指定系统 | 全组织(物理 + 技术 + 人员) | | 通知 | 通常通知 | 可无通知 | | 产出 | 漏洞报告 | 能力评估 + 改进建议 | **3. 蓝队建设的挑战** 蓝队建设面临的主要挑战: - 告警疲劳(每天数百条告警) - 技能短缺(检测分析人才稀缺) - 工具碎片化(多工具缺乏整合) - 流程不成熟(响应流程不完善) 解决之道:自动化 + 标准化 + 持续培训 ### 实战建议 ``` 给红队的建议: 1. 始终遵守授权范围 2. 记录详细攻击过程 3. 提供可落地的改进建议 4. 保持学习,跟进最新 TTPs 给蓝队的建议: 1. 建立完善的监控体系 2. 持续优化检测规则 3. 定期开展培训演练 4. 保持好奇心和求知欲 给紫队的建议: 1. 做好红蓝协同 2. 推动知识共享 3. 落实改进措施 4. 建立长效机制 ``` --- ## 参考资料 ### 框架与标准 ``` 1. MITRE ATT&CK - https://attack.mitre.org/ - 攻击技战术知识库 2. NIST SP 800-61 - Computer Security Incident Handling Guide - 事件响应标准 3. NIST SP 800-115 - Technical Guide to Information Security Testing - 安全测试指南 4. OWASP Testing Guide - Web 安全测试指南 ``` ### 书籍推荐 ``` 1. 《红队技术详解》- 国内红队经典 2. 《Blue Team Handbook》- 蓝队实战指南 3. 《The Red Team Field Manual》- 红队速查手册 4. 《Threat Hunting》- 威胁狩猎实战 5. 《APT 攻击揭秘》- APT 攻击分析 ``` ### 在线资源 ``` 1. MITRE ATT&CK Navigator - https://mitre-attack.github.io/attack-navigator/ 2. Atomic Red Team - https://atomicredteam.io/ - 原子化测试用例 3. Detection Engineering - https://detection.engineering/ - 检测工程博客 4. Red Team Notes - https://www.ired.team/ - 红队技术笔记 ``` --- *365 天信息安全技术系列 | Day 177 | 创建时间:2026-04-11*
myh0st
2026年4月13日 23:18
分享文档
收藏文档
上一篇
下一篇
微信扫一扫
复制链接
手机扫一扫进行分享
复制链接
Markdown文件
分享
链接
类型
密码
更新密码