tai-ch0802/red-team-tactics

紅隊戰術

基於 MITRE ATT&CK 框架的對手模擬原則。

---

1. MITRE ATT&CK 階段

攻擊生命週期

偵察 → 初始存取 → 執行 → 持續性
  ↓        ↓        ↓       ↓
權限提升 → 防禦規避 → 憑證存取 → 發現
  ↓        ↓        ↓       ↓
橫向移動 → 收集 → C2 → 滲出 → 影響

階段目標

| 階段 | 目標 | |------|------| | 偵察 | 映射攻擊面 | | 初始存取 | 取得第一個立足點 | | 執行 | 在目標上執行程式碼 | | 持續性 | 在重啟後存活 | | 權限提升 | 取得 admin/root | | 防禦規避 | 避免被偵測 | | 憑證存取 | 收集憑證 | | 發現 | 映射內部網路 | | 橫向移動 | 擴散到其他系統 | | 收集 | 收集目標資料 | | C2 | 維持指揮通道 | | 滲出 | 提取資料 |

---

2. 偵察原則

被動 vs 主動

| 類型 | 權衡 | |------|------| | 被動 | 無目標接觸、有限資訊 | | 主動 | 直接接觸、更多偵測風險 |

資訊目標

| 類別 | 價值 | |------|------| | 技術堆疊 | 攻擊向量選擇 | | 員工資訊 | 社交工程 | | 網路範圍 | 掃描範圍 | | 第三方 | 供應鏈攻擊 |

---

3. 初始存取向量

選擇標準

| 向量 | 適用時機 | |------|----------| | 釣魚 | 人員目標、有 Email 存取 | | 公開漏洞 | 暴露的脆弱服務 | | 有效憑證 | 洩漏或破解的 | | 供應鏈 | 第三方存取 |

---

4. 權限提升原則

Windows 目標

| 檢查 | 機會 | |------|------| | 未引號的服務路徑 | 寫入路徑 | | 弱服務權限 | 修改服務 | | Token 權限 | 濫用 SeDebug 等 | | 儲存的憑證 | 收集 |

Linux 目標

| 檢查 | 機會 | |------|------| | SUID 二進位檔 | 以擁有者執行 | | Sudo 設定錯誤 | 指令執行 | | 核心弱點 | 核心攻擊 | | Cron 工作 | 可寫入的腳本 |

---

5. 防禦規避原則

關鍵技巧

| 技巧 | 用途 | |------|------| | LOLBins | 使用合法工具 | | 混淆 | 隱藏惡意程式碼 | | 時間戳竄改 | 隱藏檔案修改 | | 日誌清除 | 移除證據 |

操作安全

• 在營業時間工作
• 模擬合法流量模式
• 使用加密通道
• 融入正常行為

---

6. 橫向移動原則

憑證類型

| 類型 | 用途 | |------|------| | 密碼 | 標準驗證 | | 雜湊 | Pass-the-hash | | Ticket | Pass-the-ticket | | 憑證 | 憑證驗證 |

移動路徑

• 管理共享
• 遠端服務（RDP、SSH、WinRM）
• 利用內部服務

---

7. Active Directory 攻擊

攻擊類別

| 攻擊 | 目標 | |------|------| | Kerberoasting | 服務帳戶密碼 | | AS-REP Roasting | 無預驗證的帳戶 | | DCSync | 網域憑證 | | Golden Ticket | 持久的網域存取 |

---

8. 報告原則

攻擊敘事

記錄完整的攻擊鏈：

1. 如何取得初始存取
2. 使用了什麼技巧
3. 達成了什麼目標
4. 哪裡的偵測失敗了

偵測缺口

對每個成功的技巧：

• 什麼應該偵測到它？
• 為什麼偵測沒有生效？
• 如何改善偵測

---

9. 道德邊界

始終

• 保持在範圍內
• 最小化影響
• 發現真實威脅時立即報告
• 記錄所有行動

絕不

• 銷毀生產資料
• 造成服務中斷（除非在範圍內）
• 超出概念驗證的存取
• 保留敏感資料

---

10. 反模式

| ❌ 不要 | ✅ 要 | |---------|-------| | 急於利用漏洞 | 遵循方法論 | | 造成損害 | 最小化影響 | | 跳過報告 | 記錄一切 | | 忽略範圍 | 保持在邊界內 |

---

記住： 紅隊模擬攻擊者以改善防禦，而非造成傷害。