lca

理解紅隊的常見術語，這些術語可以幫助我們更好地了解紅隊攻擊。

基於：RedTeam Development and Operations

允許列表#

Allow-List

允許列表也可以被稱為白名單，白名單中的內容是值得信任的。白名單通常用來授予特定資源的訪問權限，通過白名單指定規則，白名單可以指定多個規則，如用戶、ip、文件後綴，域名等，只有匹配白名單規則的才可以訪問資源。相比於黑名單，創建一個良好的規則列表通常被認為是更好的做法，白名單通過默認拒絕的規則來加強安全性。

假設已遭受入侵#

ASSUMED BREACH

這個模型假設在紅藍攻防前已經獲得了某種程度的訪問權限。每個組織對這種演練模型有不同的理解，不成熟的組織通常會爭辯 "假定某個人能夠入侵一個網絡是不尋常的"，那些要求 "請證明它" 的人通常不會欣賞這種攻防場景。然而，在衡量威脅 "能否進入" 的時候這種假設非常重要，如果這不是一個關鍵目標，使用 “假定已遭受入侵” 模型將節省時間和金錢，紅隊可探索更多的目標。較成熟的組織會更看重這種模型，因為它從更複雜的攻擊威脅中發掘更多威脅情景。

藍方#

BLUE CELL

也就是藍方，紅方的對立面團隊，主要負責組織防禦性的工作，藍方通常由藍隊成員、組織管理人員、組織內部技術人員。在內部網絡通過感知類設備探測來自紅隊的流量。

藍隊#

BULE TEAM

防禦威脅侵入的團隊，防守方。

C2#

COMMAND AND CONTROL (C2)

C2 是指攻擊者的遠程控制系統（Cobalt Strike 就是 C2），C2 有一個主服務端和一個客戶端，客戶端連接主服務端進行 payload 生成，payload 上傳到目標伺服器，目標伺服器運行後，反彈回 shell，然後控制目標伺服器，可執行任意命令。

C2 的層級通常分為三類：Interactive、Short Haul 和 Long Haul。有時它們被標記為第 1、2 或 3 層。每個層級並沒有什麼獨特的特徵，除了它們的使用方式不同。

• 互動層級（Interactive）

用於一般命令、枚舉、掃描、數據外洩等。這個層級的交互最多，面臨著最大的暴露風險。計劃在通信故障、代理故障或藍隊行動中失去訪問權限。運行足夠的互動會話以保持訪問。雖然是互動的，但這並不意味著要向客戶端發送大量數據包。使用好判斷力，將交互最小化到剛好能執行操作的程度。

• 短距離層級（Short Haul）

用作恢復互動會話的備用方案。使用與目標融為一體的隱蔽通信。回調時間較慢。1-24 小時的回調時間很常見。

• 長距離層級（Long Haul）

與短距離相同，但更低更慢。回調時間很慢。24 小時以上的回調時間很常見。

不同的 C2 類別旨在防止 C2 被暴露，不同的 C2 不混用。

控制單元#

CONTROL CELL,White Cell,紫隊

在攻防演練期間，充當裁判的角色，協調藍隊和紅隊，協調比賽進行，控制參與環境和網絡，制定演練規則，監督ROE規則的執行情況。

拒絕列表#

DENY-LIST，黑名單

黑名單列表，拉入黑名單的任何內容都拒絕訪問特定資源，通常用來過濾某些有害內容。

參與 / 演習控制組#

ENGAGEMENT/EXERCISE CONTROL GROUP (ECG)

ECG 負責演練期間的所有活動。ECG 由一兩個高級管理人員（例如首席信息官或首席運營官）、一個信息技術部門的成員、一個紫隊和一個紅隊聯絡員組成。根據需要可以添加更多人選。所有人都被視為 Trusted Agents（可信代理）。

