RedTeam随笔

红队随笔

理想中的红队架构

• 渗透实战小组：专注于红队攻击，内部可以按照个人特长，进行任务细分
• 信息系统支持与工具研发小组：红队服务器运维，红队匿名工具提供，红队工具研发
• 情报与信息收集小组：对于目标的关键情报和信息进行收集
• 二进制支持小组：恶意程序的分析，以及后门技术，rootkit技术，免杀对抗技术的研究与支持
• 安全研究与代码审计小组：安全研究和代码审计小组

有条件的话，再加入下面两个部门

• 移动安全小组：android cc和ios cc，移动端程序逆向、加解密，后门分析
• 报告、文档工作与对接小组：将红队主力从繁重的报告与对接任务中解放出来

举个例子

背景：拿到一个app，需要对app后面的系统进行redteaming

任务流水线：app分析——信息收集——红队渗透——后门驻留——终端钓鱼——移动终端攻击——取证与监控——报告与总结输出

任务分解：

• app分析：移动安全部门主要分析app中的api地址，以及其他的信息泄露，如果app代码存在加密和混淆，还需要进一步的分析
• 信息收集：情报与信息收集小组对于该app中包好的域名、ip进行扫描，通过子域名、同站、c段等信息扩展目标资产攻击面，并收集目标站群暴露的信息，以及可能存在的问题。此处，使用到了信息系统支持与工具研发小组负责研发的工具，以及运维的匿名服务器
• 红队渗透：渗透实战小组的红队工程师接入，以情报与信息小组提供的信息为切入点，尝试攻击目标站群。倘若获取到目标源码，则交由安全研究与代码分析小组进行审计
• 后门驻留：在红队渗透获取到相关的权限后，渗透实战小组的红队工程师开始使用信息系统支持与工具研发小组与二进制支持小组合作开发的rootkit植入目标机，并启动相应的持久化后门
• 终端钓鱼：渗透实战小组的红队工程师将信息系统支持与工具研发小组提供的cc载荷以钓鱼的方式植入到特定的位置，等待触发。该cc载荷的免杀由二进制支持小组维护
• 移动终端攻击：渗透实战小组的工程师尝试利用wifi和usb连接，将移动安全小组提供的移动端RAT植入到目标移动终端中
• 取证与监控：渗透实战小组的红队工程师利用在（移动）终端中植入的后门对（移动）终端进行取证和长时间的监控。监控中使用的工具由移动安全小组、信息系统支持与工具研发小组研发，工具的基础原理由二进制支持小组、安全研究与代码审计小组研究得到
• 报告与总结输出：输出报告和总结由渗透实战小组提供粗略版本，由报告文档与对接小组负责整理