从防御到进攻 ： 网络犯罪分子滥用红色团队工具

网络犯罪分子和民族国家手中的红色团队工具 开发一种管理开源威胁的新方法 AliakbarZahravi的StephenHilt Contents 项目概述。 什么是红色团队？ 当前趋势和未来方向.08 将开源红色团队工具适应网络攻击生态系统 由趋势研究发布感谢雷莫林勋爵 面向开源软件供应链的红色团队工具。 趋势存储库检测。。。。。。。20基于人工智能的识别方法………独特的分诊方法。。。。。。。。 使用AI加速分析|自动生成的代码分析报告 。 开源红队的未来40 挑战和局限性。………………………… ………………………………………… ………………………………………… ………………………………………… ………………………………………… ………………………43 本方法的未来方向44 结论。。。。。。。。。。。。。。。。。。 。。。。。45 对于RaimundGenes(1963-2017) 第2页共49页 不断变化的威胁格局necessitated将创新方法论整合到网络安全实践中。红队演练，作为一种基于模拟的方法，已成为组织强化其防御以抵御复杂攻击的关键组成部分。通过利用红队的专业知识来识别漏洞并提供关键见解，组织可以增强其安全措施并领先于新兴威胁。 尽管红队工具具有诸多优势，其双重用途的本质也带来了显著的风险，这凸显了制定伦理准则和构建强大检测能力的重要性。恶意行为者越来越多地利用这些工具对不知情的受害者发起攻击，因此组织有必要相应调整其防御策略。 开源软件在供应链中的利用凸显了维护安全软件生态系统所面临的复杂性和挑战。在本研究中，我们将探讨创新与伦理之间的平衡的重要性，并讨论将AI驱动的分析整合到传统的红队战术中以增强检测和响应能力。我们还将考察组织需领先一步，应对恶意行为者利用红队工具构成的日益严峻威胁的需求。 项目概况 高级恶意软件的发展涉及恶意行为者利用其可用资源创建一个复杂的环境。通常由国家资助或高度技能组织组成的高级持续威胁（APT）小组，往往会通过使用复杂恶意软件来进行长期的网络间谍活动。 同时，独立恶意软件作者通常会创建恶意软件以获取经济利益、个人满足感或出售给其他犯罪分子。这两种开发者不断利用他们共享的知识和工具来改进他们的恶意软件。 红队，由网络安全专业人士组成，模拟真实世界的攻击，在测试和评估过程中可能会无意中通过开发复杂的攻击方法和工具来促进这一生态系统。 恶意软件开发依赖于多种来源以获取必要的工具和信息。例如，GitHub是一个主要的在线代码共享平台，可以被利用进行恶意活动 。其他关键资源包括漏洞数据库、泄露的源代码、概念验证（PoC）代码、博客以及黑客论坛。这些平台提供了丰富的信息和原材料。 APTX 威胁行为者 GitHub •泄漏的源代码 •Proof-of-Concepts •博客 •黑客论坛 图1.恶意软件开发过程 开发过程涉及从多种来源流动的信息传递给恶意软件创建者，突显其协作性质。技术漏洞、实用的实施指南以及其它资源使开发者能够创建既有效又难以对抗的恶意软件。 红队由于其本质专注于加强网络安全防御，也可能为恶意目的重新利用知识和技巧提供基础。区分红队工具的正当使用与恶意使用至关重要，强调其应用时意图和上下文的重要性。 有效的网络安全策略必须确保这些工具得到道德和负责任的使用，同时也要承认在不断演变的网络安全landscape中对抗恶意软件所面临的挑战。 总结而言，恶意软件开发是一个复杂的过程，涉及各种参与者、资源和平台。理解这一努力的合作性质以及滥用红队工具所潜在的风险至关重要，以便有效应对恶意活动。 什么是红色团队？ 红队是由专门使用技术、战术和程序组成的专业团队，能够模拟攻击者以测试和改进组织的安全性。红队的主要目标是通过识别弱点并验证安全措施的有效性来增强安全性，从而在实际攻击者利用这些漏洞之前发现并解决问题。这些团队通过采用敌对的方法挑战规划、运营和系统，为组织提供了至关重要的视角。 