一次高难度红队行动「上」

此文为某次实战项目案例总结，分为「上」、「下」两篇，主要涉及知识有免杀、钓鱼攻击、社会工程学、域渗透等等。

此篇文章主要描述了我们是如何在外网通过钓鱼的方式快速进入目标内网。

下篇文章讲述的主要内容涉及以入口点为基础利用一些高级域渗透技巧直至控制整个目标域。

题外话：大家看我之前发的东西，可能以为我不会搞渗透，其实我目前的主要工作就是红队渗透，之后也会多多分享一些关于钓鱼打点、内网、域渗透等案例。

---

由于信息敏感，一些图就没有放，请理解，本文源自某次实战红蓝对抗项目真实案例：

202X年某月中旬，某红蓝对抗项目蓄势待发，攻击队员们都在紧张的做着前期准备。目标的安全防护水平以及对抗等级偏高，并且对外基本没有暴露的WEB服务，只有一个官网，所以经过规划，我们将本目标的重点放到社工钓鱼上。

信息搜集
信息搜集阶段，打开官网只发现零零碎碎的几个业务团队邮箱以及招聘邮箱，根据以往邮件钓鱼的经验来看，这类邮箱通常都难以突破邮件网关，甚至邮件成功进入邮箱也没有人去查看，所以这几个邮箱先放到一边。

使用各类信息搜集工具以及搜索引擎，例如TheHarvester等均无法搜索到除了上述邮箱的个人工作邮箱，没错，是真的没有。

那么现在的问题是，我们如何在这种窘境下，做一次突破，从而为正式开始实施钓鱼攻击准备更多的信息使用，我们尝试使用一些不可描述的方法（此处省略一万字...）搜集到了一批可用的人员信息，包含姓*、住*、电*等。

最后，我们信息搜集阶段做的事情大致就这么多，主要是尽量全面的搜集目标人员信息，优先对企业人员进行人物画像，制定一套针对每一个人的钓鱼方案以及材料。
我们决定先对搜集的信息进行一对一交互钓鱼，这个相对而言成功率比较高，最后再考虑那几个邮箱。

注：材料一定要真实，这决定了实施钓鱼从落地文件到攻击完成这整个攻击链路的稳定性。

这里举一个例子，说明一下材料该如何准备，比如搜集到目标之前在互联网上发布过《XXXX公司XXX建设项目招标公告》，那么我们围绕这个完全可以准备一个资料去实施钓鱼，可以围绕以下几个方面来编写邮件以及附件内容：

• 招标项目资质
• 招标代理机构
• 招标项目授权书
  
  这样的话，将我们精心构造的“资料”，发往对应的人员，这样他是极其关注这条“信息”的，一定会点开查看，那么你就成功了一大半。
  这里以一个例子让大家了解该如何编写相应的钓鱼资料，其他也同理，大家自行发散。
  

关于落地文件的伪装，可以参考文章提到工具：「钓鱼攻击」免杀钓鱼上线捆绑利器

或是lnk、chm等等都是可以的，我们为了相对的稳定性，直接采用了捆绑器EXE的方式，这个实际中可以根据情况选择，比如想使用word宏，那么必做的就是通过社工的方法去刺探是否使用word，或者完全也可以刺探一些其他信息。

基础设施构建
这是钓鱼攻击及其重要的一环，基本上每一个链路上都有此步骤所做工作的效果体现；甚至可以说基础设施的构建会直接影响本次钓鱼攻击的成败与否。这体现在以下几个方面：

• 投递载荷的免杀性
• 投递载荷的稳定性
• C2通道的流量隐蔽性
• C2功能的多样性
• C2的行为规避
• C2的内存扫描规避
  等等等......
  
  以上列举的点，做到多少直接决定了团队实施红队行动中进行钓鱼攻击的成败，打个比方目前水平可以稳定绕过3*0，那么遇到强硬的EDR等，可能连入手都没有办法入手，这一块我觉得也是需要投入去准备、研究的重要方向。
  

关于这一块最直接的体现说白了就是C2的构建：


C2
我认为，基础设施的构建直接决定了钓鱼攻击能够实施到的高度、稳固性、隐蔽性、功能性。所以，还是那句话，“万变不离其宗”，掌握基础、红队相关技术才可以为这些千变万化的套路也好、新技巧、技术也好提供强有力的基石。

我的星球知识交流和分享的一些重点也在这方面，大家一起学习。

实施钓鱼
开始实施钓鱼阶段，我们兵分几路开始对这些目标人物进行第一次沟通，尝试以各类能够与目标进行交流的途径，以及以准备非常充分、恰当的理由接近目标。

但到了发送落地的木马时候，由于各种安全意识较高的人员，我们只成功上线了一位。
注意上线之后千万不能胡乱操作，先确定机器的防护情况，才可以对后续做操作有一个前提了解。
我们在机器上获取到了目标的通讯录、资料等等高价值信息，而这个通讯录，十分关键，这对我们后续项目的成功起到了决定性作用。
不幸的是，由于我们的操作失误，疑似导致触发流量监控设备，这台机器直接掉线，甚至域账户直接禁用。

