Полный цикл Red Team операции — от первого фишинга до эксфильтрации данных. Cobalt Strike, Sliver, Havoc, обход EDR и AMSI, lateral movement, persistence — всё, что делает настоящий Red Team оператор. 45 уроков, которые превратят тебя из пентестера в элитного атакующего.
Чему ты научишься
✓Понимать разницу между Red Team, пентестом и аудитом безопасности
✓Применять Kill Chain и MITRE ATT&CK для планирования операций
✓Проводить initial access через фишинг и вредоносные документы
✓Разворачивать и управлять C2-фреймворками (Cobalt Strike, Sliver, Havoc)
✓Закрепляться в системе через persistence-механизмы (реестр, WMI, COM)
✓Выполнять lateral movement и pivoting по корпоративной сети
✓Соблюдать OPSEC и составлять профессиональные отчёты Red Team
Что нужно знать
•Опыт пентеста от 1 года (веб + инфраструктура)
•Уверенное владение Linux и Windows на уровне администрирования
•Понимание Active Directory и сетевых атак
Программа
T1
Основы Red Team
Пентест находит уязвимости — Red Team проверяет, сможет ли реальный противник уничтожить бизнес. Здесь ты учишься думать как APT-группировка.
M1
Red Team vs Pentest
5 карт · 5 шагов · тест 14 вопросов
Различия в целях, методах и результатах — и почему Red Team это не просто «пентест подороже».
1.
Red Team vs Pentest: разница подходовПентест ищет уязвимости за неделю, Red Team имитирует реального противника месяцами. Разница — в целях, скрытности, длительности и типе отчёта. Понимание этой границы определяет, какой ты специалист.1 шагов
2.
Цели и правила Red Team операцииБез чётких целей Red Team превращается в хаос, без Rules of Engagement — в преступление. Objectives определяют ЧТО атаковать, ROE определяют КАК. Нарушение ROE = уголовное дело, даже с контрактом.1 шагов
3.
Threat modeling и профиль атакующегоRed Team не атакует случайно — он имитирует конкретного противника. Threat Intelligence даёт профиль APT-группировки, MITRE ATT&CK — её техники, а Threat Model — приоритетные цели. Без этого ты играешь в рулетку вместо шахмат.1 шагов
4.
Планирование операции: scope и ROEПланирование — это 30% времени операции. Выбор инструментов, развёртывание инфраструктуры, таймлайн, fallback-планы — всё решается ДО первого действия. Плохо спланированная операция провалится на первой неделе.1 шагов
5.
Инфраструктура Red Team: серверы и доменыИнфраструктура Red Team — это не один VPS с Kali. Это многослойная архитектура из redirectors, C2-серверов, domain fronting и категоризированных доменов. Один неправильный сервер = провал всей операции.1 шагов
M2
Kill Chain и MITRE ATT&CK
5 карт · 5 шагов · тест 15 вопросов
Фреймворк, которым пользуются и атакующие, и защитники — учишься маппить операции, эмулировать APT и работать в Purple Team.
1.
Cyber Kill Chain: 7 фаз атакиLockheed Martin Cyber Kill Chain — модель из 7 фаз, описывающая жизненный цикл кибератаки от разведки до достижения целей. Понимание Kill Chain позволяет Red Team структурировать операцию, а Blue Team — разрывать цепочку на любом этапе.1 шагов
2.
MITRE ATT&CK: матрица тактик и техникMITRE ATT&CK — база знаний из 14 тактик и 200+ техник, описывающих поведение реальных атакующих. Это стандарт индустрии для классификации угроз, оценки покрытия детекции и планирования Red Team операций.1 шагов
3.
Маппинг операции на ATT&CKATT&CK Navigator — визуальный инструмент для маппинга Red Team операций на матрицу ATT&CK. Цветовое кодирование показывает покрытие тактик, выявляет пробелы в детекции и помогает заказчику понять реальный масштаб угрозы.1 шагов
4.
Adversary Emulation Plans
T2
Initial Access и C2
Ты внутри. Теперь нужно закрепиться, расширить доступ и двигаться по сети незаметно — C2, pivoting, повышение привилегий.
M3
Initial Access
5 карт · 5 шагов · тест 14 вопросов
Различия в целях, методах и результатах — и почему Red Team это не просто «пентест подороже».
