XXXX第X次内部红蓝对抗
字数 1579 2025-08-29 08:30:36

企业内部红蓝对抗实战教学文档

1. 对抗规则与限制

  • 蓝队限制条件

    • 必须从互联网发起攻击
    • 禁止直接利用内网资源
    • 禁止使用员工账号权限
    • 禁止物理攻击

  • 攻击路径选择

    • 0day漏洞(通常不可行)
    • 钓鱼攻击(主要突破口)

2. 钓鱼攻击方法论

2.1 钓鱼场景选择

优先选择对外交流渠道

  1. 招聘场景(HR沟通)
  2. 客户服务场景
  3. 供应商/合作伙伴沟通

2.2 招聘场景钓鱼实施

前期准备

  • 在BOSS直聘等平台寻找目标公司招聘信息
  • 制作有竞争力的虚假简历
  • 准备免杀木马(伪装为简历附件)

钓鱼流程

  1. 筛选目标HR

    • 收藏职位但不主动聊天(营造高冷技术人设)
    • 选择岗位急、HR活跃的职位

  2. 建立联系

    • 使用招聘平台"交换微信"功能(利用下意识点击心理)
    • 或先询问详细JD和部门信息建立信任

  3. 微信养号

    • 提前准备"安全专家"人设
    • 发布相关朋友圈(使用真实工牌照片)
    • 保持工作时段沟通(HR更可能使用电脑)

  4. 发送恶意文件

    • 文件名加长空格混淆
    • 使用PDF图标伪装
    • 执行流程:打开真实PDF同时后台释放Cobalt Strike

2.3 客户场景钓鱼实施

前期准备

  • 通过Google搜索客户招标信息
  • 获取设备关键信息建立可信度

钓鱼流程

  1. 电话联系声称设备故障
  2. 要求添加QQ沟通
  3. 诱导点击"管理员权限申请"文件
  4. 使用自解压木马(ResourceHacker替换图标)

3. 权限获取与维持技术

3.1 初始权限获取

  • 浏览器密码抓取

    • 使用HackBrowserData等工具
    • 需要临时做免杀处理

  • 内网凭证获取

    • 通过Confluence、企业Wiki等系统
    • 获取通讯录用于后续钓鱼

3.2 权限维持方法

  • 持久化技术
    • Startup文件夹
    • HKCU Run注册表键
    • 计划任务

4. 内网横向移动技术

4.1 信息收集

  • 翻查邮件和共享文件

    • 寻找《XXX操作手册》等敏感文档
    • 获取部门人员信息(如照片等)

  • 截图敏感信息

    • 监控目标桌面可能获取在线文档截图

4.2 弱口令利用

  1. 扫描内网设备

    • 优先扫描安全设备(常在全流量白名单中)
    • 尝试默认凭证登录

  2. 密码喷射攻击

    • 使用常见弱密码(如123456)
    • 针对SSH等服务

  3. 凭证重用

    • 获取的域账号尝试登录其他系统
    • 注意双因子认证可能被绕过的情况

4.3 钓鱼邮件升级

  1. 内网钓鱼邮件

    • 将恶意文件放在内网共享服务器
    • 使用内部可信发件人地址

  2. 针对性钓鱼

    • 选择特定部门发送
    • 午饭时间发送(警惕性较低)

  3. 密码过期钓鱼

    • 伪造密码修改页面
    • 链接指向攻击者控制的内网IP

5. 防御建议

5.1 流程规范

  • 招聘流程

    • 只允许通过专业平台和公司邮箱接收简历
    • 禁止使用个人即时通讯工具交换文件

  • 客户沟通

    • 建立正规故障报修流程
    • 限制非正式沟通渠道使用

5.2 安全意识培训

  • 覆盖即时通讯工具风险
  • 定期进行钓鱼测试
  • 更新培训课程和考核机制

5.3 技术防护

  • 双因子认证

    • 确保所有关键系统启用
    • 定期审计例外账户

  • 监控与响应

    • 监控异常登录行为
    • 建立快速响应机制

  • 客户端安全

    • 禁用不必要的自启动项
    • 限制高权限操作

6. 实战经验与技巧

  1. 时间管理

    • 5天对抗实际只有3天有效攻击时间
    • 需提前规划攻击路径

  2. 隐蔽技巧

    • 避免客户端泄露主机信息(如Foxmail显示hostname)
    • 物理渗透注意伪装(避免被监控识别)

