红队攻击流程解析

红队攻击，是以模拟真实 APT 攻击为目标，按完整生命周期执行的受控攻防演练。它的核心不是破坏，而是在不影响业务的前提下，暴露企业防御的薄弱环节。

下面我按红队攻击的标准生命周期，拆解每个阶段的目标、常用手段，以及对应的蓝队防御要点，帮你同时看懂攻击和防守视角。

---

一、阶段 0：规划与准备（红队的 “战前部署”）

这是攻击的起点，红队不会上来就扫 IP，而是先定规则、定目标。

• 核心目标：明确攻击边界、目标与交战规则（ROE），避免越界操作。
• 关键动作：
  1. 定义攻击目标：比如 “拿下域控”“窃取核心业务数据”“控制 XX 台主机”。
  2. 明确交战规则：比如禁止使用暴力破解、不能打垮业务系统、攻击时间窗口。
  3. 准备攻击工具：搭建 C2 服务器、制作钓鱼邮件模板、准备漏洞利用工具、配置反 EDR 环境。
• 蓝队视角：提前和红队对齐时间窗口与范围，做好业务防护，避免红队操作被误判为真实攻击。

---

二、阶段 1：情报收集（攻击的 “地图绘制”）

红队会先收集所有能拿到的信息，为后续攻击铺路，分为公开情报（OSINT）和内网情报两类。

表格

情报类型	收集内容	常用工具
公开情报（OSINT）	企业域名 / 子域名、员工邮箱、GitHub 泄露代码、公开漏洞、社交媒体信息	Amass、Shodan、theHarvester、Wayback Machine
内网情报（已进入后）	网段分布、开放端口、服务版本、弱口令、域环境信息	Nmap、SharpView、BloodHound

• 关键目标：找到攻击的 “突破口”，比如一个存在漏洞的子域名、一个员工邮箱、一段泄露的数据库配置。
• 蓝队防御点：定期做 OSINT 自查，清理 GitHub 敏感代码，限制子域名暴露，减少公开信息泄露。

---

三、阶段 2：初始访问（拿到第一个立足点）

红队的核心目标，是突破企业防线，拿到第一台主机的控制权。这是攻击的 “第一道门”，也是蓝队防御的重中之重。

常见手段：

1. 钓鱼邮件：伪装成发票、HR 通知、客户邮件，带恶意宏附件 / 钓鱼链接，是红队最常用的初始访问方式。
2. 漏洞利用：利用 Web 应用漏洞（如 SQL 注入、文件上传）、中间件漏洞（如 Log4j、Exchange）、第三方软件漏洞。
3. 弱口令爆破：针对 SSH、RDP、数据库、Web 后台等，用字典爆破弱口令。
4. 供应链攻击：利用企业使用的第三方软件漏洞，渗透进企业内网。

• 蓝队防御点：邮件网关过滤、禁用 Office 宏自动运行、定期漏洞扫描、弱口令检测与整改。

---

四、阶段 3：执行与持久化（站稳脚跟，防止掉线）

拿到初始访问后，红队会先执行恶意代码，再做持久化，确保即使系统重启，控制权也不会丢失。

• 执行手段：Office 宏、PowerShell 脚本、恶意文件执行、内存注入（无文件攻击）。
• 持久化手段：开机启动项、定时任务、注册表 Run 键、Windows 服务、WMI 事件订阅。
• 蓝队防御点：EDR 监控进程行为、限制 PowerShell 执行、审计定时任务 / 注册表启动项。

---

五、阶段 4：权限提升（从普通用户到管理员）

红队拿到的初始权限，通常是普通用户权限，无法做太多操作，下一步就是提权。

常见提权手段：

1. 本地漏洞利用：利用 Windows/Linux 本地提权漏洞（如 CVE-2021-40449、Dirty Cow）。
2. 服务权限滥用：利用配置错误的 Windows 服务，修改服务执行路径获取管理员权限。
3. 令牌窃取：偷取管理员用户的令牌，模拟管理员操作。

• 蓝队防御点：及时打系统补丁、限制用户权限、监控高权限进程创建。

---

六、阶段 5：内部侦察与横向移动（扩大控制范围）

拿到管理员权限后，红队会在内网里找目标，然后横向移动，扩大控制范围，目标通常是域控、数据库服务器、核心业务主机。

内部侦察：

查网段、主机列表、共享文件、域环境信息（比如域控地址、用户组）。

横向移动手段：

1. SMB/WinRM/Psexec：利用管理员密码，在其他主机上执行命令。
2. Pass-the-Hash（PTM）：用用户的 NTLM 哈希登录其他主机，无需明文密码。
3. Pass-the-Ticket（PTT）：利用 Kerberos 票据，冒充用户访问域资源。
4. RDP/SSH：爆破或复用管理员密码，远程登录其他主机。

• 蓝队防御点：网络分段、限制 SMB/RDP 外网访问、禁用 NTLM、监控内网异常连接。

---

七、阶段 6：数据收集与外传（达成攻击目标）

红队拿到目标主机权限后，会收集核心数据，然后外传，这是攻击的 “最终目的”。

• 数据收集：文件拷贝、数据库导出、屏幕截图、键盘记录。
• 数据外传手段：
  1. C2 通道：通过加密的 C2 连接，分批次外传数据。
  2. DNS 隧道：把数据藏在 DNS 查询中，绕过防火墙检测。
  3. HTTP/HTTPS POST：伪装成正常 Web 请求，上传数据。
• 蓝队防御点：部署数据防泄漏（DLP）、监控异常大文件传输、阻断陌生 IP 通信。

---

八、阶段 7：清理痕迹与报告（收尾，留下 “作业”）

攻击完成后，红队会清理痕迹，然后输出报告，指出企业防御的薄弱点。

• 清理痕迹：删除日志、清除恶意文件、清理注册表、关闭 C2 连接。
• 输出报告：还原攻击路径，指出防护漏洞，给出改进建议。

---

红队攻击的核心特点（和普通渗透的区别）

1. 模拟真实 APT：不是一次性打穿，而是分阶段、低慢、长期潜伏，规避检测。
2. 目标导向：所有动作都围绕预设目标，不是为了炫技。
3. 受控攻击：不破坏业务，不造成真实数据泄露，仅暴露薄弱点。

---

蓝队防御建议（针对红队攻击）

1. 情报防御：定期做 OSINT 自查，减少公开信息泄露。
2. 入口防护：加强邮件过滤、禁用宏、及时修复漏洞。
3. 内网隔离：网络分段，限制横向移动通道。
4. 行为监控：EDR 监控进程、定时任务、内网连接。
5. 数据防护：核心数据加密，部署 DLP，监控外传行为。

---

💡 小提示：红队攻击和真实 APT 的流程几乎一致，企业可以通过红队演练，提前暴露薄弱点，优化应急响应流程。