TrustedSec红队负责人谈国外红队行动现状

TrustedSec红队负责人谈国外红队行动现状
2024-5-14 15:55:37 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

｜编者｜

透过本文，我们可以了解国外红队行动、红蓝对抗、网络安全行业的现状。主要发下：

1. 红队项目平均持续6到10周。

2. 红队工作的细节，比渗透测试更深入。红队会执行各种形式的社会工程，如网络钓鱼、电话和短信攻击，甚至物理入侵，目的是获取内部系统的访问权限，模拟真实攻击者可能采取的手段。相比渗透测试注重漏洞发现和验证，红队更看重隐蔽性和对手的拟真模拟。

3. 假定失陷。越来越多的甲方希望希望红队能执行内部评估，因此红队经常采取"假定失陷"的方式，即假设攻击者已获得初始入口，直接从内部展开行动。内部评估的目标多种多样，从测试源代码管理、CI/CD流程到云资产访问等，需要红队全方位了解目标环境。团队在内部评估阶段要投入大量时间做信息搜集，阅读文档、使用应用，以普通用户的视角熟悉系统。这看似枯燥，却是高质量评估不可或缺的步骤。

4. 一些成熟的客户开始要求在红队评估过程中引入更多防御方的互动，形成"紫色团队"模式。这种演练强调红队和蓝队的持续协作，有利于及时发现问题、改进防御措施。但这对参与的红蓝双方都提出了更高要求，需要建立互信、放下成见。

5. 在某些案例中，防御方存在急于"战胜"红队、在评估报告中"出彩"的心态。这反映出企业安全文化的不成熟。红蓝双方应该形成建设性的合作关系，而非简单地较量输赢。

6. 网络安全不是买买买。一些客户热衷于购买昂贵的安全设备和系统，却忽视了建立与之匹配的安全管理流程。缺乏切实可行的安全运营机制，再多的技术投入也难以发挥应有效用。

7. 红队评估的重要目标之一，就是检验企业安全运营流程的完备性，包括对可疑事件的监测、分析、处置等环节。通过模拟真实的入侵场景，红队能发现客户在实战中可能暴露的种种问题，促使他们完善安全响应预案。

8. 保持隐蔽方面变得越来越困难。优秀的红队应该拥有多样化的战术，能灵活运用各种初始立足点获取技术。面对日益强大的终端防护，红队需要开发新的渗透手段。但入侵检测的提升更多体现在对可疑行为的识别上。保持隐蔽、规避基于行为和启发式的检测，是红队面临的持续挑战。

在上周的团队会议上，我问团队成员，谈谈你们上次用于获得初始访问的载荷。我们八个人轮流发言，每个人都给出了一个他们使用过的不同初始访问载荷，每一个都有效对付了CrowdStrike、MDE等防护措施。所以获得初始访问并不是最难的部分。虽然它确实很脆弱，但不是最难的部分。

最难的部分是在你获得初始访问之后，现在你面对的是这些越来越注重基于行为或启发式的检测的EDR系统。很多此类检测能力一直在加强，在监视行为方面变得更强。比如这个用户在过去六个月里从未连接过这个共享，这是一个非常好的检测点。所以在保持隐蔽方面变得越来越困难。

9. 上云对红队行动的影响。云计算和混合架构的普及，使企业安全的边界日益模糊。红队在评估中必须考虑云环境的特殊风险。从技战术的角度看，红队对付云平台的手法与入侵传统网络并无本质区别。但云的引入带来了环境自身复杂性的提升，红队需要全面理解不同云服务的工作方式。

“我不知道在Azure和非Azure环境中是否有什么不同，或者这只是一个网络通道，我仍然是否在本地环境。从红队的角度来看，这只是另一台主机、另一个UI、另一个Web应用、我需要获取的另一个凭证。我可以这样来简化问题，但这有点过于简单化了。”

10. 拥有多学科技能的团队变得越来越重要。红队在对云环境实施评估时，如果缺乏相关知识和经验，往往会陷入困境。现代云平台的复杂度远超传统IT系统，对评估人员的技能提出了更高要求。因此，网安服务提供商应重视培养全栈型的红队人才，建设一支掌握多领域技能的团队，以应对不断变化的企业IT环境。