  3. 心理战术

    • 不同目标采用不同话术
    • 安全人员通常更难诱骗

  4. 免杀技术

    • 及时更新免杀方案
    • 测试不同安全产品的检测规则

7. 工具与资源

  • 钓鱼工具

    • Cobalt Strike
    • 自解压木马制作工具
    • ResourceHacker(图标替换)

  • 信息收集

    • HackBrowserData
    • 弱口令扫描工具

  • 参考资源

    • Unicode字符利用(如RLO字符)
    • 自解压木马制作教程
企业内部红蓝对抗实战教学文档 1. 对抗规则与限制 蓝队限制条件 : 必须从互联网发起攻击 禁止直接利用内网资源 禁止使用员工账号权限 禁止物理攻击 攻击路径选择 : 0day漏洞(通常不可行) 钓鱼攻击(主要突破口) 2. 钓鱼攻击方法论 2.1 钓鱼场景选择 优先选择对外交流渠道 : 招聘场景(HR沟通) 客户服务场景 供应商/合作伙伴沟通 2.2 招聘场景钓鱼实施 前期准备 : 在BOSS直聘等平台寻找目标公司招聘信息 制作有竞争力的虚假简历 准备免杀木马(伪装为简历附件) 钓鱼流程 : 筛选目标HR : 收藏职位但不主动聊天(营造高冷技术人设) 选择岗位急、HR活跃的职位 建立联系 : 使用招聘平台"交换微信"功能(利用下意识点击心理) 或先询问详细JD和部门信息建立信任 微信养号 : 提前准备"安全专家"人设 发布相关朋友圈(使用真实工牌照片) 保持工作时段沟通(HR更可能使用电脑) 发送恶意文件 : 文件名加长空格混淆 使用PDF图标伪装 执行流程:打开真实PDF同时后台释放Cobalt Strike 2.3 客户场景钓鱼实施 前期准备 : 通过Google搜索客户招标信息 获取设备关键信息建立可信度 钓鱼流程 : 电话联系声称设备故障 要求添加QQ沟通 诱导点击"管理员权限申请"文件 使用自解压木马(ResourceHacker替换图标) 3. 权限获取与维持技术 3.1 初始权限获取 浏览器密码抓取 : 使用HackBrowserData等工具 需要临时做免杀处理 内网凭证获取 : 通过Confluence、企业Wiki等系统 获取通讯录用于后续钓鱼 3.2 权限维持方法 持久化技术 : Startup文件夹 HKCU Run注册表键 计划任务 4. 内网横向移动技术 4.1 信息收集 翻查邮件和共享文件 : 寻找《XXX操作手册》等敏感文档 获取部门人员信息(如照片等) 截图敏感信息 : 监控目标桌面可能获取在线文档截图 4.2 弱口令利用 扫描内网设备 : 优先扫描安全设备(常在全流量白名单中) 尝试默认凭证登录 密码喷射攻击 : 使用常见弱密码(如123456) 针对SSH等服务 凭证重用 : 获取的域账号尝试登录其他系统 注意双因子认证可能被绕过的情况 4.3 钓鱼邮件升级 内网钓鱼邮件 : 将恶意文件放在内网共享服务器 使用内部可信发件人地址 针对性钓鱼 : 选择特定部门发送 午饭时间发送(警惕性较低) 密码过期钓鱼 : 伪造密码修改页面 链接指向攻击者控制的内网IP 5. 防御建议 5.1 流程规范 招聘流程 : 只允许通过专业平台和公司邮箱接收简历 禁止使用个人即时通讯工具交换文件 客户沟通 : 建立正规故障报修流程 限制非正式沟通渠道使用 5.2 安全意识培训 覆盖即时通讯工具风险 定期进行钓鱼测试 更新培训课程和考核机制 5.3 技术防护 双因子认证 : 确保所有关键系统启用 定期审计例外账户 监控与响应 : 监控异常登录行为 建立快速响应机制 客户端安全 : 禁用不必要的自启动项 限制高权限操作 6. 实战经验与技巧 时间管理 : 5天对抗实际只有3天有效攻击时间 需提前规划攻击路径 隐蔽技巧 : 避免客户端泄露主机信息(如Foxmail显示hostname) 物理渗透注意伪装(避免被监控识别) 心理战术 : 不同目标采用不同话术 安全人员通常更难诱骗 免杀技术 : 及时更新免杀方案 测试不同安全产品的检测规则 7. 工具与资源 钓鱼工具 : Cobalt Strike 自解压木马制作工具 ResourceHacker(图标替换) 信息收集 : HackBrowserData 弱口令扫描工具 参考资源 : Unicode字符利用(如RLO字符) 自解压木马制作教程