executing-red-team-exercise
执行全面的红队演练(Red Teaming),模拟真实世界对手针对组织的人员、流程和技术的攻击行动。红队以隐蔽性为主要目标,采用从初始侦察到目标完成的完整攻击生命周期,同时测试组织的检测和响应能力。与渗透测试不同,此技能聚焦于对手模拟而非漏洞识别。适用于红队演练、对手模拟、对手仿真或全范围攻击性安全评估等请求场景。
Best use case
executing-red-team-exercise is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
执行全面的红队演练(Red Teaming),模拟真实世界对手针对组织的人员、流程和技术的攻击行动。红队以隐蔽性为主要目标,采用从初始侦察到目标完成的完整攻击生命周期,同时测试组织的检测和响应能力。与渗透测试不同,此技能聚焦于对手模拟而非漏洞识别。适用于红队演练、对手模拟、对手仿真或全范围攻击性安全评估等请求场景。
Teams using executing-red-team-exercise should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/executing-red-team-exercise/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How executing-red-team-exercise Compares
| Feature / Agent | executing-red-team-exercise | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
执行全面的红队演练(Red Teaming),模拟真实世界对手针对组织的人员、流程和技术的攻击行动。红队以隐蔽性为主要目标,采用从初始侦察到目标完成的完整攻击生命周期,同时测试组织的检测和响应能力。与渗透测试不同,此技能聚焦于对手模拟而非漏洞识别。适用于红队演练、对手模拟、对手仿真或全范围攻击性安全评估等请求场景。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 执行红队演练 ## 适用场景 - 评估组织对真实对手行动的检测、响应和遏制能力 - 测试安全运营中心(SOC)、事件响应团队和威胁狩猎能力的有效性 - 通过模拟串联多个漏洞和技术的攻击,验证安全投资的价值 - 针对特定威胁行为者(民族国家、勒索软件团伙、内部威胁)评估组织安全态势 - 满足对手模拟的监管要求(TIBER-EU、CBEST、AASE、iCAST) **不适用于**:未获得高管级授权和详细交战规则(Rules of Engagement)文件的情况、可能影响安全或关键运营的系统,或代替基础漏洞管理(应先修复已知漏洞)。 ## 前置条件 - 高管级书面授权,清晰定义目标、范围和禁止测试的系统 - 红队命令与控制(C2)基础设施:具备域名前置或重定向器的主备 C2 信道 - 安装了 OPSEC 加固工具集的操作员工作站(Cobalt Strike、Sliver、Brute Ratel 或 Mythic) - 针对目标组织相关对手群体的威胁情报,用于对手仿真规划 - 目标组织内的可信代理人(白方,White Cell),管理演练边界而不向防御者透露信息 - MITRE ATT&CK 矩阵,用于映射计划和已执行的技术 ## 工作流程 ### 步骤 1:对手仿真规划 基于现实威胁模型制定行动计划: - **威胁行为者选择**:选择与组织所在行业相关的对手群体。金融服务业可仿真 FIN7 或 Lazarus Group;医疗健康业可仿真 APT41 或 FIN12。从 MITRE ATT&CK 中映射所选对手的已知 TTP - **目标定义**:定义可量化的目标,例如"从核心银行系统访问客户财务数据"或"演示在域内部署勒索软件的能力" - **攻击计划制定**:创建逐步行动计划,将每个阶段映射到 ATT&CK 战术: 1. 初始访问(TA0001):钓鱼、利用面向公众的应用程序或供应链攻击 2. 执行(TA0002):PowerShell、脚本、利用客户端执行 3. 持久化(TA0003):计划任务、注册表修改、植入物部署 4. 权限提升(TA0004):令牌冒充、利用权限提升漏洞 5. 