全文如下：

今天节目中，我请到了杰森·朗（Jason Lang），他领导着TrustedSec的红队。还有卡洛斯·佩雷兹(Carlos Perez)，他在TrustedSec担任多个职务，但主要负责研究工作。欢迎杰森和卡洛斯来到节目中。请花点时间做个自我介绍，并透露一下你们最近在忙些什么。

杰森·朗：如杰夫所说，我是目标式行动团队的负责人，这个团队本质上就是TrustedSec的红队。做这份工作已经好几年了，我非常喜欢。我与一群才华横溢的人一起从事红队工作，我们拥有一些非常先进的能力，工作非常有意思。

卡洛斯，你来介绍一下自己。

卡洛斯·佩雷兹：我是TrustedSec的安全情报主管。如杰夫所说，我身兼多职。我为不同的团队提供内容支持。我还协助销售、业务拓展和威胁情报工作。我是事件响应团队(IR team)的后备人员。很多时候，他们在Windows方面需要专业知识，就会请我来协助处理这些案例。我住在加勒比地区，这里确实很不错。

杰夫：很高兴大家都可以走出去。上周末我有机会去爬山，感觉非常棒。

杰森，我想从你这里了解一下红队的背景情况。在很多方面，多年前红队可能只是一次花哨的渗透测试，参与者都尽量避免被发现。但今天已经不是这样了。云计算和基础设施即服务(IaaS)显著改变了这个行业。你能简单介绍一下2024年的典型红队行动是什么样的吗？

杰森：是的。就时间而言，我们的项目平均持续6到10周。有时我们会让多个操作员配对工作，有时则不会。很大程度上取决于客户的需求。最大的区别在于，这个话题已经是老生常谈了。渗透测试本质上是基于覆盖面的。你快速地大范围测试网络，尽可能找出所有权限提升路径或所有漏洞。如果你碰到的渗透测试人员很有经验，比如我们的突击队成员那样，你会从中获得巨大价值。

我合作过的一些客户，他们只是修复了渗透测试发现的问题，正如你想象的那样，他们的网络变得非常安全、强固。这很棒。而红队更进一步，引入了隐蔽性的概念，或者说我应该说是重新引入，以及更多地模拟对手，而不仅仅是寻找权限提升路径。

至少在TrustedSec，每家公司对红队的定义都不同。我认为在2024年，红队评估客户对目标式攻击者的响应能力。这不仅仅是发现漏洞，尽管这当然是红队工作的自然副产品，而且还要测试客户想要验证的场景，比如针对某个应用程序、某条业务线或某个流程的场景。

具体到红队工作的细节，它比渗透测试更深入。我们会执行各种形式的社会工程。我们会进行网络钓鱼、电话和短信攻击。如果客户选择了物理测试，我们也会执行，所有这些都是为了试图获得攻击者可能拥有的内部访问权限。如果我们能够通过正常途径实现这一点，那就太好了。如果做不到，我们通常会转为假定失陷(assume breach)，因为大多数客户都希望进行内部评估。

他们给我们设定的目标不仅仅是评估外部路径，确保你无法入侵。还包括应用程序测试，或者像软件工程这样的垂直领域，这是我们经常测试的。他们会提出这样的要求：在生产源代码中植入一个恶意注释是什么样的？入侵CDCI管道是什么样的？访问云和云虚拟机是什么样的？

因此，目标不仅仅是获得域管理员权限，尽管很多时候实现目标可能需要域管理员权限或其他必要的访问权限。假定失陷或内部评估通常占总时间的40%到60%。但是，内部评估的大部分时间都用于了解环境和进行内部侦察。

我仍然有客户在我告诉他们，内部红队的绝大部分时间都花在阅读文档、查看信息、浏览应用程序、做普通最终用户的事情以及尽可能多地了解环境时摇头。老实说，当有人来问我，如何进入红队工作时？我开始说，要非常擅长挖掘Confluence(一种企业知识管理与协作软件)，然后再来跟我谈，因为有时候最终就是这样。这是工作中非常无聊的一部分。

