紅隊戰術有哪些思路

1：使用“未報價的服務路徑”誤導分析人員
如果要將后門部署為新服務，請利用“未報價的服務路徑”來混淆檢測系統和SOC。
服務路徑：C：\ Program Files \ decoymalware.exe
實際惡意軟件：C：\ Program.exe
您可以使用decoymalware.exe作為欺騙安全操作員的方法。也許將合法且經過簽名的二進制文件放在此處，因此當發現您的新服務并將二進制文件上傳到VT時，它看起來完全是無辜的，并且該警報可能會被誤認為是誤報。
或者，如果有可能對此進行進一步調查，則可以放置完全不相關的惡意軟件來誤導。也許是一個知名的加密礦工？這是惡意的，但并不是那么重要，因此有關后門的警報將很快被“解決”。
2：使用遠程驅動器映射來竊取NTLM hashes
在幾次調查中，我遇到了指向遠程smb路徑的LNK文件。他們的目的是迫使客戶端向攻擊者的smb服務器進行身份驗證。因此，攻擊者可以竊取受害者的NTLM哈希。我發現RDM的這種創新用法。
3：DNS中毒并注入Google Analytics JS
現在考慮普通用戶的瀏覽活動。他將訪問的網頁中可能有一半以上是從Google Analytics（分析）請求JS文件。因此，如果您可以某種方式（通過DNS中毒，MITM或其他方式）將這些請求重定向到您自己的Web服務器并替換這些JS文件，那么您將擁有完美的C2系統來處理您的惡意軟件！您的惡意軟件甚至不必發送單個TCP數據包。受害者的瀏覽活動將成為您消息的載體，并且訪問頻率將足夠高！

回答所涉及的環境：聯想天逸510S、Windows 10。