Skip to content

Mars’ Blog | 记录·分享·回顾

RSS信息流 RedBlue

Recently Updated

04-10: 如何选择网络安全框架

04-10: 绕过ChatGPT的限制，并使用它来做免杀木马

04-10: Security.News@202302

04-09: 关于这个站点

04-09: 置顶_网络安全事件汇总

04-09: ChatGPT来临，未来我们可能只需要Prompt工程师：如何制作清晰有效的Prompt

04-09: 理解PHP内存管理

04-09: WordPress 3.8.2 cookie伪造漏洞及Python使用urllib2出现30x跳转的问题

04-09: 折纸作品

04-09: 摄影作品

Categories

关于这个站点

博客

安全知识库

Blue Team基础设施

Blue Team能力建设

Red Team基础设施

自动化部署

重定向器 Redirectors

Red Team能力建设

专题研究

学习资源

实践参考

行业观察

安全通讯 Security.News

知识管理

置顶_网络安全事件汇总

Tags

Blue Team基础设施 (10)

Blue Team能力建设 (17)

Cheat Sheet (1)

CrowdStrike (1)

EDR商业化产品 (1)

EDR能力评估 (2)

Palo Alto Networks (2)

Red Team基础设施 (4)

自动化部署

重定向器 Redirectors

Red Team能力建设 (5)

Web应用防火墙 (2)

专题研究 (10)

供应链安全 (2)

入侵检测 (2)

内存管理 (1)

创新沙盒 (1)

初始访问 Initial Access (3)

加密流量 (1)

勒索软件 (1)

友商动态 (2)

反序列化 (1)

命令与控制 C2 (6)

威胁检测 (3)

威胁检测规则 (3)

学习资源 (5)

安全事件 (6)

安全加固 (1)

安全可视化 (1)

安全报告 (1)

安全数据 (1)

安全架构 (3)

安全框架 (1)

安全演习 (1)

安全规范&模型 (2)

安全通讯 Security.News (6)

实践参考 (4)

应急响应 (3)

思维导图 (6)

数据外传 Exfiltration (1)

数据泄露 (1)

文件分析 (1)

日常折腾 (2)

最佳实践 (2)

机器学习 (3)

AWS架构设计最佳实践

检测工程 (2)

欺骗防御 (3)

流量检测 (1)

知识管理 (1)

系统设计 (2)

红蓝对抗 (1)

终端基础设施 (5)

绕过 Bypass (1)

网络基础设施 (2)

能力评估 (2)

行业动态 (5)

行业实践 (2)

行业报告 (2)

行业观察 (8)

雾帜智能 (1)

风险评估 (1)

默安科技 (1)

On this page

1. 功能隔离
2. Redirectors
3. 案例
4. 参考

架构设计

On this page

1. 功能隔离
2. Redirectors
3. 案例
4. 参考

1. 功能隔离

将功能隔离在不同的资产上可以避免被Blue team一窝端：

钓鱼SMTP
钓鱼Payload
长期使用的C2
短期使用的C2
...等等

2. Redirectors

为了进一步提高系统弹性和隐蔽性，每个后端资产都应该在其前面放置一个redirector，这种方式有两种好处：1.是能够解耦各个功能资产服务；2.是能够达到隐蔽效果。当某一个资产服务被Blue team发现时，无需部署整套后端服务，便可进行迁移会话、重连接后端的资产等。

常见的redirector类型:

SMTP
Payloads
Web 流量
C2 (HTTP[S]、DNS、等)

3. 案例

下面这个样例，使用了功能分离和redirector的设计思路。其中LT DNS C2代表长期的 DNS C2 服务； ST DNS C2代表短期的 DNS C2 服务；ST HTTP C2 代表短期的 HTTP C2 服务。

还可以参考 CIA 如何实现C&C基础设施。

4. 参考

https://github.com/bluscreenofjeff/Red-Team-Infrastructure-Wiki

[CIA 如何实现C&C基础设施]: ../实践参考/CIA 如何实现C&C基础设施.md "CIA 如何实现C&C基础设施"

Tags

Last updated on 4/9/2023