红队的历史 红队概念起源于军事战略。历史上，军队会通过让一个团队（称为“红队”）扮演敌方角色来模拟战斗，以提供对正在训练的力量（通常由“蓝队”代表）进行现实对抗的机会。这种做法使军事战略家能够从对手的角度探索不同的场景和战术。 红队技术在网络安全领域的应用始于20世纪90年代末和21世纪初，当时组织意识到主动安全评估的价值。最初，这些实践主要被政府和军事机构采用，以保护国家安全和关键基础设施。随着时间的推移，随着网络威胁的演变和变得更加复杂，私营部门也开始将红队演练纳入其安全协议中。 网络安全的演变和作用 在网络安全领域，红队活动已从基本的渗透测试发展成为包括各种攻击模拟、社会工程学、物理安全评估等多种综合项目的全面计划。红队经常使用处于技术前沿的工具和技术，尽可能真实地模拟潜在的攻击。 红队在高度监管行业或具有重大安全需求的行业中（如金融、医疗保健和关键基础设施）特别有价值。它们不仅帮助组织发现潜在的安全漏洞，还使组织能够理解这些弱点被利用时在现实世界中的具体影响。这促使组织优先考虑缓解潜在可利用的风险。 红队提供的反馈和见解被用于细化安全政策、强化系统并培训人员以更好地抵御实际的网络安全威胁。这一迭代的过程测试和改进对于维持组织应对不断演变的网络安全挑战的韧性起着至关重要的作用。 通过将他们的专业知识与Metasploit、Bloodhound、Sliver和Havoc等高级工具相结合，红队可以模拟复杂的攻击，这些攻击模仿了高级威胁行为者使用的攻击方式。这些开源工具由同样提供专业红队服务的公司开发，从而实现了独特的协同效应。例如，Rapid7的Metasploit用于引领其渗透测试项目，而BSquare的Bloodhound则设计用于与其红队服务结合使用。这种开源工具与专家红队团队的整合使组织能够获得有关其安全态势的宝贵见解，并保持对最新威胁的领先优势。 GitHub：红色和蓝色团队的终极知识库 原初作为协作软件开发平台设计的GitHub，现在为网络安全专业人士提供了丰富的资源，以提升技能、分享技术并合作开展前沿项目。从包含工具和脚本的存储库到详尽的最新漏洞文档和研究，GitHub提供了一个无与伦比的知识库。对于红队成员而言，这意味着可以访问一个动态且不断更新的信息池，这对于进行安全评估和改进整体防御机制至关重要。 SOC分析师、蓝队成员和防御者可以从研究和检查诸如GitHub之类的代码仓库中的红队仓库中获益良多。通过这种方式，他们可以识别最新的技术，包括以前未知的方法。这种主动的方法使防御者能够预测并理解威胁行为者可能采用的战术、技术和程序。因此，他们可以增强检测能力，改进安全产品，并加强抵御潜在网络攻击的防御措施。利用从红队仓库中获得的见解，SOC团队可以为组织开发更有效的检测策略。 当前趋势和未来方向 随着网络攻击频率的增加，红队演练已成为许多组织网络安全策略中不可或缺的一部分。红队演练的未来可能更加紧密地与人工智能和机器学习相结合，以模拟攻击并更准确地预测潜在的安全漏洞。 红色团队工具的双重使用 红队工具通常是双用途技术。尽管这些工具主要旨在合法地测试和提升安全性，但其功能使其对恶意行为者具有吸引力。这些工具可以自动化漏洞发现、执行高级渗透测试以及模拟社会工程攻击等操作。当这些工具落入不法之徒手中时，它们可以被用于针对目标开展恶意活动，包括进行侦察、获取未授权访问权限以及执行攻击。 网络犯罪剥削 网络犯罪分子可以利用红队工具来简化其操作流程。通过使用这些高级工具，他们可以高效地对广泛系统的漏洞进行全面扫描，并大规模利用这些漏洞。这不仅提高了攻击的有效性，还减少了实现目标所需的时间和资源。例如，自动利用已知漏洞的工具可以使恶意行为者在组织能够应用必要的补丁之前，先攻破多个系统。 在WaterDybbuk运动中可以看到这种犯罪滥用的一个例子。1在这种情况下，恶意行为者进行了适应并使用了先进的红队工具来执行有针对性的攻击。