تیم قرمز (Red Team) در دنیای امنیت سایبری نقشی حیاتی ایفا میکند. وظیفه این تیم، شبیهسازی حملات واقعی مهاجمان پیشرفته (APT) برای ارزیابی اثربخشی دفاعهای سازمان و شناسایی نقاط ضعف امنیتی است. موفقیت در این عملیاتها نیازمند درک عمیق از تاکتیکها، تکنیکها و رویهها (TTPs) مهاجمان و استفاده از ابزارهای تخصصی است. در این مقاله، به معرفی ۱۵ ابزار برجسته که در زرادخانه هر عضو تیم قرمز باید وجود داشته باشد، میپردازیم.
کاربرد: CALDERA یک پلتفرم خودکار برای شبیهسازی رفتار مهاجمان و اجرای حملات پیشرفته است. این فریمورک به تیمهای قرمز اجازه میدهد تا TTPهای MITRE ATT&CK را به صورت خودکار اجرا کرده و اثربخشی مکانیزمهای دفاعی را بسنجند.
فایده:CALDERA فرایند اجرای تاکتیکهای پیچیده مهاجمان را سادهسازی میکند و امکان تست مداوم و مقیاسپذیر دفاعها را فراهم میآورد. این ابزار برای ارزیابی خودکار و تکرارپذیر امنیت طراحی شده است.
نحوه استفاده: تیم قرمز میتواند از طریق رابط کاربری وب CALDERA، “عملیات” (Operations) با استفاده از TTPهای ATT&CK تعریف کند و سپس آنها را روی اهداف مورد نظر اجرا نماید.
کاربرد: Sliver یک C2 (Command and Control) framework متنباز و مدرن است که برای عملیاتهای تیم قرمز طراحی شده است. این ابزار امکان اجرای بدافزار (malware deployment)، جمعآوری اطلاعات، و دسترسی مداوم به سیستمهای هدف را فراهم میکند.
فایده: Sliver با پشتیبانی از پروتکلهای ارتباطی مختلف و قابلیتهای ضد ویروس (anti-AV)، به تیمهای قرمز کمک میکند تا بتوانند حضور خود را در شبکه هدف مخفی نگه دارند و به طور مؤثر فعالیت کنند.
نحوه استفاده: مهاجمان Sliver را نصب کرده، C2 server را راهاندازی میکنند و سپس payloadهای سفارشی برای اهداف تولید کرده و اجرا میکنند تا ارتباط C2 برقرار شود.
کاربرد: BloodHound یک ابزار قدرتمند برای تجزیه و تحلیل روابط در محیطهای Active Directory (AD) است. این ابزار با ترسیم گراف وابستگیها بین کاربران، گروهها، کامپیوترها و سایر اشیاء AD، مسیرهای احتمالی برای دسترسی غیرمجاز را شناسایی میکند.
فایده: BloodHound به تیمهای قرمز امکان میدهد تا مسیرهای “هجوم” (attack paths) را در AD کشف کنند؛ به این معنی که چگونه با دسترسی اولیه به یک کاربر یا سیستم، میتوانند به حسابهای مدیریتی بالاتر یا سیستمهای حساس دست یابند.
نحوه استفاده: ابتدا با استفاده از ابزارهایی مانند SharpHound، دادههای AD جمعآوری و سپس در BloodHound بارگذاری میشود تا گراف وابستگیها نمایش داده شود.
کاربرد: Responder یک ابزار تجزیه و تحلیل پروتکل شبکه است که حملات Man-in-the-Middle (MitM) را با گوش دادن به ترافیک شبکه و پاسخ دادن به درخواستهای پروتکلهایی مانند NTLMv1/v2، LLMNR، و mDNS انجام میدهد.
فایده: هدف اصلی Responder، سرقت hashهای احراز هویت کاربران در شبکه داخلی است. این hashها سپس میتوانند برای حملاتی مانند Pass-the-Hash یا Pass-the-Ticket استفاده شوند تا دسترسی غیرمجاز به سیستمها فراهم شود.
نحوه استفاده: Responder روی یک سیستم در شبکه هدف اجرا میشود و منتظر درخواستهای احراز هویت میماند تا hash را ضبط کرده و ذخیره کند.
کاربرد: Impacket مجموعهای از کلاسهای Python برای کار با پروتکلهای شبکه، به ویژه پروتکلهای احراز هویت و ارتباط با سیستمهای ویندوزی است. این سوئیت شامل ابزارهایی برای ارتباط با SMB، MSRPC، Kerberos و غیره است.
فایده: Impacket به تیمهای قرمز اجازه میدهد تا با پروتکلهای ویندوزی به صورت سطح پایین تعامل داشته باشند، hashها را کرک کنند، دسترسی به سیستمها را کسب کنند (مانند Evil-WinRM)، و اطلاعات AD را استخراج نمایند.