數據外洩#

EXFILTRATION

通過隱蔽隧道從目標提取敏感信息的過程，

進入，保持，執行#

GET IN, STAY IN, ACT

紅隊攻擊的三個步驟

進入#

獲取目標內網網絡訪問權限，紅隊需要獲取目標網絡訪問權限才能進入到目標內網環境，才有後期的 STAY IN 和 ACT，可以通過合法入侵和假設已入侵內部網絡直接獲取內部網絡訪問權限。

保持#

在內部網絡建立持久化連接，紅隊在內網通常會做權限維持，防止被藍隊發現，導致連接掉線。

執行#

開始進行內網滲透的階段，獲取更多的目標、敏感數據，達到演練目標。

入侵指標#

IOC(INDICATOR OF COMPROMISE)

IOC (Indicator of Compromise) 是指在計算機網絡安全中用來識別和檢測惡意活動的特定線索或指標。這些線索或指標可以包括惡意軟件的特徵、系統和應用程序的異常行為、系統文件的修改、網絡流量的異常行為、用戶賬號的異常活動等。

IOC 可以用於檢測和定位計算機和網絡系統中的安全漏洞或攻擊行為，以及預防未來的安全威脅。當系統或應用程序受到攻擊或受到惡意軟件的感染時，IOC 可以幫助安全專家迅速識別、定位並消除安全威脅。此外，IOC 還可以與其他安全系統進行集成，例如入侵檢測系統、安全信息和事件管理系統等，從而加強整個系統的安全性能。

一些常見的 IOC 包括：

1、哈希值：惡意軟件的唯一哈希值可以進行比對，從而對其進行識別和分析。

2、IP 地址和域名：識別感染計算機和通信伺服器的網絡地址，以確定攻擊來源和命令和控制（C2）伺服器。

3、異常行為：通過比對正常和異常行為，例如文件變更、進程和計劃任務等來監測系統中的活動。

4、威脅情報：使用有關惡意活動的公開信息，如黑客論壇、漏洞通告等，從而了解可能的攻擊者、攻擊方式和目標。

敵方勢力#

OPFOR

操作日誌#

OPLOG (OPERATOR LOG)

紅隊操作人員在演練期間攻擊目標環境產生的攻擊日誌。

操作影響#

OPERATIONAL IMPACT

紅隊在演練期間所達到的目標和效果，包括對目標環境的戰略、戰術和操作層面的影響，以及對任務成功程度的評估。

操作影響在不同的攻防任務中可能會有所不同，具體因情況而異。例如，在一個網絡滲透測試中，操作影響可以包括獲取敏感信息、利用漏洞入侵系統、搭建後門用於權限維持等；在一個紅隊演習中，操作影響可以包括推翻業務流程、破壞關鍵設備、竊取敏感數據等。

安全操作規範#

OPSEC

攻擊者把防禦者當成敵人對抗的安全意識，關注敵方情報可能觀察到的關鍵信息，並是否會導致這些關鍵信息被敵方利用從而溯源，採取特定的措施消除或減少對手對關鍵信息的利用。在紅隊測試中，OPSEC 的作用是了解藍隊可能會注意到的行動，以最小化曝光。

參考：淺談 OPSEC 和 C2

總結會議，高層#

OUT BRIEF, EXECUTIVE

演練結束後的第一次會議，此時紅隊攻擊總結報告未出來，會議針對管理層，人員應包括目標組織的關鍵人員。紅隊測試的結果可能會影響組織未來的運營，需要資金來進行漏洞修復或人員變更，如果要將紅隊測試結果用於改進組織的安全立場以應對威脅，管理意識和認同是至關重要的。

總結會議，技術#

OUT BRIEF, TECHNICAL

技術會議紅隊、藍隊和組織之間的雙向技術信息交流的過程。在這次交流中，紅隊和藍隊都提供了執行過程和結果（包括所有相關細節）的高度詳細的技術審查。這是培訓和教育的結合，也是所有方面學習的最有價值的機會之一。

