红队核心攻击战术详解 - 教学文档 文档概述 本文档旨在深度解析现代红队作业中最为常见和有效的九大攻击战术。红队演练的核心目标是模拟真实世界中的高级持续性威胁（APT），以尽可能隐蔽和有效的方式，绕过蓝队的防御体系，达成预设的攻击目标（如获取特定数据、控制关键系统）。理解这些套路，对于防守方（蓝队）构建防御体系、提升检测能力至关重要。 核心攻击战术解析 战术一：利用弱口令与凭证复用 核心思想 ：攻击系统中最薄弱的一环——人为设置的简单密码，以及密码在不同系统中的重复使用。 具体手法 ： 弱口令爆破 ：针对登录入口（OA、邮箱、VPN、后台管理系统），使用生成的字典进行爆破。字典来源包括： 姓名特征 ： zhangsan , zhangsan001 , zhangsan123 , zhangsan888 。 常见弱密码 ： 123456 , admin , 888888 , password 。 个人信息 ：生日、身份证后6位、手机号后6位、公司名称缩写等。 默认口令利用 ：许多系统（如网络设备、服务器、数据库、应用后台）在安装后存在默认口令，如 admin/admin ，管理员若未修改，则成为极佳的突破口。 凭证复用（Password Reuse） ： 跨站复用 ：员工习惯在多个网站使用同一套账号密码。红队利用从泄露的社工库或已攻破的系统中获取的凭证，尝试登录目标企业的其他系统（尤其是未启用单点登录SSO的系统）。 内网横向移动 ：管理员常用同一密码管理多台服务器。攻陷一台服务器后，提取的密码哈希或明文密码可用于攻击内网其他主机，甚至域控制器。 防御要点 ： 强制实施强密码策略（长度、复杂度）。 全面启用多因子认证（MFA/2FA），特别是在VPN、邮箱等边界系统上。 定期扫描和禁用系统的默认账户与密码。 部署账号异常登录检测系统（如陌生IP登录、频繁失败尝试）。 对内网尤其是域内环境，严格限制管理员账号的复用范围。 战术二：利用互联网边界服务作为跳板 核心思想 ：从暴露在互联网上的、能够直接访问内网资源的系统实现边界突破。 常见跳板目标 ： VPN系统 ：一旦登录，即可接入内网。 虚拟化桌面（VDI） ：直接获得一个内网桌面环境。 邮件系统 ：邮件服务器通常在内网，且邮件内容包含大量敏感信息（如服务器密码、内部通讯录、业务文档）。 官方网站 ：可能通过攻击Web应用（如SQL注入、文件上传漏洞）获取服务器权限，进而以此为据点进行内网渗透。 攻击流程 ：通过战术一（弱口令）或其他方式获取这些边界系统的合法账号密码，即可“合法”地进入内网。 防御要点 ： 对边界服务实施最严格的安全加固和监控。 在网络层面，限制边界系统访问内网的权限，遵循最小权限原则。 对邮件系统等重要服务，开启全面的日志审计。 战术三：利用通用产品/组件漏洞 核心思想 ：攻击目标广泛使用的商业或开源软件中的已知漏洞（N-day）。 高频目标 ： 邮件系统 （如Exchange、Domino） OA系统 （如泛微、致远、蓝凌） 中间件 （如WebLogic、WebSphere、Tomcat） 数据库 （如Redis、MySQL、SQL Server） CMS系统 （如WordPress、Drupal） 攻击流程 ：通过信息收集确定目标系统类型和版本，寻找对应的公开漏洞利用代码（EXP），发起针对性攻击。 防御要点 ： 建立完善的资产清单和漏洞管理流程，及时打补丁。 使用WAF、IPS等设备缓解已知攻击。 对重要系统进行匿名化处理，隐藏不必要的版本信息。 战术四：利用安全产品自身的0Day漏洞 核心思想 ：“最危险的地方就是最安全的地方”，攻击防御体系本身依赖的安全产品。 攻击价值 ： 极高隐蔽性 ：攻击行为可能被安全产品本身“信任”而忽略。 高权限获取 ：安全产品通常需要高权限运行，漏洞利用后可能直接获得系统控制权。 突破边界 ：网关类安全产品的漏洞可直接用于边界突破。 常见目标 ：安全网关、防火墙、身份认证系统、安全管理平台、终端安全软件（EDR）等。 