红队行为准则

2023年8月10日马云惹不起马云

本文是大部分红队进行红队行动的经验汇总。由于工作发展原因，我不会再继续红队相关的工作，所以决定分享一下。

攻击防范

使用防病毒webshell（文件特征、流量特征），禁止使用开源社区常见的webshell，这些是我过去常用的webshell: https://github.com/Rvn0xsy/usefull-code 尽可能删除依赖工具的软件特征和流量特征，然后先维护权限（而且最好多创建一个内存马）原因：单个Webshell即使免杀，也有可能被防御者发现。一旦删除，它就失去了对服务器的控制。它不执行敏感操作（例如反弹shell）。获得权限后的信息收集。通过网络、应用业务、服务器登录日志、命令执行日志判断当前机器是否为蜜罐核心关键隧道。使用C2解决方案来避免内存扫描。端口反向连接使用常见端口来伪装正常应用流量（25,110,80,443,993,995,8080,8443）。 C2 基础设施配置为通过HTTPS/DNS 上线。最好不要使用HTTP。证书使用CDN服务商或者Let’s Encrypt搭建Web正向代理后，首先应该研究如何提高隧道传输质量，避免想着多人扫描Web正向代理|清轩的博客

内网检测工具的选择应尽可能脚本化、无特征、低频隧道建立：使用开源魔改工具，避免流量和样本特征与公共的重叠。弱口令扫描：频率低、字典小，优先考虑SSH/RDP/MySQL/MSSQL等弱口令（分为两类：有数据的服务器和有管理端口的服务器）。要登录Linux服务器，应防止记录Bash History。您可以使用sh执行命令，或者设置环境变量以防止Bash记录历史命令。 python -c '导入pty;pty.spawn('/bin/sh')'

# 或

取消设置历史记录HISTFILE HISTSAVE HISTZONE 历史记录HISTLOG；

导出HISTFILE=/dev/null;

导出HISTSIZE=0;

导出HISTFILESIZE=0

操作合规性：除非必要，否则不要更改任何服务器用户密码。操作合规性：除非必要，否则不要使用具有高度破坏性的漏洞或工具。操作合规性：非必要不要对内网进行大规模探测。例如，do not /8 操作合规性：除非必要，否则不进行扫描和检测。先对当前主机进行详细的信息收集和分析。工具存储：工具存储在隐藏目录中，文件名为服务进程（tomcat/nginx）等。如果是AV/EDR，工具应在本地测试以避免被查杀，然后部署到目标服务器。最好有多个替换工具

反追踪注意事项

外网攻击时：尽量使用虚拟机进行渗透，测试时不要提交手机号码、QQ、微信等含有个人特征的信息。日常工作和渗透攻击最好使用两个浏览器。一般来说，我会创建攻击机的虚拟机快照，然后在项目完成后将其恢复到初始状态，使一切变得干净。内网攻击时：攻击结束后，必须清理痕迹，及时删除自用软件，如Webshell、杀毒软件、0day工具、扫描工具、自研工具，甚至系统日志等。短期社会工程钓鱼：尽量避开技术人员，从非技术人员入手。钓鱼信息为非实名信息。短期社工钓鱼：远程获取的可执行文件，小心点击（尤其是VPN客户端，谨防蜜罐），可以上传各种沙箱进行检测，可以使用虚拟机同时运行。从开源社区获取系统或工具源码后，请谨慎打开，以免IDE的编译、加载、调试选项内置在线命令。

职业行为

禁止下载、更改业务数据（企业数据），禁止修改业务系统密码（如路由器、网站后台、VPN），减少业务影响。禁止使用可能造成不良后果的攻击方式（如DDOS攻击）。测试结束后，删除Webshell等恶意文件或记住固定存储位置。禁止使用境外跳板和VPN。使用统一的攻击资源和授权的攻击工具。项目和行动的内容将予以公开保密，不会对公众舆论产生任何影响。