Question

在之前的“黑客秘笈”系列图书中，我们介绍了如何编写渗透测试报告，并提供了大量示例模板。这些模板非常适合作为标准的渗透测试行动周总结报告，但不适用于红队行动。正如本书所述，红队的主要任务不在于识别漏洞本身（尽管通常是行动的一部分），而是测试员工安全意识、工具、流程和员工技能。如果您的公司受到演练人员或坏人的攻击并被突破，您会给自己什么样的成绩？我一直反对使用差距评估分数、ISO 分数、成熟度模型分数、标准风险分析、热图和类似报告来展示公司安全流程的真实样子。

就个人而言，在红队行动前，我希望看到公司安全防护取得真正的进展。例如，对于使用类似 doppelganger 的网络钓鱼行动，我们看到公司启用了以下某些功能。

• 使用 DNStwist 对与其公司类似的域发出警报。
• 受信任的外部电子邮件域列表。任何不匹配的外部邮件，都将在最终用户可见的电子邮件中附加标题，表示邮件来自外部（非公司），是未经批准的电子邮件来源。这有助于您的用户更轻松地识别网络诱骗行为。
• 如果电子邮件中的任何链接来自于代理中未分类的域，那么至少在单击时会提醒用户域未被分类。
• 禁止 Office 宏以及附件，强制采用受保护的视图和沙箱机制。

这只是公司可以实施的一些简单的措施，可以有效阻止攻击。

请记住，红队只需要找到一个可能危及环境的安全漏洞。但是，与此同时，蓝队只需要识别攻击者的战术、技术和程序中的一个环节，就可以防止网络被突破。因此，现在的问题是，如果从您的工具中发现攻击者的一个环节，并发出警报，您的应急响应团队多长时间可以发现并做出响应？

那么红队报告中的内容包括什么？红队仍然是新的领域，目前还没有标准的报告模板，我们可以根据客户的需求进行定制。从我的角度来看，由于我们可能会在整个行动中尝试多次进入某个环境（并且被“抓住”了几次），因此我们希望展示好的与坏的两个方面。

至于行动中记录的内容，许多工具（如 Empire 和 Cobalt Strike）在行动期间都有详细的事件日志，但这些还是远远不够的。在行动中非常有用的方式是，搭建一个简单的网络服务器，记录红队成员执行的每项行动。在行动期间仅收集基本的信息，包括特定事件、服务器、描述、影响、任何警报和屏幕截图。大多数红队/渗透测试人员都不愿做记录，网络服务器提供了一种跟踪行动的简单方法，如图 10.1 所示。

行动结束后，我们搜集所有记录，并将内容组合在一起，形成红队报告，用于讲述故事。红队报告的主要部分可能包括以下几点。

• 简介/范围：本节需要明确说明行动的目标。例如，客户要求我们获取特定数据，例如域管理员、个人验证信息和 IP 地址，或者在生产网络服务器中查找标志。
• 提示：行动中的应急响应/取证团队复盘非常有意义。我们需要识别工具或传感器可能缺少的位置，从而造成无法执行取证或检测恶意行动。因此，我们希望提供命令和控制服务器的 IP 地址、使用的域名、二进制文件的 MD5/SHA1 散列值，电子邮件地址和 IP 地址信息，被钓鱼的被攻击者列表，以及可能有助于应急响应/取证团队开展工作的其他任何信息。

图 10.1

• 攻击时间表：这是红队战役中的一个重要的部分，需要做充分的记录。时间表应充分描述所有主要事件、触发警报的检测时间以及主要的行动步骤。这将允许蓝队对比时间表和记录，查看有什么差距。在真正的攻击中，您能够询问攻击者所做的一切吗？这对防御蓝队非常有帮助。时间轴示例可能如图 10.2 所示。

图 10.2

• 检测时间（TTD）/缓解时间（TTM）：通常我们可以使用蓝队报告中的 TTD/TTM 统计数据。总之，我们需要得到蓝队发现每次入侵的时间；扫描事件触发调查之前，经过了多长时间（如果有的话）；蓝队发现网络钓鱼活动需要多长时间。第二部分应讨论采取行动之前的时间统计数据。如果已经识别命令和控制通信或者网络钓鱼攻击，防火墙或 DNS 服务器阻止该域需要多少时间？我们经常看到公司可能擅长阻止域名，却无法阻止命令和控制服务器使用 IP 地址通信（反之亦然）。我们希望跟踪事件并且为客户识别事件。另一个重要的 TTM 衡量标准是他们能否快速隔离确定的突破系统。随着恶意软件变得越来越自动化，我们需要开始利用智能和自动化流程，将系统或网络的一部分与组织的其他部分隔离开。
• 来自应急响应/取证人员的反馈：我喜欢记录蓝队的反馈，也就是他们从防守的角度如何看待整个行动。我想要了解的是，如果蓝队按照安全防护的规定，由事件牵头人启动调查，管理层深度介入，安全部门与 IT 部门如何交互促使 IT 部门改变（防火墙拦截、DNS 修改等），以及恐慌或保持冷静的人。
• 如前所述，红队的目的不是寻找漏洞或破坏环境（尽管这是有趣的部分），红队的目的是提升、改善组织的整体安全流程，并证明组织的安全环境存在某些差距。如今，许多公司对于安全流程过于自信，因此他们不会在被突破之前进行改变。通过红队，我们可以模拟攻击，鼓励做出改变，从而确保不会发生真实的攻击事件。