1.
Фишинг: создание убедительных писемФишинг — основной вектор Initial Access в 80%+ Red Team операций. GoPhish автоматизирует кампании. Pretexts строятся на страхе, авторитете и срочности. HTML-письма имитируют корпоративные шаблоны. Обход SPF/DKIM/DMARC требует правильно настроенной инфраструктуры и lookalike-доменов.1 шагов
2.
Payload delivery: макросы, HTA и LNKVBA-макросы в Office документах — классический вектор доставки payload. HTA файлы исполняют HTML+VBScript вне браузера. LNK-ярлыки маскируют вредоносные команды под легитимные файлы. ISO/IMG контейнеры обходят Mark-of-the-Web. Microsoft отключил макросы по умолчанию в 2022 — но обходы существуют.1 шагов
T3
Lateral Movement и Evasion
Финальная фаза: закрепление, обход защиты, вывод данных и отчёт — всё, что отличает профессиональную операцию от любительской.
M6
Lateral Movement
5 карт · 5 шагов · тест 14 вопросов
Различия в целях, методах и результатах — и почему Red Team это не просто «пентест подороже».
1.
PsExec, WMI и WinRMТри столпа lateral movement в Windows — PsExec, WMI и WinRM. Impacket-инструменты (psexec.py, wmiexec.py, smbexec.py), Evil-WinRM, CrackMapExec для массового выполнения, и OPSEC-разница между «шумным» и «тихим» перемещением.1 шагов
2.
RDP, DCOM и MMCLateral movement через RDP (xfreerdp, SharpRDP без GUI), DCOM-объекты (MMC20.Application, ShellWindows, ShellBrowserWindow), и почему эти методы часто пролетают мимо EDR — они выглядят как обычная администраторская активность.1 шагов
3.
T4
Exfiltration и OPSEC
M9
Data Exfiltration
5 карт · 5 шагов · тест 13 вопросов
Различия в целях, методах и результатах — и почему Red Team это не просто «пентест подороже».
1.
Методы exfiltration: HTTP, DNS, ICMPДанные можно вытащить через любой разрешённый протокол. HTTP POST/GET, DNS-туннели (dnscat2, iodine), ICMP-каналы — три кита exfiltration, которые работают даже через корпоративные файрволы1 шагов
2.
Covert channels и стеганографияСкрытые каналы прячут сам факт коммуникации. Стеганография зашивает данные в изображения и аудио, timing channels кодируют биты задержками, а custom protocols маскируют exfil под легитимный трафик1 шагов
3.
Cloud exfiltration и storage abuseОблачные сервисы — идеальный канал exfiltration. AWS S3, Azure Blob, Telegram-боты, Pastebin, file.io — трафик к ним легитимен, зашифрован TLS, и ни один файрвол не заблокирует amazonaws.com
Adversary Emulation — воспроизведение TTP реальных APT-групп по задокументированным планам. MITRE Engenuity публикует готовые планы для APT29, FIN6, Wizard Spider. Создание собственного плана эмуляции — ключевой навык Red Team оператора.
1 шагов
5.
Purple Team и взаимодействие с Blue TeamPurple Team — методология совместной работы Red и Blue Team для максимизации ценности операции. Atomic Red Team, VECTR и структурированные учения превращают разовый пентест в непрерывное улучшение детекции.1 шагов
3.
Client-side атаки через браузер и документыClient-side атаки эксплуатируют уязвимости в ПО на стороне клиента — браузеры, PDF-ридеры, Office. Browser exploits используют 0-day/1-day в движках (V8, Blink). Вредоносные PDF содержат JavaScript и OpenAction. OneNote payloads встраивают исполняемые файлы. DDE в Office выполняет команды без макросов.1 шагов
4.
Социальная инженерия и pretextingСоциальная инженерия атакует человека, а не код. Vishing (телефонный фишинг) использует голосовые deepfakes и давление авторитетом. Smishing доставляет payload через SMS. Physical SE включает tailgating, badge cloning (HID iCLASS) и USB drops. Pretexting — создание правдоподобной легенды с документальным подтверждением.1 шагов
5.