红队人员和测试人员已经开始将这些工作脚本化。有一些非常好的工具可以帮助完成其中一些任务。这通常就是工作的方式。正如我告诉大家的，其中没有什么魔法。我不会说其中有很多科学性。关键是要尽快全面了解环境，然后运用你所有的技术经验去利用它。

现在有些客户，这确实是2024年的变化之处，可能是从2023年末开始的，他们开始大力推动在红队行动期间纳入更多防御方参与。这不仅仅是在行动结束后的简报，不仅仅是在最后一周与蓝队会面交流，我遇到过客户要求在评估过程中与我们合作，几乎就像是强调红队的紫色团队合作(purple teaming)。这对我来说非常有趣，因为只有成熟的客户才能很好地应对这一点。

这可能会引出各种话题。但我也想给卡洛斯一个机会来发表看法。抱歉，我讲了太多了。

卡洛斯：不，不，这很好。我再简单说几句，这意味着客户会说，在为期3到4周或更长的内部评估中，我们希望你工作时与我们的安全运营中心(SOC)合作。这可能是这样的，我们花几天时间照常工作，因为没人愿意坐在那里看红队工作或搞砸命令。他们会说，好的，我们能够完成这条攻击路径，但从防御方来看是什么样的？你们看到了什么？

我有一个客户在第四季度末要求，内部测试期间，每周末花大约四个小时直接与SOC合作，说明我们这周做了什么。作为一名红队成员，这很棘手，因为如果我泄露了所有信息，告诉他们我做的所有事情，这正是他们花钱请我们做的，他们就有充分的机会来破坏这次行动。

我必须小心，因为今天自负情绪仍然存在。有些客户或团体，防御方就是想赢，想在报告中露脸。我认为，业内人士这几年慢慢意识到，红队人员其实是好人。我们是你们的朋友。我们希望与你们合作，让你们变得更好。但要做到这一点，你们必须信任我们。

现在情况有点反过来了，客户在说，好吧，现在有很多检测措施。这已经不是2016年使用Empire(一款开源渗透测试工具)那样的黑客行为了。所以现在轮到红队必须信任防御方不会破坏行动。我们会让你继续工作。但我们想看到更多。我们想更具体地了解你在做什么，你是如何做的。当与一支成熟的蓝队合作时，这种体验棒极了。我喜欢进行这种紫色团队合作。

几年前，当我在客户现场做这项工作时，感觉非常有意思。当你与一支成熟的蓝队合作时，就像是，我会连续四天入侵你们的系统。然后第五天，我们碰头，我会告诉你们我做了什么。你们可以查看这些恶意载荷等内容。当这种伙伴关系建立起来时，因为它确实需要一支优秀的蓝队，效果会非常出色。这让人兴奋不已。

所以我不确定是否可以称之为传统的红队，就像三年前那样，人们会说，尽你所能隐蔽地来攻击我们吧。然后我们就全力以赴地隐蔽攻击。行动结束后，我们递交一份报告。而他们说，我们完全没发现这些。我想人们很快就意识到，这不是最有价值的地方。

有价值的是运用所有的技艺，运用所有的经验，现在要与防御方密切合作，相信我们不会搞砸你们的工作。我们会让你们继续工作，但我们想看到你们在做什么。我们想了解你们的思路。这确实是过去一年里的变化。老实说，我喜欢这种趋势。我希望看到这种趋势继续下去，因为如果你有一支优秀的蓝队，一支能放下自负情绪的蓝队，它能创造难以置信的价值。

杰夫：杰森，这太棒了。非常感谢你提供的所有细节。你提到，由于公司希望进行内部评估，我们会转为假定失陷。关于这些初始立足点是什么，这些检测是如何进行的，提供一些信息会很有帮助。卡洛斯，由于你专门研究IOC(入侵指标)等内容，也请你谈谈看法。