丢失了这一台权限之后，我们暂停了钓鱼实施，对目前的情况做了一个总结。

• 防护水平偏高
• 人员安全意识较高
• 不能以常规思路去做内网渗透
• 规避、规避、规避
  
  这样的情况下，我们如果再次进入内网一定要小心翼翼，这是关键，如何利用手里的信息去做扩展权限。
  

更不幸的是，我们的钓鱼方式也被目标人员警觉，我们不再添加其通讯账户而是尝试换一种方式去实施。
这意味着我们必须去和邮件网关硬碰硬，我们构造了几封邮件，并加密附件后，将密码写入邮件正文，发送。
但等待了几个小时，迟迟没有动静，反而CS面板上线了一些沙箱，经过讨论我们认为，应该是目标的邮件网关自动提取邮件内容的密码对附件解密，这让我们大吃一惊。

整理了思路后，我们决定对仅剩的几个邮箱做最后的尝试，经过讨论，我们总结了几种方法来防止邮件网关自动解密附件：

• 压缩两次文件，一个加密一个不加密
• 将附件传到一个高仿网站，让他们自行下载
• 传送附件密码的方式改变一下
  

我们最终选择3方法，以一些别的方式告诉目标压缩包密码，或是邮件中的内容叙述也可以将密码描述出来（切记不要出现原文密码，不然网关会直接提取解密），这一点就不细说了，毕竟机器又不是人，大家可以自行意会。

发送后，我们只等待了十几分钟，就看到了目标上线，并且是一连好几个，后来发现是上线的第一个人将我们准备的资料在同事间传递，达到了更好的上线效果。而这个，就是钓鱼前期资料准备的功劳。

整理目前手上获取的目标资料， 我们对此次的后渗透信心满满。

所以，即使是你的已控机器权限丢失，不妨停下来多思考，重新规划战术。目标机器上搜集的资料，对我们后续进行钓鱼实施或是整个项目的进程，也起到了实质性的推动作用。
后渗透


当我们成功上线了机器后，首要做的就是稳固权限以及尽可能全的搜集本机资料、信息、账号凭据等。那么对于这个流程我们的经验是：

• 不管是国内外的AV或是EDR，上线之后先做信息搜集，手动搜集需要的信息，这一操作是不敏感的，这也在上一节实施钓鱼的时候看到了成效。
• 然后再进行BypassUAC的操作，UAC可以使用COM组件的比较通用。
• UAC后，我们可以根据具体每台机器的价值来决定维权还是抓取机器密码或浏览器密码的先后
  

关于第3点，我不知道是否表述清楚，因为我们目前常用的后渗透框架就是CS，得益于CS所提供的两大不落地执行技术reflectivedllinjection和AssemblyLoad。

常常达到上述目的的功能模块我们都已经实现为CS插件，去使用CS为我们预留的接口就可以执行我们的功能模块。

而这个在一些国内杀毒环境的情况下正确配置CS Profile以及使用一些替代加载方式还是可以没什么压力的使用。

但是此次项目环境并不是常规对抗环境，存在某知名国外安全防护全套商业版，我们在钓鱼阶段就已经见识过其威力以及自动化分析和响应的速度。

所以我们必须制定一个方案来操作上线的机器，在执行敏感操作之前一定要把该做的事情做完。不能上线之后直接执行一些相对风险较高的操作，导致机器直接掉线，这样连搜集机器文件等敏感资料的机会也没有了。

所以需要根据不同情况制定不同的操作流程方法。

甚至可以不使用内存加载，直接将对应的功能模块做好免杀，上传到目标机器执行，反而降低了操作风险。

这一块涉及的知识量也很大，本篇并不是技术科普文章，有些东西就不过多解释。其实你也可以发现，这一步所做的所有操作也需要归功于基础设置的构建程度。

到这里，上篇就已经叙述完毕，下篇文章会讲述我们如何通过此域机器，通过委派的方式不断横向获取机器直至控制整个域，也十分精彩！

总结
真实的攻防对抗，往往都困难重重，每一个关键点的成功突破，往往得益于平时大量的基础积累和经验。

真实环境中你看不到靶场大爷们行云流水的日站过程，只能看到真实环境中要面对的一些关键点，以及我们的应对建议，最重要的是该如何去解决，以及之后遇到的解决办法、经验。这才是最重要的，希望大家多多思考。

动者恒动

谢谢分享

EthicalHacker-M

厉害的