在不断发展的网络安全格局中,红队在评估组织的安全态势方面发挥着关键作用。
在这篇博文中,我们重点介绍红队的一个重要方面:有效载荷开发策略。
红队工具包系列将继续探索旨在将红队行动提升到新高度的强大工具、框架和脚本。
有效载荷开发策略
1. Ivy
描述:Ivy 是一个多功能的有效载荷创建框架,专门用于直接在内存中执行任意 VBA(宏)源代码。它使红队成员能够制作可以无缝执行的复杂宏,从而增强其操作的隐蔽性和有效性。
URL:GitHub 上的 Ivy
https://github.com/optiv/Ivy
2. PEzor
描述:PEzor 是一款开源 PE 打包器,为红队成员提供强大的工具来压缩和混淆可移植可执行 (PE) 文件。它有助于逃避检测机制并增强有效载荷的整体隐蔽性。
URL:GitHub 上的 PEzor
https://github.com/phra/PEzor
3.GadgetToJScript
描述:GadgetToJScript 是一款复杂的工具,可生成能够触发 .NET 程序集加载/执行的 .NET 序列化小工具。此工具对于红队成员来说非常有用,使他们能够将恶意负载嵌入 JS/VBS/VBA 脚本中并无缝执行它们。
URL:GitHub 上的 GadgetToJScript
https://github.com/med0x2e/GadgetToJScript
4.ScareCrow
描述:ScareCrow 是一个有效载荷创建框架,其设计旨在规避端点检测和响应 (EDR) 系统。它为红队成员提供了开发绕过高级安全措施的有效载荷的手段,从而提高了红队行动的成功率。
URL:GitHub 上的 ScareCrow
https://github.com/optiv/ScareCrow
5. Donut
描述:Donut 引入了与位置无关的代码,有助于在内存中执行各种文件类型,包括 VBScript、JScript、EXE、DLL 文件和 dotNET 程序集。它为红队成员提供了一种灵活而强大的工具来执行有效载荷,而无需依赖传统的基于文件的方法。
URL:GitHub 上的 Donut
https://github.com/TheWover/donut
6.Mystikal
描述:Mystikal 是 macOS 初始访问有效负载生成器,为红队成员提供专门的工具,用于制作针对 Apple 操作系统的有效负载。它解决了多平台红队行动不断变化的形势。
URL:GitHub 上的 Mystikal
https://github.com/D00MFist/Mystikal
7. charlotte
描述:Charlotte 是一个完全无法检测到的 C++ shellcode 启动器,为红队提供了一种在目标系统上执行 shellcode 的隐秘方法。其不可检测的特性提高了进攻行动的有效性。
URL:GitHub 上的 charlotte
https://github.com/9emin1/charlotte
8.InvisibilityCloak
描述:InvisibilityCloak 是一款概念验证型混淆工具包,专为后漏洞利用 C# 工具量身定制。它对 C# Visual Studio 项目执行混淆操作,增强逃避检测和分析的能力。
URL:GitHub 上的 InvisibilityCloak
https://github.com/xforcered/InvisibilityCloak
9. Dendrobate
描述:Dendrobate 是一个框架,有助于开发通过托管 .NET 代码挂接非托管代码的有效载荷。红队成员可以利用 Dendrobate 创建具有增强功能的复杂有效载荷。
URL:GitHub 上的 Dendrobate
https://github.com/FuzzySecurity/Dendrobate
10. Offensive VBA and XLS Entanglement
描述:此存储库为红队成员提供了 VBA 如何用于攻击目的的示例,而不仅仅是传统的 dropper 或 shell 注入器。随着更多用例的开发,存储库不断发展以保持领先于防御措施。
URL:GitHub 上的 Offensive VBA and XLS Entanglement
https://github.com/BC-SECURITY/Offensive-VBA-and-XLS-Entanglement
