其实网络安全红队工具：FireEye产品综合解析的难题并不复杂，然而又很多的兄弟都不太了解，因此呢，今天小编就来为大家同享网络安全红队工具：FireEye产品综合解析的一些姿势，希望可以帮助到大家，下面大家一起来看看这个难题的解析吧！</p>n<p>预计稿费：200元（不喜爱请投稿！）</p>n<p>提交方法：发送邮件至linwei#360.cn，或登录网页版在线提交</p>n<p>很多时候，红队的工具永远不会完成，由于总有人想写壹个新功能，或者有人早上被壹个天才的想法叫醒，准备写壹个新工具。红队成员经常识别那些繁琐的任务，接着创建壹个可以自动执行当前甚至未来评估任务的工具。正如大家老板所说：“懒惰使你有才华！”。</p>n<p>在Mandiant，大家开发了很多工具和脚本来使大家的职业变得更轻松。为了确保安全社区了解在哪里里可以<a href=\"https://www.ltthb.com\" target=\"_blank\"><strong>下载</strong></a>这些工具，大家开始半定期地搭建“工具综合报告”博客专栏。这些博客文章的主要目的是说明新开发的工具，或者对现有工具的重大更新。大家也尝试用一些案例来证明大家的工具是有效的，让阅读变得更有趣。</p>n<p>大家红队经常面临各种不同的网络、技术、防御和组织结构。每次大家都面临着必须化解的新挑战，而且大家全部的客户都有一些重叠的基础设施和配置。现有的公开可用工具也许不要易适用于大规模网络情况，或者也许无法帮助红队完成攻击生活周期。下面提到的工具在过去多少月中都以某种形式进行了修改或从头开发。大家希望它们能帮助无论兄弟们更轻松地完成职业任务。</p>n<p>域枚举</p>n<p>工具：ADEnumerator</p>n<p>域枚举是攻击生活周期侦察阶段的一项重要任务。当无论兄弟们进入域体系时，无论兄弟们可以运用ADSI（Active Directory 服务接口）或Windows net 命令轻松枚举域中的对象。 ADSI 不在域中时也可以运用。这可以通过runas 命令和netonly 选项来完成，如图所示。当ADSI 执行域枚举时构造详细的LDAP 请求很麻烦，因此大家编写了工具ADEnumerator 来自动处理本机LDAP 请求。</p>n<p>ADEnumerator 一个PowerShell 模块，旨在从非域体系给Active Directory 服务器发出请求。下面内容是应用ADEnumerator 的示例：</p>n<p>无论兄弟们通过NBNB 欺骗等方法从打印机获取了域凭据，并想要开始域枚举。注意：可以运用LDAP 请求查询任何域用户凭据。</p>n<p>当无论兄弟们尝试收集有关无论兄弟们所获取的帐户的更多信息时，分组命名约定通常会显示无论兄弟们可以在何处运用这些凭据。 （例如，组名称为{systemName}_localAdmin）。</p>n<p>无论兄弟们可以在已知的立足点而不是域内体系启动内部渗透测试。</p>n<p>无论兄弟们想要从命令行执行Active Directory 枚举，以便可以将命令链接在一起</p>n<p>下图显示了怎样导入ADEnumerator.psm1 模块、和域控制建立LDAP 连接以及执行各种域枚举。 ADEnumerator 中还有许多附加方式。</p>n<p>或者，无论兄弟们可以在攻击平台上配置超距离服务器管理工具，并运用runas 和mmc 命令添加Active Directory 管理单元。接着，无论兄弟们可以将域更改为目标域并以图形方法查看整个Active Directory 结构。</p>n<p>权限提高和横给翻译</p>n<p>工具：CredNinja 和WMIOps</p>n<p>当无论兄弟们拥有超过一百个凭据时，无论兄弟们也许不确定某个凭据是否仍然有效，或者某个凭据是否具有目标体系的管理员权限。 CredNinja 就是为此而设计的，通常会执行下面内容操作：</p>n<p>利用SMB 访问（TCP 端口445）</p>n<p>尝试挂载C$ 返回：</p>n<p>登录失败（凭据错误，帐户也许被锁定）</p>n<p>访问被回绝（不是本地管理员）</p>n<p style=\"text-align:center;\"><img style=\"max-width:100%\" src=\"https://img.huandiyou.com/s/u/c6/c68d17635df17e7a2d280285271a65a2.webp\" /></p>n<p>文件列表（本地管理员）</p>n<p>多线程，可在多种主机上正常运用</p>n<p>目标操作体系版本和域成员身份指纹</p>n<p>如果运用-users参数，无论兄弟们将获取C:\\Users（如果是XP，则为C:\\Documents and Settings）的目录列表以及主文件夹的时刻戳。