Red Team Engagements
房间链接:https://tryhackme.com/room/redteamengagements
红队行动
学习红队行动的步骤和程序,包括规划、框架和文档。
任务 1简介
成功参与的关键是所有参与方之间的良好协调规划和沟通。这个房间将专注于红队参与的各种组成部分以及为红队参与制定和记录一场活动的计划。
红队行动有多种形式,包括:
- 桌面演练
- 对手模拟
- 物理评估
学习目标
- 理解红队行动的组成部分和功能。
- 学习如何根据需求和可用资源以及 TTPs(战术、技术、程序)正确规划行动。
- 了解如何根据客户目标编写行动文档。
这个房间不需要先决信息或知识。
任务 2定义范围和目标
参与可能非常复杂和官僚。成功参与的关键是明确定义的客户目标或目标。客户目标应在客户和红队之间讨论,以在双方之间建立对期望和提供内容的共同理解。设定的目标是参与文档和计划的基础。
没有明确和具体的目标和期望,你正在准备一场非常无结构和未计划的行动。目标为整个行动定下了基调。
在评估客户的目标并规划行动细节时,你通常会需要决定评估的专注程度。
行动可以分为一般性的内部/网络渗透测试或专注的对手模拟。专注的对手模拟将在行动中定义一个特定的 APT 或团体进行模拟。这通常基于针对公司特定行业的团体,例如,金融机构和 APT38。内部或网络渗透测试将遵循类似的架构,但通常专注度较低,并使用更多标准 TTPs。
具体的方法将取决于客户目标定义的行动的个案个案。
客户目标也将影响行动的一般规则和范围。
这些主题将在任务6中进行扩展。
客户目标仅设定了客户行动目标的基本定义。具体的行动计划将在客户目标的基础上进行扩展,并确定行动的具体细节。行动计划将在本房间内稍后进行介绍。
精确和透明的行动的下一个关键点是明确范围。行动的范围将因组织而异,取决于其基础设施和姿态。客户的范围通常定义了您不能做什么或针对什么;它也可以包括您可以做什么或针对什么。虽然客户目标可以与提供团队一起讨论和确定,但范围应由客户设定。在某些情况下,红队可能会讨论范围的问题,如果它影响了行动。他们应该清楚地了解自己的网络和评估的影响。范围的具体细节和措辞总是不同的,以下是一个客户范围中可能出现的措辞示例。
- 没有数据泄露。
- 生产服务器禁止访问。
- 10.0.3.8/18 超出范围。
- 10.0.0.8/20 在范围内。
- 在任何情况下都不得出现系统停机。
- 从 PII 中提取数据是被禁止的。
从红队视角分析客户的目标或范围时,理解其深层含义和影响至关重要。在分析时,你应该始终动态地理解你的团队将如何处理问题/目标。如果需要,你应该根据客户的目标和范围仅进行阅读,然后编写你的参与计划或从这些内容开始。
以下是一个具有强大安全态势的成熟组织的客户目标示例。
示例 1 - 全球企业:
目标:
- 识别系统配置错误和网络弱点。
- 关注外部系统。
- 确定端点检测和响应系统的有效性。
- 评估整体安全态势和响应。
- SIEM 和检测措施。
- 补救措施。
- 分割 DMZ 和内部服务器。
- 使用白卡根据停机时间和长度允许。
- 评估数据泄露和泄露的影响。
范围:
- 在任何情况下都不得出现系统停机。
- 禁止任何形式的 DDoS 或 DoS 攻击。
- 禁止使用任何有害恶意软件;这包括勒索软件和其他变体。
- 个人敏感信息(PII)的泄露是被禁止的。使用任意泄露数据。
- 对10.0.4.0/22范围内的系统进行的攻击是允许的。
- 对10.0.12.0/22范围内的系统进行的攻击是禁止的。
- Bean Enterprises 将密切监控与 DMZ 和关键/生产系统的交互。
- 与 “*.bethechange.xyz” 的任何交互都是被禁止的。
- 与 “*.globalenterprises.thm” 的所有交互都是允许的。
任务 3交战规则
参与规则(RoE)是客户目标和范围的法律约束性概述,以及双方参与期望的进一步细节。这是参与规划过程中的第一份“官方”文件,需要客户和红队之间的适当授权。这份文件通常充当双方的一般合同;也可以使用外部合同或其他保密协议(Non-Disclosure Agreement)。
参与规则(RoE)的格式和措辞至关重要,因为它是一份具有法律约束力的合同,并设定了明确的期望。
每个参与规则(RoE)的结构将由客户和红队确定,内容长度和整体部分可能会有所不同。以下是您可能在参与规则(RoE)中看到的标准部分的简要表格。
