red-team-tactics
通过 MITRE ATT&CK 框架学习红队战术
安全团队需要了解对手行为才能构建有效的防御体系。该技能基于业界标准的 MITRE ATT&CK 框架,为红队操作提供结构化指导。
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“red-team-tactics”。 Linux 系统上常见的权限提升技术有哪些?
预期结果:
常见的 Linux 权限提升向量包括:SUID 二进制文件利用(以所有者权限执行文件)、sudo 配置错误(NOPASSWD 条目、允许命令中的通配符)、内核漏洞(Dirty Cow、PwnKit)以及可写入的 cron 任务(以 root 身份执行的定时任务)。在测试之前务必验证范围授权。
正在使用“red-team-tactics”。 应该如何在红队报告中记录检测缺口?
预期结果:
对于每个成功的技术,需要记录:(1)MITRE ATT&CK 技术 ID 和名称,(2)本应发出警报的预期检测机制,(3)检测失败的��本原因分析,(4)改进检测覆盖的具体建议,(5)基于技术普及程度和影响的优先级级别。
安全审计
安全Static analysis flagged documentation text as malicious patterns, but all findings are false positives. The skill contains educational content about the MITRE ATT&CK framework with no executable code. C2 keywords and reconnaissance references appear only in tables and diagrams explaining adversary tactics for defensive security training purposes.
质量评分
你能构建什么
安全评估规划
使用 MITRE ATT&CK 的结构化对手战术和技术来规划授权的红队行动。
蓝队培训
培训防御安全团队了解对手行为,以提高检测和响应能力。
安全控制验证
将现有安全控制与对手技术进行映射,以识别覆盖缺口。
试试这些提示
解释红队行动中的侦察阶段。主要目标是什么?应该收集哪些信息?
我需要测试 Windows 上凭据转储的检测能力。应该考虑哪些 MITRE ATT&CK 技术?它们之间有哪些权衡?
帮助我为授权评估规划防御规避技术。哪些方法可以在最小化运营影响的同时测试检测能力?
生成红队报告章节,记录所使用的横向移动技术,包括 MITRE ATT&CK ID、识别��检测缺口以及补救建议。
最佳实践
- 在进行任何测试之前,务必获得书面授权和明确定义的范围
- 遵守行动规则,尽量减少对生产系统的影响
- 记录行动期间采取的所有操作,以便准确报告
避免
- 在没有充分侦察和规划的情况下匆忙进行利用
- 造成超出概念验证范围的不必要损害或中断
- 未能记录技术并跳过详细报告