藍隊通常很難檢測到紅隊的工具，這迫使藍隊需要與威脅狩獵團隊坐下來共同研究如何查找和檢測紅隊最常使用的工具——例如Cobalt Strike、Brute Ratel、Meterpreter和PowerShell Empire。

以下，我們逐一介紹紅隊最常用的三大工具：

一旦紅隊（或對手）站穩腳跟，策略重點就會轉移到執行，在目標系統上“引爆”他們的工具，同時避免被安全團隊發現。最常見的執行方法之一是使用腳本解釋器——在Windows環境下通常是PowerShell。因此，許多安全控制措施都在密切關注PowerShell及其產生的進程。然而，Cobalt Strike（以及許多其他對手）找到了一種巧妙的方法，將PowerShell直接加載到內存中來繞過這個問題，通常使用類似unmanagedpowershell的工具在內存中運行PowerShell而無需生成powershell.exe。

檢測Cobalt Strike活動最簡單的方法之一是查找與非默認PowerShell可執行文件的PowerShell運行時環境關聯的DLL加載，這可以幫助識別可能的惡意活動。

許多紅隊和對手在取得立足點后首先執行的技術動作之一是下載其他工具。許多現代安全工具能夠使用無頭瀏覽器（headless browser）之類的工具輕松檢測到攻擊者。但是，藍隊有時可能會被忽視的一種攻擊方法是利用系統上已經存在的現有二進制文件（LOLBins）。該方法最流行工具之一是certutil，它是Windows操作系統上的命令行程序，用作證書服務的一部分。它可用于配置證書服務、驗證證書以及更多與證書相關的活動。CertUtil中的一個命令參數——urlcache，可用于執行URL緩存管理操作——攻擊者已經意識到他們可以使用該工具來下載惡意文件，但是如何檢測呢？

檢測惡意certutil活動的一種簡單方法是通過CertUtil.exe的“urlcache”參數查找正在啟動下載的文件。CertUtil通常不用于從Web下載可執行文件或文件，因此當它從互聯網下載文件時應被視為可疑活動。

Metasploit有很多功能，最常見的是對手和紅隊用它來實現橫向移動和在遠程系統上執行操作。實現此目的的最常見技術之一是濫用PsExec進行服務安裝。

檢測Metasploit活動的一個簡便的好方法是查找包含與Metasploit的PsExec工具使用的模式名稱一致的服務安裝，同時在“Windows”目錄中查找具有相同名稱的二進制文件。攻擊者和紅隊可以更改此命名約定，但許多人并沒有意識到這一點。

文章來源：GoUpSec，侵刪