| 章节名称 | 章节详情 |
|---|---|
| 执行摘要 | 对《RoE》文档中所有内容和授权的总体概述 |
| 目的 | 定义了为什么使用 RoE 文档 |
| 参考 | 在整个 RoE 文档中使用的任何参考(如 HIPAA、ISO 等) |
| 范围 | 协议限制和指南声明 |
| 定义 | 在《RoE》文档中使用的术语的定义 |
| 交战规则和支持协议 | 定义双方义务和参与行为的一般技术期望 |
| 条款 | 定义行动规则中的例外和附加信息 |
| 需求、限制和权限 | 定义红队小组的具体期望 |
| 基本规则 | 定义红队小组互动的限制 |
| 问题/接触点的解决 | 包含所有参与互动的必要人员 |
| 授权 | 授权参与声明 |
| 批准 | 双方签署的批准前述文件所有子部分的签名 |
| 附录 | 前述子部分中的任何进一步信息 |
在分析文件时,重要的是要记住,它只是一个摘要,其目的是成为一份法律文件。需要未来的更深入规划来扩展 RoE 和客户目标。
对于这个任务,我们将使用一个改编自 redteam.guide 的简短文档。
任务 4战役规划
在完成这项任务之前,我们主要从业务角度关注参与规划和文档编制。活动规划使用从客户目标和 RoE 获取和计划的信息,并将其应用于各种计划和文件中,以确定红队将如何以及做什么。
每个内部红队都将有自己的方法和文档用于战役规划。我们将展示一套深入的计划,它允许精确的沟通和详细的文档记录。我们将使用的战役摘要包括四个不同深度的计划,这些计划是从军事操作文件中改编的,涵盖了不同的深度和范围。每个计划都可以在下面的表格中找到,并附有简要说明。
| 计划类型 | 计划说明 | 计划内容 |
|---|---|---|
| 参与计划 | 对红队技术要求的总体描述。 | 作战概念、资源与人员需求、时间表 |
| 操作计划 | 对《参与计划》的扩展。更深入地探讨每个细节的具体情况。 | 操作员,已知信息,责任等。 |
| 任务计划 | 执行的具体命令和活动时间。 | 执行命令,时间目标,责任操作员等。 |
| 补救计划 | 定义了活动结束后如何进行后续操作。 | 报告、修复咨询等。 |
另一个活动计划的例子是 redteam.guide 活动清单。该清单可在此处找到,它作为规划活动和信息需求的一种更通用的方法。
在接下来的任务中,我们将更深入地探讨这些计划、文档以及每个计划的细节,随着我们对活动规划的深入研究。
任务 5参与文档
参与文档是战役规划的一个扩展,其中战役规划的想法和思考被正式记录下来。在这个背景下,“文档”这个词可能会让人误解,因为有些计划并不需要正式的文档,可能只是一个电子邮件;这一点将在本任务的后续部分进行说明。
在这个任务中,我们将在查看即将到来的任务中的计划和文件本身之前,概述每个活动计划的详细内容。
参与计划:
| 组成部分 | 目的 |
|---|---|
| 作战概念(Concept of Operations) | 非技术性概述:红队如何满足客户目标和针对客户。 |
| 资源计划 | 包括时间表和红队成功所需的信息——任何资源需求:人员、硬件、云需求。 |
行动计划:
| 组件 | 目的 |
|---|---|
| 人员 | 员工要求信息。 |
| 停止条件 | 如何在红队行动中停止,以及为什么应该停止。 |
| RoE(可选) | - |
| 技术要求 | 红队需要哪些知识才能成功。 |
任务计划:
| 组成部分 | 目的 |
|---|---|
| 命令剧本(可选) | 运行的确切命令和工具,包括何时、为何以及如何。通常在拥有众多技能水平不一的操作员的大型团队中可见。 |
| 执行时间 | 开始参与阶段的时间。可选择性包含执行工具和命令的确切时间。 |
| 职责/角色 | 谁做什么,何时。 |
修复计划(可选):
| 组成部分 | 目的 |
|---|---|
| 报告 | 参与细节摘要和发现报告。 |
| 修复/咨询 | 客户将如何修复发现的问题?这可以包含在报告中,或者在客户和红队之间举行的会议中进行讨论。 |
任务 6运作概念
操作概念(CONOPS)是参与计划的一部分,详细说明了参与过程的高级概述;我们可以将其比作渗透测试报告的执行摘要。该文件将作为业务/客户参考,以及红队在此基础上扩展到更广泛的战役计划的参考。
