红队笔记（1）：红队与渗透测试

参考资料

1.《精通Metasploit渗透测试（第3版）》
2.《Metasploit渗透测试魔鬼训练营》
3 .Hackersploit

一、啥是红队？

网络安全中的红队(Red Team)在合法的安全活动中充当进攻方的角色，与之对应的是充当防守方的蓝队(Blue Team)。关于红队和蓝队的来源与历史这里不作介绍，感兴趣的小伙伴可以自行了解。

1、红队的工作：

（1）模拟现实世界中潜在的攻击者对特定目标进行网络攻击，以测试目标的安全系统是否存在漏洞，同时，也能评估目标对于恶意攻击的检测和恢复能力。
（2）在攻击测试中，红队会使用潜在攻击者所用的所有手段（不择手段，当然这是在经过授权且合法的条件下），尽可能去攻破目标的安全防线。
（3）攻击结束后，红队会为目标提供一份具有可执行性的报告，这份报告可用于对目标安全系统的修复与升级，也可供安全部门与蓝队参考，以提升目标对于网络攻击的检测和恢复能力。

2、红队的工作与渗透测试(Pentest)的区别

（1）首先是范围：红队模拟现实世界的攻击者，攻击的范围一般不受限制（模拟“法外狂徒”）；而渗透测试一般会和目标客户存在某种约定和限制，例如只能在指定的时间、对于指定的资产进行测试等。
（2）第二个是时间周期：红队模拟的攻击一般会持续相当长的一段时间（包括信息收集等等一系列操作）；而渗透测试一般持续的时间较短，因为渗透测试的目标会相对明确，目标客户有可能会提供一定的信息。
（3）最后是测试结果：相比于渗透测试，红队所模拟的现实世界的攻击往往更能发现隐藏在细微处的问题。

二、红队基础概念

1、攻击模拟(Adversary Emulation)

红队使用某些策略、技术和步骤对目标发起攻击，以测试目标对于网络攻击的抵御能力。

2、TTP(Tactics, Techniques, and Procedures)

简单地说就是用来描述如何进行网络攻击的一组行为方式，红队的模拟攻击需要遵循上述的模式，以便更好地进行攻击测试。

3、红队杀伤链(Red Team Kill-chain)

一种结构化的攻击模型，将红队的行为分成一个个小的阶段。

这个模型一般包含一下几个阶段：
（1）信息收集(Reconnaissance)
（2）建立初始的落脚点(Gaining access/initial compromise)
（3）权限提升(Privilege escalation)
（4）攻击持久化(Persistence)
（5）内网漫游(Lateral movement)
注：翻译有误还望海涵，请在评论区指正
上述概念的详细信息会在后续的文章中逐步更新

4、MITRE ATT&CK(Adversarial Tactics, Techniques and Common Knowledge) 框架

总的来说就是一个公开的知识库，里面包含了已发现的一系列攻击策略、技术、步骤等。官网

整体内容分为两大部分：
（1）Tactics：将攻击行为分为不同的阶段
（2）Techniques：在不同阶段下，能够使用的不同技术
注：具体的内容需要日积月累地去学习，这里只提供一个整体概念，后续更新内容主要围绕这个框架

5、TTP(Tactics, Techniques, and Procedures)

攻击行为的概括性描述，从左到右为包含关系，例如：Tactics中包含一系列Techniques，Techniques下包含一系列Procedures

6、Advanced Persistent Threat(APT)

描述入侵者在目标网络或系统上建立隐蔽的长期存在，用来窃取或破坏敏感数据。有时候也会用来描述一些攻击组织，比如：APT123，APT456，APTXXX

三、总结

本文主要介绍了一些与红队有关的知识体系，读者只需过个眼熟，有个整体的概念，避免在后续学习中对于一些名词概念感到不知所措。