卡洛斯：正如杰森提到的，红队评估是对你的环境建设进行质量检查的一种高级形式。在TrustedSec，我们提供各种服务，帮助客户从如何组建最初的团队，如何建立环境和流程等方面入手。我和杰夫在行动前实际讨论过，我们观察到，有些客户喜欢闪亮的设备，在环境中投入大量资金购买各种工具和组件，但他们不花时间来建立相应的流程。

红队评估可以全面测试这些流程，因为我们会探查你如何应对我们对环境的信息搜集。这是攻击者实际会做的事情。例如，我目前正在处理一起事件响应(IR)，之前也处理过其他事件响应，我们看到攻击者登陆到一台机器上，然后花时间搜集所有信息，收集所有数据，你需要尽早发现他们。

执行红队评估时，你有时间来压力测试所有这类行为，看看你是否能检测到，不仅要检测到，还要看你如何应对。你有哪些应对流程？你是封锁还是不封锁？你是先调查再封锁吗？你是否进行了使用工具的演练？

有时候我去到一些环境中，你尝试使用SIEM(安全信息和事件管理系统)，SIEM确实在收集所有内容，但是当你尝试查询登录事件4624时，需要半天时间才能拿到日志。然后你会想，你以前从未对这个过程进行过压力测试。我们现在就是在帮你进行压力测试，为什么不使用Cape或Velociraptor之类的工具对机器进行捕获呢？

这就是我认为红队评估的切入点，当你已经做好准备，达到了成熟度的顶峰，你会说，好吧，我想测试我的流程。我认为我已经做好了充分准备。现在是时候测试运行所有这些工具、所有这些检测措施以及目前所有流程的人员了。

至于假定失陷的初始访问载荷，这是一个非常有趣的话题，因为如果你问红队人员初始访问的事情，在公开场合，他们立马会绷紧神经。他们不会想谈论这个。他们之所以不想谈，是因为如果他们是专业人士，这现在就是竞争优势。以前不是竞争优势，但现在是了。

必须承认，人们不想谈论它，因为现在业务依赖于此。这确实需要考虑这个角度，但这是事实。不同的公司会有不同的体验，这仍然是件好事。我喜欢拥有老客户，当然我们希望尽可能多地留住老客户，但同时，我也希望客户真正做出改进。

我曾经直接告诉客户，我很想看到你们去找另一个可靠的供应商，体验一下他们的服务，然后再回来找我们，让我们保持合作，帮助你们不断进步。对我们来说，这通常意味着你仍然可以在终端安全响应(EDR)系统(如CrowdStrike或MDE)开启所有防护的情况下，利用一个可执行文件获得立足点。这是可行的。你可以购买现成的产品来获取shell code。

我们出色的研究团队正在做一些令人难以置信的工作，让我能够让客户下载一个exe文件，从而获得立足点。显然，初始访问不仅仅是说，这是秘方。因为如果我说秘方是一个exe文件，你一定会觉得扫兴，你应该觉得扫兴。但我们正在研究的还有许多其他提供初始访问的方法，不只是那个。

其他一些方法可能与浏览器有关，可能与微软Office有关。即使是顶级EDR系统，仍然有办法登陆到机器上。在我看来，EDR系统真正大放异彩的地方，与其说是防止初始访问，因为我们可以获得初始访问。我不想说这是板上钉钉的事。我是这么看的。

这就是为什么数据泄露事件仍在发生。事件响应团队仍然很忙。红队仍然取得成功。但正在发生的是，入侵停留时间(dwell time)正在大幅下降。这一点，卡洛斯，你谈到事件响应以及攻击者如何入侵等，这让我想起一件事。

我希望能跟大家分享我的屏幕，给大家看这个，但我还是简单说一下吧。大约两周前，我的老板给我发了一个截图，我停下手头的工作，凑近了看，我当时就想，这张截图比我见过的任何截图都更好地展示了信息安全行业(包括红队和蓝队)的进步。

这张图来自FireEye公司2024年的M-Trends特别报告（https：//services.google.com/fh/files/misc/m-trends-2024.pdf）。我不知道你是否能与观众分享。但在第8页底部，有一个全球入侵停留时间中位数的统计。我来说一下具体数据。