防御规避(TA0005):进程注入、时间戳篡改、指标清除 6. 凭据访问(TA0006):LSASS 转储、Kerberoasting、凭据填充 7. 横向移动(TA0008):远程服务、哈希传递、远程桌面 8. 收集/数据外泄(TA0009/TA0010):数据暂存、通过 C2 外泄数据 - **去冲突计划**:建立让白方区分红队活动与真实威胁的流程 ### 步骤 2:基础设施准备 构建 OPSEC 加固的攻击基础设施: - **C2 基础设施**:在过滤蓝队调查流量的重定向器后部署主 C2 服务器。使用域名前置或合法云服务(Azure CDN、CloudFront)将 C2 流量融入正常 Web 流量 - **钓鱼基础设施**:注册时间较长的域名(30 天以上),配置 SPF/DKIM/DMARC,构建凭据收集或载荷投递页面 - **载荷开发**:创建自定义植入物或配置 C2 框架载荷,包含: - AMSI 绕过,用于 PowerShell 执行 - ETW 补丁,用于规避安全产品遥测 - 睡眠掩码和内存加密,用于击败内存扫描 - 签名二进制代理执行(rundll32、msbuild、regsvr32),用于防御规避 - **暂存基础设施**:搭建第二阶段载荷的文件托管、数据外泄接收服务器和备用通信信道 - **OPSEC 验证**:在上线前针对目标环境中部署的相同 EDR/AV 产品测试整个基础设施 ### 步骤 3:初始访问 在目标环境中获取初始立足点: - **钓鱼活动**:向选定员工发送定向鱼叉式钓鱼邮件,附带武器化文档或凭据收集链接。使用基于侦察阶段收集的 OSINT 制定借口 - **外部利用**:利用侦察阶段发现的面向互联网应用(VPN 门户、Web 应用、邮件服务器)中的漏洞 - **物理访问**:若在范围内,尝试物理访问以部署网络植入物(LAN Turtle、Bash Bunny)或 USB 投放 - **供应链**:若在范围内,攻击供应商或供货商关系以获取间接访问 - 成功获得初始访问后,建立第一个 C2 信标并确认与 C2 服务器的通信。立即实施持久化(多种机制),以在系统重启和凭据变更后继续保持访问 ### 步骤 4:后渗透与目标完成 在保持隐蔽性的同时在目标环境中行动: - **内部侦察**:使用 BloodHound 和内部扫描枚举域、识别高价值目标并绘制网络图,流量设计为融入正常管理活动 - **权限提升**:使用最不易被检测的技术(Kerberoasting 优于哈希传递,离地攻击优于自定义工具)从初始用户提升至本地管理员,再到域管理员 - **横向移动**:使用合法协议(RDP、WinRM、SMB)和窃取的凭据移动到目标系统。变换技术以测试多个检测签名 - **防御规避**:持续适应以避免被检测。若某技术触发告警,记录该检测并切换到替代方法 - **目标执行**:完成已定义的目标(访问目标数据、演示勒索软件暂存、外泄数据)并记录完成证据 - **检测时间线**:记录每个已执行技术的时间戳,以便事后与蓝队检测时间线对比 ### 步骤 5:紫队整合与报告 将红队发现转化为防御改进: - **检测差距分析**:将红队技术时间线与蓝队检测日志对比。识别哪些技术被检测到、哪些被遗漏,以及每个技术的平均检测时间(MTTD) - **ATT&CK 覆盖映射**:创建 ATT&CK Navigator 热图,显示已测试的技术以及是否被检测、遗漏或部分检测 - **紫队协作(Purple Team)会话**:开展协作会议,红队逐步揭示每个技术,蓝队识别检测本应发生的位置并编写新检测规则 - **报告**:提交全面报告,包含行动叙述、逐技术分析(含检测状态)以及改进检测和响应的优先级建议 ## 核心概念 | 术语 | 定义 | |------|------| | **对手仿真(Adversary Emulation)** | 模拟已知威胁行为者的特定 TTP,测试组织针对相关现实威胁的防御能力 | | **C2(命令与控制)** | 红队用于远程控制部署在被控系统上植入物的基础设施和通信信道 | | **OPSEC(操作安全)** | 红队在演练期间采用的避免被防御团队检测到的实践 | | **域名前置(Domain Fronting)** | 将 C2 流量隐藏在合法 CDN 域名后面,规避基于网络的检测和域名封锁的技术 | | **紫队演练(Purple Teaming)** | 红蓝团队协作改进检测能力的演练,双方共同分享攻击技术和防御差距 | | **白方(White Cell)** | 管理演练、处理去冲突并在红蓝团队之间调解的可信代理人或演练控制组 | | **植入物(Implant)** | 红队部署在被控系统上以保持访问、执行命令和促进横向移动的软件 | | **MTTD/MTTR** | 平均检测时间/平均响应时间;衡量防御团队识别和遏制威胁所需时间的指标 | ## 工具与系统 - **Cobalt Strike**:商业对手模拟平台,提供信标、可配置 C2 配置文件和后渗透能力 - **Sliver**:开源 C2 框架,支持多种协议(mTLS、WireGuard、HTTP/S、DNS),具有跨平台植入物 - **MITRE ATT&CK Navigator**:可视化 ATT&CK 技术覆盖的工具,支持计划执行与实际执行与检测技术的对比 - **Mythic**:开源 C2 框架,具有模块化 agent 架构和基于 Web 的操作员界面 ## 常见场景 ### 场景:针对零售公司仿真 FIN7 对手 **场景背景**:一家全国性零售连锁店希望测试其针对 FIN7 的防御能力,FIN7 是一个以零售和酒店业为目标的具有经济动机的威胁组织,擅长使用销售点(POS)恶意软件、钓鱼和数据外泄。 **方法**: 1. 仿真 FIN7 TTP:使用含 VBA 宏执行 PowerShell 的恶意文档进行鱼叉式钓鱼 2. 通过鱼叉式钓鱼一名市场员工获得初始访问;宏使用 rundll32 代理执行投放 Cobalt Strike 信标 3. 使用 BloodHound 进行内部侦察,发现从被控用户到具有 POS 管理服务器访问权限的服务账户的路径 4. Kerberoast 该服务账户,破解密码,横向移动到 POS 管理系统 5. 演示对持卡人数据环境的数据访问,暂存模拟卡数据准备外泄 6. 通过 DNS C2 信道外泄暂存数据,模拟数据窃取 7. SOC 在第 47 小时检测到横向移动,但未检测到初始钓鱼、宏执行或 Kerberoasting **常见陷阱**: - 操作过于激进,立即被检测到,无法为测试蓝队高级检测能力提供价值 - 完全使用自定义工具而非真实对手更倾向的离地攻击(Living-off-the-Land)技术 - 未记录每个动作的详细时间戳,使演练后分析和检测差距映射无法完成 - 未建立备用 C2 信道,因单次检测暴露而失去访问权限且未完成目标 ## 输出格式 ``` ## 红队演练报告 - FIN7 对手仿真 ### 演练摘要 **持续时间**: 2025 年 11 月 4-22 日(15 个工作日) **目标**: 访问持卡人数据环境并演示数据外泄能力 **结果**: 目标达成 - 红队访问了 POS 管理系统并暂存持卡人数据准备外泄 ### ATT&CK 技术覆盖 | 技术 | ID | 状态 | 已检测? | MTTD | |-----------|----|--------|-----------|------| | 鱼叉式钓鱼附件 | T1566.001 | 已执行 | 否 | - | | Visual Basic 宏 | T1059.005 | 已执行 | 否 | - | | 进程注入 | T1055 | 已执行 | 否 | - | | Kerberoasting | T1558.003 | 已执行 | 否 | - | | 远程桌面协议 | T1021.001 | 已执行 | 是 | 47 小时 | | 数据暂存 | T1074 | 已执行 | 否 | - | | 通过 C2 外泄 | T1041 | 已执行 | 否 | - | ### 检测摘要 - **已执行技术**: 14 - **已检测技术**: 3 (21.4%) - **平均检测时间**: 47 小时(针对已检测技术) - **平均响应时间**: 4 小时(从检测到遏制) ### 优先建议 1. 部署邮件引爆沙箱,用于宏启用文档分析 2. 通过 Windows Event ID 4769 监控实施 Kerberoasting 检测 3. 增强 PowerShell 日志记录(脚本块日志记录、模块日志记录) 4. 部署内存扫描 EDR 能力,检测进程注入 ```
Related Skills
performing-threat-emulation-with-atomic-red-team