防御要点 ： 将安全产品本身视为关键资产进行防护，及时更新。 对安全产品的管理接口进行严格访问控制，避免暴露在互联网。 战术五：社会工程学（社工）钓鱼 核心思想 ：利用人的心理弱点（好奇、恐惧、信任、乐于助人）进行欺骗，绕过技术防御。 主要手法 ： 钓鱼邮件 ： 内部邮箱盗用 ：先攻陷一个员工邮箱，以其身份向内部其他人员（尤其是IT管理员）发送钓鱼邮件，可信度极高。 诱饵 ：伪造的会议纪要、政策通知、投诉信、带宏病毒的Office文档、木马程序等。 冒充客户/合作伙伴 ： 通过在线客服、社交软件联系客服人员，以“投诉”、“咨询”、“合作”为名，发送恶意文件（如“问题截图”、“产品资料”压缩包）。 精准钓鱼 ： 针对特定岗位发送定制化诱饵，如给HR发伪造的简历，给法务发律师函，给财务发付款通知。 防御要点 ： 持续性的安全意识培训。 部署专业的邮件安全网关，过滤恶意邮件。 限制办公终端执行不明来源的宏和程序。 对客服等岗位建立规范的文件接收和处理流程。 战术六：供应链攻击 核心思想 ：攻击目标企业的供应商、服务商等第三方，以此为跳板间接攻击目标。 攻击面 ： IT/安全服务商 ：其提供的软件、设备、运维服务中可能存在漏洞或后门。 软件供应商 ：软件更新过程可能被劫持，用于分发恶意软件。 供应商人员 ：供应商驻场人员的设备若被控制，当其设备接入内网时，便实现了物理突破。 防御要点 ： 对第三方供应商进行严格的安全评估和准入管理。 监控来自第三方网络的异常访问行为。 对软件更新包进行签名验证。 严格管理外部设备接入内网。 战术七：通过下属/子公司迂回攻击 核心思想 ：当总部防御严密时，先攻击安全建设较弱的下属单位，再利用内部网络连通性横向移动到总部。 实施前提 ：企业内网（专线网络）通常缺乏有效的区域隔离和访问控制策略（“一处沦陷，处处沦陷”）。 攻击流程 ：信息收集发现子公司A -> 攻陷子公司A -> 通过内部网络扫描并攻击总部或其他子公司。 防御要点 ： 实施严格的网络区域划分和隔离，遵循“最小权限”原则。 在网络层面部署访问控制列表（ACL），限制不同区域间不必要的访问。 建立东西向流量监控能力，检测内网横向移动。 战术八：秘密渗透与精准打击 核心思想 ：避免使用噪音大的自动化工具，通过手动、低慢、精准的攻击方式规避安全设备的检测。 具体做法 ： 避免扫描器 ：不使用特征明显的漏洞扫描器，因其易被WAF/IPS识别和封禁。 情报驱动 ：基于详尽的信息收集，针对特定系统、特定版本寻找漏洞。 定制EXP ：编写或修改利用代码（EXP），以绕过特定的防护规则。 防御要点 ： 提升安全运营中心（SOC）的分析能力，不仅要关注自动告警，更要分析低频、异常的手工攻击行为。 部署EDR等终端安全产品，记录细粒度的进程和行为日志，供溯源分析。 战术九：建立多点潜伏据点 核心思想 ：不把鸡蛋放在一个篮子里，通过多种方式建立多个持久化后门，确保在某个据点被发现后仍能维持访问权限。 实施方法 ： 多样化Webshell ：使用不同语言、不同编码方式、不同通信协议的Webshell。 多样化后门 ：除了Webshell，还使用SSH隧道、RDP后门、计划任务、服务等实现持久化。 利用防守方失误 ：在蓝队应急响应时，若其仅处理告警IP而未彻底梳理攻击链，红队可利用其他据点快速“复活”。甚至利用防守方在应急时暴露的弱点（如共享磁盘）进行反制。 防御要点 ： 应急响应时必须彻底溯源，厘清完整的攻击路径，清除所有可疑的持久化后门。 对应急响应过程本身进行安全规范，避免在处置过程中引入新的风险。 总结 红队的攻击是系统性的、持续性的，其成功往往依赖于对“人、流程、技术”全方位的利用。防守方必须树立“纵深防御”和“持续监控”的理念，从上述九个方面查漏补缺，才能有效提升整体安全水位。知己知彼，百战不殆。深入理解攻击者的套路，是构建有效防御的第一步。 希望这份详尽的文档对您有所帮助。如果您对某个战术有更深入的兴趣，我可以提供进一步的扩展说明。