2011年至2023年全球入侵停留时间中位数(以天为单位)。2011年，全球中位数是416天。此后每年都在下降，只有一年例外，从99天增加到101天。到了2023年，全球中位数下降到10天。2022年是16天，2021年是24天，2020年是56天。重点是，停留时间从400多天一路下降到10天的中位数。这个进步令人印象深刻。

在我看来，这充分证明了信息安全行业的进步。顺便说一下，这是一份很棒的报告。每个人都应该读读。再次强调，这是FireEye 2024年的M-Trends特别报告。里面有很多真正有价值的内容。

如果你从事信息安全工作，觉得为什么要干这行，我讨厌这份工作。读读这份报告，它会给你一些希望，让你意识到自己的工作确实在做出有意义的贡献。所以对我来说，这是一次非常棒的阅读体验。从红队的角度来说，这有点让人沮丧，因为我有时只想运行Mimikatz获取凭证，但那些日子已经一去不复返了。

杰森，这太精彩了。非常感谢你提供的所有细节。你提到我们现在拥有各种仪表盘、检测措施，可能对环境有了深入的了解。可能在应对各种情况时，你甚至已经建立了一定的成熟度和响应计划。但可以肯定的是，许多企业已经超越了边界防护，进入到这些共担责任的环境，特别是在云和混合基础设施方面。这对红队有什么影响？

杰森：从红队的角度来看，云计算的引入有一个有趣之处。一方面，它让组织倒退了很多，因为你引入了所有这些技术，组织的领导们跟风抢着上云，并不一定是因为上云是个好选择，而只是因为其他人都在上，所以我们也跟上。我不是说这一定是好事还是坏事。这就是事实，因为人们容易追逐潮流和时髦词汇。每个人都想赶时髦。当云刚推出时，它很快就成为一种时尚。

问题在于，云的能力发展速度超过了我们理解其影响的能力，比如如果你这样做会发生什么，那样做又会怎样。现在，你会发现密码和秘钥暴露在外，明文存放，只要你能访问到它们，它们就在那里。所以多年来，我们一直在说，要对静态密码进行加密。

对，我不知道在Azure和非Azure环境中是否有什么不同，或者这只是一个网络通道，我仍然是否在本地环境。从红队的角度来看，这只是另一台主机、另一个UI、另一个Web应用、我需要获取的另一个凭证。我可以这样来简化问题，但这有点过于简单化了。

事实是，云非常复杂。而硬币的另一面是，现在你有了只专注于云的人员。正是由于云的复杂性，专业化变得很有必要。即使在云领域内部，也有专门的学科，有人更擅长测试AWS，有人更擅长Azure或GCP，因为它们太复杂了。

所以很容易说，这没什么大不了的，这只是另一个环境，只是在测试环境。但事实是，云要复杂得多。现在，这迫使红队人员更多地依赖同事的技能。一个通才的思维方式已经不够用了，一切都取决于客户的要求。如果客户只给你一个标准的网络目标，那当然没问题。

但如果客户说，我有一个客户给了我这样的目标。在不被发现的情况下访问我们的云实例，建立一个VPS(虚拟专用服务器)，并在上面安装加密货币挖矿软件。并且不被发现。这就是目标。我没能完成这个目标。他们部署了大量令人难以置信的检测措施。我无论如何尝试都会被发现。这就像赤身裸体地干黑客活动。真的很烦人。但很酷的是，他们朝这个方向思考，因为他们知道那里可能存在一些漏洞。

关键是，如果让一个没有云经验的红队来做云测试，他们会花大量时间阅读文档，搞砸Azure cmdlet命令。我甚至都不知道该安装哪些Azure cmdlet。你很容易就迷失方向。这就是为什么随着技术变得越来越复杂，依靠同事并在团队中拥有多学科技能变得越来越重要。

实际上，从某种角度来说，云增加了一个持续的复杂性。因为云的一个问题是，突然之间，那些能够用Windows搭建自己家庭实验室的人，有了学习的途径，有了认证的路线，有了多年的经验积累，再加上得益于微软一直保持向后兼容的理念，你积累了IT管理员广泛使用的知识库。