使用 atomic-operator Python 框架执行 Atomic Red Team 测试,进行 MITRE ATT&CK 技术验证。 从 YAML 原子测试加载测试定义、运行攻击模拟并验证检测覆盖率。适用于测试 SIEM 检测规则、 验证 EDR 覆盖率或开展紫队演练。
performing-soc-tabletop-exercise
为 SOC 团队执行桌面推演(Tabletop Exercise),通过基于讨论的场景模拟安全事件, 在不影响生产系统的前提下测试事件响应流程、沟通工作流和压力下的决策能力。 适用于组织需要验证 IR 剧本、培训分析师或满足事件响应测试合规要求的场景。
performing-red-team-with-covenant
使用 Covenant C2 框架开展红队(Red Team)操作,用于授权的对手模拟,包括监听器设置、Grunt 部署、任务执行和横向移动(Lateral Movement)追踪。
performing-red-team-phishing-with-gophish
使用 Python gophish 库自动化 GoPhish 钓鱼模拟活动。创建含追踪像素的邮件模板、 配置 SMTP 发送配置文件、从 CSV 构建目标组、发起活动,并分析结果, 包括打开率、点击率和凭据提交统计数据,用于安全意识评估。
performing-ransomware-tabletop-exercise
规划并主持模拟勒索软件(Ransomware)事件的桌面推演,以测试组织的应急准备、决策能力和通信流程。基于当前勒索软件威胁行为者(LockBit、ALPHV/BlackCat、Cl0p)设计真实场景,涵盖双重勒索(Double Extortion)、备份销毁和法规通知要求等注入内容。依据 NIST CSF 和 CISA 指南评估参与者响应。适用于勒索软件桌面推演、事件响应演练或勒索软件应急准备演习等请求。
performing-purple-team-exercise
执行紫队(Purple Team)演练,通过协调红队对抗模拟与蓝队检测验证, 使用 MITRE ATT&CK 映射的攻击场景、实时检测测试和协作差距修复。 适用于 SOC 团队需要验证检测能力、提升分析师技能并通过结构化攻防协作填补检测缺口时。
executing-red-team-engagement-planning
红队演练规划是在任何攻击测试开始之前,确定范围、目标、交战规则(ROE)、威胁模型选择和操作时间表的基础阶段。
executing-phishing-simulation-campaign
执行授权的钓鱼模拟活动,评估组织对基于电子邮件的社会工程攻击的脆弱性。测试人员设计真实的钓鱼场景,构建凭据收集基础设施,发送定向钓鱼邮件,并追踪打开率、点击率和凭据提交率,以衡量人员安全意识水平。适用于钓鱼模拟、社会工程评估、电子邮件安全测试或安全意识测量等请求场景。
executing-diamond-model-analysis
将入侵分析菱形模型应用于将对手活动结构化为四个核心顶点(对手、能力、基础设施、受害者),并识别它们之间的关系,以引导调查和归因活动。适用于分析已完成的入侵事件、将不同事件关联到共同威胁行为者,或构建用于威胁情报传播的结构化分析产品时。适用于涉及菱形模型、入侵分析、活动聚类或对手归因方法论的请求。
executing-active-directory-attack-simulation
对 Active Directory 环境执行授权攻击模拟,识别错误配置、弱凭据、危险特权路径以及可导致域沦陷的可利用信任关系。测试人员使用 BloodHound 进行攻击路径分析,使用 Mimikatz 进行凭据提取,使用 Impacket 进行协议级攻击,包括 Kerberoasting、AS-REP Roasting 和委派滥用。适用于 Active Directory 渗透测试、AD 攻击模拟、域沦陷测试或 Kerberos 攻击评估等请求场景。
conducting-full-scope-red-team-engagement
规划并执行全范围红队演练,覆盖从侦察到后渗透的完整攻击链,使用符合 MITRE ATT&CK 的战术技术和程序(TTP),以评估组织的检测和响应能力。
building-red-team-c2-infrastructure-with-havoc
部署和配置 Havoc C2 框架,包括团队服务器、HTTPS 监听器、重定向器和 Demon 代理,适用于授权红队(Red Team)行动。