该活动涉及使用钓鱼电子邮件附件诱使用户透露其用户名和密码，最终导致财务盗窃和间谍活动。 用户收到的电子邮件附件使用开源JavaScript混淆器(obfuscator.io).一旦附件被打开，它将使用犯罪工具包对目标机器进行若干检查以确保确实是预期的目标。如果检查成功，用户将被重定向到一个包含钓鱼页面的内容。Evilginx2，另一个为红色团队设计的开源工具。 这个例子展示了红队工具（最初设计用于网络安全）如何被网络犯罪分子重新利用以开展复杂且具有破坏性的网络攻击。在这种情况下，是一名商务电子邮件诈骗威胁行为者使用了多种开源工具对其全球目标进行了攻击。 Killbot True IP 用户代理检查 False Google搜索：Covid True False 电子邮件附件 威胁行为者 最终网络钓鱼页面Evilginx2 图2.攻击如何与向目标发送的目标电子邮件一起使用，以尝试对其凭据进行网络访问 国家威胁行为者整合红色团队工具包 国家行为体，由于往往拥有更丰富的资源和先进的能力，可以利用红队工具实现诸如情报搜集、破坏或影响等战略目标。 这些威胁行为者可能会定制红队工具，创建针对特定技术和组织的定制攻击途径。此类定向攻击可能是更广泛的一系列网络战策略的一部分，并且由于其可能破坏关键基础设施、窃取敏感信息或损害国家安全的风险而尤为危险。此外，这些工具的可获取性降低了低资金国家进入门槛，使它们能够开展此前超出其能力范围的网络活动。这种工具的普遍可获得性意味着即使是较小的国家也能构成重大威胁，从而增加全球网络安全格局的复杂性和范围。 国家和威胁行为者利用红队工具时，能够有效融入数字环境，使得检测和归因变得困难。通过使用广泛可用的工具，他们可以在伦理黑客和安全研究人员生成的合法安全测试流量中，或在其他同样使用这些工具的恶意行为者中掩饰其活动。此外，开源工具通常具有详细记录的功能和行为，这使威胁行为者能够操控其操作以逃避检测。 例如，威胁行为者APT41使用一种红队工具，该工具在其旨在窃取敏感信息的操作中利用了Google的基础设施。2GoogleCommandandControl(GC2)使用各种谷歌服务，如GoogleSheets或GoogleDrive，这些服务用于在受恶意软件感染的设备与攻击者服务器之间促进通信。这种技术使网络犯罪分子能够利用合法且受信任的谷歌基础设施来管理和控制被入侵系统，往往使得安全系统检测和阻止变得更加困难。近期的报告表明了这类战术的存在。3 以下表格提供了过去几年由国家行为体使用的一些开源红队工具概览。该表格作为了解这些工具在实际场景中应用的资源，提供了有关APT小组采用的技术和能力的见解。请注意，这仅是正在使用的工具示例，并非全面列表。 Tool 集团 Description 帝国4,5 各种民族国家行为者 后开发框架，包括纯PowerShell2.0Windows代理和Python2.7Linux/OSX代理程序 AresRAT6,7,8 钓鱼大象 战神是一个开源的远程访问工具(RAT)在Python中开发，旨在提供远程控制跨多个平台的系统，包括Windows，和Linux。它具有反向shell功能，文件上传/下载功能，以及执行功能在受损系统上远程执行命令。 谷歌命令和控制(GC2)9,10 APT41 用于测试和调试WebReceiver应用程序的工具用于有针对性的信息窃取攻击 Sliver11,12,13 各种民族国家行为者(eg.TA551) Sliver是一个开源的跨平台命令，并且用Go编写的control(C2)框架 Impacket14,15 各种民族国家行为者 用于使用网络协议的Python类，使用用于横向移动和特权升级 Metasploit16 仪表17,18 各种民族国家行为者（如APT41) 用于开发、测试和执行漏洞利用的框架针对各种目标 Mimikatz19 各种民