现在你进入云环境，这是一个全新的环境。自从有了OAuth，人们有了访问权限。在登录方面，你必须为基本的安全功能付费。所以并非每个环境都具备他们需要的基本安全功能来跟踪攻击者。现在，除非你知道如何配置，否则任何人都可以连接到云环境。

当你看Azure、AWS时，其中一个问题是，它们总在推出新功能。总在推新东西。所以我从管理员那里听说，他们很快就说，你知道吗，我宁愿待在命令行界面，也不愿意进入Azure的仪表盘。因为那个仪表盘变化太频繁了。总是有新东西。总是让我感到困惑。

事实上，我记得在为最近的一个课程准备环境时，我在AWS中启用一些东西。我点击了一个选项，它弹出了一个包含一长串权限的弹窗，仅仅通过勾选一个复选框就会修改这么多权限。我当时想，现在我得把这些都过一遍，在真的勾选之前先去谷歌搜索每一项的含义。但我记得大约8个月前我做同样的事情时，那个权限列表要短得多。现在变得很长了。所以复杂性在不断增加。

作为IT人员，我们知道寻找培训的艰难，练习的艰难。我们通常无法建立实验环境，因为与企业环境相媲美的授权配置要昂贵得多，这和在本地环境中搭建机器的成本完全不可同日而语。事实上，我参与过一些事件响应，我们突然发现攻击者获得了域管理员权限，我马上转向一位分析师，通过即时消息问他，嘿，你能把Azure的认证日志发给我吗？能把Office 365的所有信息都给我吗？他说我们还没想过要拉取这些日志。我说，为什么不拉？他回答说我们从没想到攻击者可以通过获取域控制器的权限从本地环境转移到云端。我说，是的，他们可以。这就是复杂性带来的问题。

而对他们来说，这些练习从未尝试过。事实上，我帮助维护我们事件响应团队用于分析域受损情况的工具，需要分析大量日志，这些日志并不容易理解。它们非常复杂，带有大量JSON结构、GUID等各种东西。然后几周后，我们事件响应团队的Thomas过来说，嘿，Carlos，我们需要修改一下这里。我们需要改动。他们修改或新增了我需要处理的东西。这还是我们有时间专门为客户服务构建工具和这些东西的情况。

想象一下，如果你就是那个现场管理员，在灭火的同时还要管理一个不断变化的系统，面对所有这些复杂性。而复杂性意味着风险。

杰夫：这对我来说当然很有道理，因为在企业IT时代，你可以控制环境中的内容。而现在有了云，不同供应商之间存在着激烈的竞争，不断推出新服务。没有什么可以阻止别人启用之前没有的新东西，你当然不知道，甚至都不知道有这个东西的存在。你又怎么可能为此构建检测措施呢？这无疑是一个有趣的挑战。

我们已经聊了很久，但我想给Jason一些时间来预告一下他在NOLA(新奥尔良)的演讲。请继续，Jason。

杰森：谢谢。这实际上与我今年早些时候在赫尔辛基举行的Disobey安全会议上的演讲非常相似。Disobey是一个很棒的安全会议。这个演讲主要讲的是我所说的复杂攻击的各种程度，因为当企业遭遇入侵时，复杂是业内一个巨大的流行语。所以我会谈到新手、专业人士和国家级别的攻击，讲一些故事，比如什么是复杂？执行复杂攻击到底意味着什么？从新手的角度、专业人士的角度和国家的角度来看，这意味着什么？

所以如果大家想看演讲内容，可以在网上找到Disobey版本的演讲视频。在NOLACON(新奥尔良安全大会)上，我会做一些改动。但这个演讲真的很有意思，因为它本质上是结合了对红队的经验教训，讲了一个小时的故事。因为通常，当我看到有关数据泄露的演讲时，重点都是如何改进蓝队，这很好，我们应该讨论这些。但我从一个不同的角度来看待这个问题。审视一起入侵事件以及攻击者的技术，然后说，好的，我们如何改进红队？这就是演讲的整体思路。

完。

参考资料：

https://trustedsec.com/resources/podcasts/security-noise-episode-6-20