نحوه استفاده: ابزارهایی مانند psexec.py, smbexec.py, wmiexec.py از این سوئیت برای اجرای کد از راه دور روی سیستمهای ویندوزی با استفاده از credentialهای معتبر (یا hashهای دزدیده شده) استفاده میشوند.
کاربرد: Evil-WinRM یک Shell WinRM (Windows Remote Management) پیشرفته است که با استفاده از کتابخانه Impacket ساخته شده است. این ابزار امکان اتصال به سیستمهای ویندوزی از راه دور و اجرای دستورات را فراهم میکند.
فایده: برخلاف WinRM استاندارد، Evil-WinRM قابلیتهای بیشتری برای تیمهای قرمز مانند اجرای اسکریپتهای PowerShell، آپلود فایل، و جمعآوری اطلاعات سیستمی را ارائه میدهد و غالباً کمتر توسط ابزارهای امنیتی شناسایی میشود.
نحوه استفاده: با دستور evil-winrm -i <IP_ADDRESS> -u <USERNAME> -p <PASSWORD> میتوان به یک سیستم ویندوزی متصل شد و یک جلسه تعاملی خط فرمان را آغاز کرد.
کاربرد: CrackMapExec (CME) یک ابزار بسیار محبوب برای تست نفوذ شبکههای ویندوزی است. این ابزار با استفاده از پروتکلهایی مانند SMB، WinRM و WMI، اطلاعات زیادی را از سیستمهای هدف جمعآوری کرده و قابلیت اجرای دستورات از راه دور را فراهم میکند.
فایده: CME به تیمهای قرمز اجازه میدهد تا به سرعت احراز هویتهای معتبر را روی ماشینهای متعدد تست کنند، کاربران، گروهها، و hashهای مدیران را شناسایی کنند، و حتی بدافزارها را روی شبکه گسترش دهند.
نحوه استفاده: با دستوراتی مانند crackmapexec smb target_network -u user.txt -p pass.txt میتوان اعتبارات را روی شبکه تست کرد.
کاربرد: Mimikatz یک ابزار معروف برای استخراج اطلاعات حساس از حافظه سیستمهای ویندوزی است. این شامل استخراج رمزهای عبور به صورت Plaintext، hashها، Kerberos tickets، و اطلاعات PIN است.
فایده: Mimikatz یکی از ابزارهای اصلی برای مرحله “Credential Dumping” در حملات تیم قرمز است. با دسترسی به hashها و ticketهای کاربران، مهاجمان میتوانند حملات Pass-the-Hash, Pass-the-Ticket, یا Kerberoasting را اجرا کنند.
نحوه استفاده: پس از دسترسی به یک سیستم (مثلاً با دسترسی ادمین)، Mimikatz را اجرا کرده و دستوراتی مانند sekurlsa::logonpasswords برای استخراج اطلاعات احراز هویت استفاده میشود.
کاربرد: SharpHound یک ابزار PowerShell است که برای جمعآوری دادههای مربوط به ساختار Active Directory (AD) و روابط بین اشیاء آن طراحی شده است. این ابزار اطلاعات را جمعآوری کرده و برای تحلیل با BloodHound آماده میکند.
فایده: SharpHound به تیمهای قرمز کمک میکند تا گرافی از کاربران، گروهها، کامپیوترها، OUها، GPOها، و دسترسیهای آنها ایجاد کنند. این گراف سپس برای شناسایی مسیرهای حمله به دامین ادمین یا سایر دسترسیهای حساس حیاتی است.
نحوه استفاده: با اجرای اسکریپت SharpHound روی یک سیستم که به دامین AD متصل است، دادهها جمعآوری و در فرمت JSON ذخیره میشوند.
کاربرد: Kerbrute یک ابزار Go است که برای شناسایی سابدامنههای Kerberos و همچنین Brute-force کردن نامهای کاربری (Username Enumeration) در دامینهای Kerberos طراحی شده است.
فایده: این ابزار به تیمهای قرمز کمک میکند تا نامهای کاربری معتبر در دامین را شناسایی کرده و همچنین سابدامنههایی را که Kerberos فعال دارند، پیدا کنند. این اطلاعات میتوانند برای حملات Kerberoasting یا سایر حملات مرتبط با Kerberos استفاده شوند.
نحوه استفاده: با اجرای kerbrute userenum --domain target.local usernames.txt میتوان نامهای کاربری معتبر را شمارش کرد.
کاربرد: Veil-Evasion یک پلتفرم برای تولید بدافزارهای سفارشی و عبور از سیستمهای امنیتی مانند آنتیویروسها است. این ابزار از زبانهای برنامهنویسی مختلف و تکنیکهای مبهمسازی (obfuscation) برای پنهان کردن payloadها استفاده میکند.