CONOPS 文件应从半技术性的总结角度撰写,假设目标受众/读者具有零至最少的技术知识。尽管 CONOPS 应从高层次撰写,但不应省略如常用工具、目标群体等细节。与大多数红队文件一样,CONOPS 文件没有固定的标准;以下是一个 CONOPS 应包含的关键组件概要
- 客户名称
- 服务提供商
- 时间范围
- 总体目标/阶段
- 其他培训目标(数据提取)
- 计划使用的高级工具/技术
- 要仿制的威胁组织(如果有)
编写和理解 CONOPS 的关键是提供足够的信息,以便对正在进行的一切有一个大致的了解。CONOPS 应该易于阅读,并展示清晰的定义和读者可以轻松消化的要点。
以下是一个成熟组织具有强大安全态势的 CONOPS 示例。
示例 1 - Holo Enterprises:
作战构想:
霍洛企业已聘请 TryHackMe 作为外部承包商,进行为期一个月的网络基础设施评估和安全态势。活动将从第 3 级基础设施开始,采用假设的渗透模型。操作员将逐步进行侦察并尝试达成待定的目标。如果未达成既定目标,红队将在网络中横向移动并提升权限。操作员还预计将执行并维持持久性,以维持三周时间。如果在整个行动期间红队被蓝队识别或暴露,将期望有信任的代理介入。最后一天的行动预留用于清理和修复,并与蓝队和白队进行咨询。
客户要求以下培训目标:评估蓝队能够识别和防御实时入侵和攻击的能力,识别内部网络中对手的风险。红队将通过使用 Cobalt Strike 作为主要红队工具来完成目标。红队被允许仅使用针对目标威胁可识别的标准工具。
基于客户的安全态势和成熟度,整个活动中将采用威胁组织 FIN6 的 TTP(战术、技术、程序)。
任务 7资源计划
资源计划是参与计划的第二份文件,详细概述了日期、所需知识(可选)、资源需求。该计划扩展了 CONOPS,并包括具体细节,如日期、所需知识等。
与 CONOPS 不同,资源计划不应写成摘要;而应写成子节点的项目符号列表。与大多数红队文件一样,没有标准资源计划模板或文件;以下为资源计划示例子节点的概述。
- 标题
- 编写人员
- 日期
- 客户
- 参与日期
- 侦察日期
- 初始妥协日期
- 利用后和持续性日期
- 其他日期
- 所需知识(可选)
- 侦察
- 初始渗透
- 利用后
- 资源需求
- 人员
- 硬件
- 云
- 其他
编写和理解资源计划的关键是提供足够的信息以收集所需内容,但又不至于过于繁琐。文件应直截了当,并定义所需内容。
任务 8操作计划
操作计划是一份灵活的文档,提供了关于参与和行动的具体细节。该计划在当前 CONOPS 的基础上进行扩展,应包括大部分具体的参与信息;根据 ROE 的深度和结构,ROE 也可以放在这里。
操作计划应遵循与资源计划类似的写作方案,使用项目符号和小节。与其他红队文档一样,没有标准的操作计划模板或文档;以下是在操作计划中的示例子节概述。
- 标题
- 编写人员
- 日期
- 客户
- 停止/中止条件(根据深度,可以放在 ROE 中)
- 所需/分配的人员
- 特定 TTPs 和计划中的攻击
- 通讯计划
- 交战规则(可选)
这份文档中最引人注目的新增内容是通讯计划。通讯计划应总结红队将如何与其他团队和客户进行沟通。每个团队都将有自己的客户沟通偏好方法。以下是一个团队可能选择的沟通选项列表。
- vectr.io
- 电子邮件
- Slack
任务 9任务计划
任务计划是一份针对特定小组的文档,详细说明了操作员需要完成的精确行动。该文档使用以往计划的信息,并将行动分配给它们。
文档的编写和详细程度将取决于团队;由于这是一份内部使用的文档,结构和细节的影响较小。与这个房间中概述的所有文档一样,呈现方式可以有所不同;这个计划可以简单到只是通过电子邮件发送给所有操作员。以下是小组应在计划中包含的最小细节列表。
- 目标
- 操作员
- 漏洞/攻击
- 目标(用户/机器/目标)
- 执行计划变体
这两个计划可以类似思考;操作计划应从商业和客户的角度考虑,而任务计划应从操作员和红队的角度考虑。
任务 10结论
我们已经在本房间介绍了如何将活动计划量化为文档,并准备进行一次成功的红队行动。贯穿整个房间的主题是每个红队都会有自己的内部文档和做事方式。当进入现实世界时,理解这一概念至关重要。这个房间仅作为一个指南,帮助你熟悉概念和想法,并提供一个可使用的框架,而不是一个确定的逐步手册。在规划行动时,请记住你的首要目标是满足客户的目标。
规划和记录往往被忽视,但对于一次成功的合作至关重要。