渗透测试#

PENETRATION TESTING

在一定的時間內發現目標系統的漏洞，在業務風險方面，通過渗透测试減小攻擊面，因為修復發現的漏洞會減少攻擊面，渗透测试通常不關注整個組織如何應對威脅。

權限維持#

PERSISTENCE

在目標環境中維持網絡訪問權限的過程，利用各種技術維持網絡連接。

紅方#

Red Cell

紅色小組指的是組成紅隊攻擊部分的組件，模擬對指定目標的戰略和戰術反應。紅色小組通常由紅隊領導和操作人員組成，通常被稱為 “紅隊”，而不是 “紅色小組”。

紅隊#

Red Team

攻擊隊伍，從威脅或對手的角度模擬攻擊。

紅隊演練#

RED TEAMING

紅隊演練是使用戰術、技術和程序（TTP）來模擬現實威脅的過程，旨在培訓和衡量人員、流程和用於保護環境的技術的有效性。

在業務風險方面，紅隊演練側重於了解安全操作通過培訓或測量處理威脅的能力。在演練期間通常會揭示技術發現，但這不是重點。紅隊演練旨在挑戰安全操作的防禦策略和假設，以確定防禦策略中的漏洞或缺陷。通過培訓或測量來改善安全操作是紅隊演練的目標。

紅隊負責人#

RED TEAM LEAD

作為紅隊的運營和行政負責人。進行紅隊的參與、預算和資源管理，為參與、能力和技術提供監督和指導。確保遵守所有法律、法規、政策和戰鬥規則。

紅隊選手#

RED TEAM OPERATOR

紅隊攻擊人員，負責實施攻擊。

作為演練的攻擊人員，遵守紅隊負責人指導的所有要求，運用紅隊的戰術、技術和過程（TTP）參與任務，並為紅隊提供技術研究和能力支持。在任務的每個階段記錄詳細日誌，並為製作最終報告提供日誌和信息支持。

參與規則#

RULES OF ENGAGEMENT (ROE)

演練規則，旨在確立紅隊、客戶、系統所有者以及執行參與者之間的責任、關係和指導方針，以確保任務有效執行。

威脅#

THREAT

可能導致事故發生的潛在原因，會對系統和組織造成危害，信息安全中的威脅包括任何可能未經授權訪問、破壞、洩露、修改信息或中斷服務，對組織的運營（包括任務、職責、形象、聲譽）、組織的資源、個人、其他組織或國家造成不利影響的任何情況或事件。

威脅模型#

THREAT MODE

威脅建模是一個過程，通過這個過程可以識別潛在的威脅或者缺乏適當的安全措施，將它們列舉出來，並且可以對減輕這些威脅的措施進行優先排序。

威脅模擬#

THREAT EMULATION

模擬威脅入侵組織的場景，模擬真實入侵的效果。

威脅仿真是模擬特定威脅的戰術、技術和過程的過程。

威脅場景#

THREAT SCENARIO

場景關注防禦解決方案如何執行和符合安全任務所涉及的流程、程序、政策、活動、人员、組織、環境、威脅、限制、假設和支持。情景通常描述了威脅的角色如何與目標環境中的系統和網絡進行交互，並模擬真實的入侵效果。簡而言之，它回答了防禦方如何動態執行操作以提供結果、輸出或證明防守能力的問題。

TTPs#

戰術、技術、程序的集合。

漏洞評估#

VULNERABILITY ASSESSMENT

對信息系統進行系統性的檢查，以確定組織安全措施是否充分、識別安全缺陷，提供數據支撐安全措施的有效性，在實施後確認措施的充分性，就業務風險而言，漏洞評估儘量減少攻擊面，修復發現的漏洞，最終將減少攻擊面。

Webshell#

Webshell 是一種在 Web 伺服器上執行的命令行界面，它允許攻擊者通過 Web 應用程序與伺服器進行交互，並執行系統命令。攻擊者可以使用 Webshell 來獲取伺服器的敏感信息，修改文件，上傳惡意代碼等。