فایده: هدف اصلی Veil، تولید payloadهایی است که توسط نرمافزارهای امنیتی رایج مانند آنتیویروسها و سیستمهای تشخیص نفوذ (IDS/IPS) شناسایی نشوند، که امکان اجرای اولیه را در شبکه هدف فراهم میکند.
نحوه استفاده: کاربر Veil را اجرا کرده، زبان مورد نظر (مانند PowerShell, Python) را انتخاب میکند، payload را مشخص مینماید و Veil آن را با تکنیکهای مختلف مبهمسازی میکند.
کاربرد: dnscat2 یک تونل C2 است که از پروتکل DNS برای برقراری ارتباط بین یک هاست آلوده و سرور C2 استفاده میکند. این به مهاجم اجازه میدهد تا دستورات را ارسال و دریافت کند، حتی اگر دسترسی مستقیم به شبکه مسدود شده باشد.
فایده: این ابزار برای دور زدن فایروالهایی که ترافیک DNS را مجاز میدانند، بسیار کارآمد است. از آنجایی که ترافیک DNS معمولاً کمتر مورد بررسی قرار میگیرد، میتواند راهی برای برقراری ارتباط مداوم و مخفیانه باشد.
نحوه استفاده: مهاجم یک سرور dnscat2 را راهاندازی کرده و سپس کلاینت dnscat2 را روی سیستم هدف اجرا میکند تا تونل DNS برقرار شود.
کاربرد: Cobalt Strike یک پلتفرم تجاری C2 پیشرفته و پرکاربرد است که توسط تیمهای قرمز برای انجام عملیاتهای پیچیده و شبیهسازی APTها طراحی شده است. این ابزار امکان اجرای بدافزار، جمعآوری اطلاعات، حرکت جانبی، و حفظ دسترسی را فراهم میکند.
فایده: Cobalt Strike به دلیل قابلیتهای گسترده، انعطافپذیری بالا، و الگوریتمهای ضد شناسایی، به یکی از استانداردترین ابزارهای تیم قرمز در صنعت تبدیل شده است. امکان همکاری تیمی و اتوماسیون بالایی دارد.
نحوه استفاده: تیم قرمز یک سرور Beacon (agent) را راهاندازی کرده و سپس Beacon را روی اهداف توزیع میکند تا ارتباط C2 برقرار شود و بتوانند از طریق رابط گرافیکی Cobalt Strike عملیات را مدیریت کنند.
کاربرد: Phantom-Evasion ابزاری است که با استفاده از تکنیکهای مختلف مبهمسازی (obfuscation) و رمزنگاری، بدافزارها را از شناسایی توسط آنتیویروسها و راهکارهای امنیتی مبتنی بر امضا (signature-based detection) فراری میدهد.
فایده: این ابزار به تیمهای قرمز کمک میکند تا payloadهایی تولید کنند که در فاز اولیه دسترسی (initial access) کمتر شناسایی شوند و بتوانند حضور اولیه خود را در شبکه هدف تثبیت کنند.
نحوه استفاده: کاربر با مشخص کردن payload اصلی و انتخاب تکنیکهای مورد نظر، Phantom-Evasion را برای تولید نسخه مبهمسازی شده اجرا میکند.
کاربرد: همانطور که اشاره شد، Mimikatz برای استخراج credentials از حافظه سیستمهای ویندوزی حیاتی است. انواع مختلفی از Mimikatz وجود دارد، از جمله نسخههایی که برای اجرا در محیطهای PowerShell بدون نیاز به فایل اجرایی (in-memory execution) طراحی شدهاند.
فایده: به طور خلاصه، Mimikatz یکی از موثرترین ابزارها برای مرحله Lateral Movement و Privilege Escalation در حملات تیم قرمز است. با داشتن hashهای کاربران، امکان دسترسی به سیستمهای دیگر و ارتقاء دسترسی بسیار افزایش مییابد.
نحوه استفاده: اجرای مستقیم فایل اجرایی یا بارگذاری آن در حافظه PowerShell با دستوراتی مانند Invoke-Mimikatz که در ماژولهای PowerShell مانند PowerSploit موجود است.
نتیجهگیری:
عملیاتهای تیم قرمز نیازمند ترکیبی از خلاقیت، دانش فنی عمیق و استفاده هوشمندانه از ابزارهاست. ابزارهای معرفی شده در این مقاله، از فریمورکهای C2 پیشرفته گرفته تا ابزارهای تحلیل Active Directory و استخراج اطلاعات، به تیمهای قرمز کمک میکنند تا سناریوهای حمله واقعی را شبیهسازی کرده و نقاط ضعف امنیتی سازمانها را آشکار سازند. تسلط بر این ابزارها، سنگ بنای یک تیم قرمز موفق است.
