藍(lán)隊通常很難檢測到紅隊的工具，這迫使藍(lán)隊需要與威脅狩獵團隊坐下來共同研究如何查找和檢測紅隊最常使用的工具——例如Cobalt Strike、Brute Ratel、Meterpreter和PowerShell Empire。

以下，我們逐一介紹紅隊最常用的三大工具：

一旦紅隊（或?qū)κ郑┱痉€(wěn)腳跟，策略重點就會轉(zhuǎn)移到執(zhí)行，在目標(biāo)系統(tǒng)上“引爆”他們的工具，同時避免被安全團隊發(fā)現(xiàn)。最常見的執(zhí)行方法之一是使用腳本解釋器——在Windows環(huán)境下通常是PowerShell。因此，許多安全控制措施都在密切關(guān)注PowerShell及其產(chǎn)生的進(jìn)程。然而，Cobalt Strike（以及許多其他對手）找到了一種巧妙的方法，將PowerShell直接加載到內(nèi)存中來繞過這個問題，通常使用類似unmanagedpowershell的工具在內(nèi)存中運行PowerShell而無需生成powershell.exe。

檢測Cobalt Strike活動最簡單的方法之一是查找與非默認(rèn)PowerShell可執(zhí)行文件的PowerShell運行時環(huán)境關(guān)聯(lián)的DLL加載，這可以幫助識別可能的惡意活動。

許多紅隊和對手在取得立足點后首先執(zhí)行的技術(shù)動作之一是下載其他工具。許多現(xiàn)代安全工具能夠使用無頭瀏覽器（headless browser）之類的工具輕松檢測到攻擊者。但是，藍(lán)隊有時可能會被忽視的一種攻擊方法是利用系統(tǒng)上已經(jīng)存在的現(xiàn)有二進(jìn)制文件（LOLBins）。該方法最流行工具之一是certutil，它是Windows操作系統(tǒng)上的命令行程序，用作證書服務(wù)的一部分。它可用于配置證書服務(wù)、驗證證書以及更多與證書相關(guān)的活動。CertUtil中的一個命令參數(shù)——urlcache，可用于執(zhí)行URL緩存管理操作——攻擊者已經(jīng)意識到他們可以使用該工具來下載惡意文件，但是如何檢測呢？

檢測惡意certutil活動的一種簡單方法是通過CertUtil.exe的“urlcache”參數(shù)查找正在啟動下載的文件。CertUtil通常不用于從Web下載可執(zhí)行文件或文件，因此當(dāng)它從互聯(lián)網(wǎng)下載文件時應(yīng)被視為可疑活動。

Metasploit有很多功能，最常見的是對手和紅隊用它來實現(xiàn)橫向移動和在遠(yuǎn)程系統(tǒng)上執(zhí)行操作。實現(xiàn)此目的的最常見技術(shù)之一是濫用PsExec進(jìn)行服務(wù)安裝。

檢測Metasploit活動的一個簡便的好方法是查找包含與Metasploit的PsExec工具使用的模式名稱一致的服務(wù)安裝，同時在“Windows”目錄中查找具有相同名稱的二進(jìn)制文件。攻擊者和紅隊可以更改此命名約定，但許多人并沒有意識到這一點。

文章來源：GoUpSec，侵刪