可以打印出文件夹一百天内的修改时刻戳（时刻可以自定义，默认100天）</p>n<p>提供快速用户搜寻功能，快速识别目标体系的活跃用户</p>n<p>CredNinja 在执行权限更新和横给移动时特别有用，无论兄弟们可以运用它来识别无论兄弟们的凭据可以更新权限的体系，并继续从这些体系获取其他凭据。如下图所示，CredNinja 可以识别哪些域凭据具有本地管理员权限以及这些凭据是否仍然可用。 CredNinja 还可以删除那些无法清理无论兄弟们的凭证列表的凭证。</p>n<p>WMI（Windows Management Instrumentation）是进攻能力的新尝试。 WMIOps 一个PowerShell 脚本，它运用WMI 执行各种基于主机的活动主题，无论是在Windows 环境中本地还是超距离。主要设计用于渗透测试或红队任务。现有工具运用WMI 来执行攻击性任务。 WMIOps 将这些技术集成到壹个工具中，以完成攻击生活周期中的不同任务。</p>n<p>下图所示，通过WMIOps的Get-ProcessOwnersWMI方式可以获取目标主机Win7-Client02的用户列表。用户Dick.Grayson具有本地管理员权限，可以在Win7-Client02上执行任意WMI命令。用户Bruce.Wayne 可以在Win7-Client02 上运行进程，这意味着该用户也许拥有存储在LSASS（本地安全机构子体系服务）中的明文凭据。</p>n<p>为了获取用户Bruce.Wayne 的凭据，WMIOps 运用Invoke-RemoteScriptWithOutput 方式执行超距离PowerShell 进程，并运用Invoke-Expression 命令通过HTTPS 下载并执行Invoke-Mimikatz 脚本。此命令还将输出发送到正在侦听HTTPS 流量的Web 服务器10.181.73.210。 Mimikatz 的输出也会发送到Web 服务器。</p>n<p>初始给量</p>n<p>工具：目击者</p>n<p>网络中最常见的初始化给量是Jboss、Apache Division2cat、Jenkins等知名Web管理门户的默认凭据。大家在EyeWitness中添加了“主动扫描”模块，它提供了下面内容功能：</p>n<p>签名身份验证，如果主机具有带有默认凭据的已知签名，并尝试运用数据文件中存储的默认凭据登录</p>n<p>登录检查，检查下面内容途径是否为Web登录表单，或HTTP基本身份验证，并尝试运用数据文件中存储的用户名和密码组合进行身份验证</p>n<p>添加检查登录的URL，并将常用的登录页面途径添加到数据文件的清单中，例如admin和login.php等。定制很容易，轻松添加或删除数据列表。</p>n<p>如果收到情形码为200的页面，将检查是否是登录页面</p>n<p>EyeWitness 将运用存储在数据文件中的用户名和密码组合登录表单</p>n<p>攻击者模拟</p>n<p>工具：出口评估</p>n<p>总部位于美国的Mandiant 网络安全企业FireEye 和合作伙伴iSIGHT 带来了无和伦比的威胁情报技术。客户经常标准大家识别针对其特定资产的威胁行为者并模拟他们的TTP 以评估当前组织的威胁检测能力。 Egress-Assess 就是这样一种Python 工具，它可以模拟已知的攻击者TTP，例如连接到互联网的IP 地址和FQDN（完全限量域名）。 Egress-Assess 是公开可用的，但Mandiant 维护壹个专有版本，其中包含众所周知的NBI，可充当真正威胁组织的替代者。</p>n<p>这些只是辅助工具和实际应用的示例。大家鼓励无论兄弟们运用这些工具并评估它们在实验室中的运用情况。</p>n<p>大家需要再次强调，每个工具都是随着大家需求的变化而创建或修改的。发现需求并开发工具来自动执行任务或实现目标是令人兴奋的。有些工具运用新的技术化解方法来实现目标，而有些工具只是简单地自动化以恰到好处地完成任务。无论无论兄弟们的动机怎样，引入新工具和技术都是进步行业觉悟并提供更高质量保证的最佳方法。