1. 前言

一大早被领导拉起来分析火眼事件。朋友圈整个安全圈子也是沸腾不已，但随着分析的深入，发现有点“小题大做”了，没有想要的高尖精工具和技术方案，全是一堆已知攻击技术的红队模拟工具。但站在一个红队人员的角度，也是收获不少。

2. 红队服务真的有用“假想敌手段”么？

3. 如果火眼红队只有“这样的水平”，也不过如此

4. 从策略看国外红队工程化水准

毫不客气的说，是领先了国内很多的。其中大部分是C#开发，符合国外红队圈子的技术走向。GITHUB开源的红队工具大部分也是C#开发，我读过一些工具的代码，水准也是一般，这可能也是火眼进行了大量二次开发的原因吧！再回头看国内，武器化思路才起步，谈工程化就有点打脸。没有开源氛围，没有工程化能力，想开源的代码能力弱了点，代码能力强的敝帚自珍。工具的法律风险也是一大掣肘。“既不懂APT也不会写代码，你给我说你是做红队的”

5.作为技术人员还是要看点技术

大部分技术人员可能和我一样，看能不能捞点工具回来，FireEYE泄露的工具，至少比开源工具稳定性要好些。可是我通过md5上VT捞，结论是：没有！没有！没有！但是也给了一些不大不小的启示：

1. GORat火眼竟然在用，我可能需要去尝试下
2. 其中有个D语言后门，多搞点小众语言减轻杀软对抗的痛苦
3. Dll劫持是不错的权限维持手段，策略里面含有大量dll劫持方案，但是都是公开的
4. 各种Loader的制作还是对抗的前沿
5. 还是要多造轮子，已有的轮子不一定都是好轮子
6. 已知漏洞武器化还是很有必要，相信大部分人和我一样眼馋的是那份CVE武器化工具，潜意识认为火眼开发的利用一定还是不错的。

6. 我们的路还很长

红队的路还很长，认清楚差距，看明白方向。最后希望火眼披露攻击细节，希望看见黑客世界顶尖的样子。就目前的公开的我想说“我裤子都脱了，你给我看这个？”