Альтернативный Initial AccessКогда фишинг невозможен — Red Team использует альтернативные векторы. Supply chain attacks компрометируют поставщика ПО (SolarWinds, 3CX). Watering hole атакует сайты, которые посещает цель. Password spraying перебирает один пароль по всем аккаунтам. VPN/RDP compromise эксплуатирует уязвимости в периметровых сервисах.1 шагов
M4
C2 фреймворки
5 карт · 5 шагов · тест 14 вопросов
Фреймворк, которым пользуются и атакующие, и защитники — учишься маппить операции, эмулировать APT и работать в Purple Team.
1.
C2: концепция и архитектураCommand and Control — нервная система любой Red Team операции. Без C2 оператор слеп: нет управления имплантами, нет экфильтрации, нет латерального движения. Понимание архитектуры C2 — разница между успешной операцией и провалом.1 шагов
2.
Sliver: установка и первый beaconSliver — open-source C2-фреймворк от BishopFox, написанный на Go. Кроссплатформенные импланты, встроенный mutual TLS, поддержка HTTP/HTTPS/DNS/WireGuard. Это не игрушка — это инструмент, который используют реальные Red Team команды.1 шагов
3.
Cobalt Strike: обзор и возможностиCobalt Strike — золотой стандарт коммерческих C2-фреймворков. Malleable C2 profiles, Beacon Object Files, Aggressor Script — три столпа, которые делают его главным инструментом Red Team (и любимой игрушкой APT-группировок). Понять CS — значит понять, как атакуют профессионалы.1 шагов
4.
Havoc и альтернативные C2Cobalt Strike — не единственный вариант. Havoc, Mythic, Brute Ratel, Merlin, PoshC2 — каждый решает свою задачу. Знание нескольких C2 позволяет выбрать оптимальный инструмент под конкретную операцию и обойти детекцию, заточенную под один фреймворк.1 шагов
5.
C2 profiles и обход детекцииC2-трафик детектируется по паттернам: предсказуемые интервалы, подозрительные URI, аномальные JA3-хеши. Malleable profiles, jitter, sleep obfuscation, domain fronting и CDN hiding превращают C2-трафик в невидимку для SOC, SIEM и threat intelligence платформ.1 шагов
M5
Persistence
5 карт · 5 шагов · тест 13 вопросов
Фишинг, вредоносные документы, атаки на периметр — первый шаг внутрь, от которого зависит вся операция.
1.
Windows persistence: registry и servicesRun/RunOnce ключи реестра, создание вредоносных сервисов, COM hijacking и DLL hijacking — четыре столпа Windows persistence, которые используют APT-группировки для закрепления в инфраструктуре.1 шагов
2.
Windows persistence: scheduled tasks и WMIScheduled tasks (schtasks) и WMI Event Subscriptions — два мощнейших механизма Windows persistence, которые позволяют запускать payload по расписанию, по событию, при логине — без единого файла в автозапуске.1 шагов
3.
Linux persistence: cron, SSH и backdoorsCrontab, SSH authorized_keys, модификация .bashrc/.profile, вредоносные systemd-сервисы и PAM-бэкдор — пять основных техник закрепления в Linux, от простых до kernel-level. Каждая переживает ребут и маскируется под легитимную активность.1 шагов
4.
Userland vs Kernel persistence: ring3 vs ring0Userland (Ring 3) persistence работает на уровне приложений — LD_PRELOAD, hooking, process injection. Kernel (Ring 0) persistence — rootkits, DKOM, загружаемые модули ядра — даёт полный контроль над ОС и невидимость для стандартных инструментов.1 шагов
5.
Golden persistence: AD-based техникиAdminSDHolder, SID History injection, GPO persistence, Skeleton Key и DSRM backdoor — пять техник закрепления в Active Directory, которые переживают смену паролей, переустановку ОС и даже увольнение скомпрометированного администратора.1 шагов
Lateral movement через Active Directory
Злоупотребление инфраструктурой AD для lateral movement — GPO abuse для массового выполнения кода, кража LAPS-паролей, атаки через SCCM, Printer Bug (SpoolService) для принудительной аутентификации и PetitPotam для relay на ADCS.
1 шагов
4.
Credential harvesting: mimikatz и alternativesИзвлечение credentials из памяти и с диска — mimikatz (sekurlsa::logonpasswords, sekurlsa::wdigest), дамп lsass через MiniDump/comsvcs.dll, pypykatz для оффлайн-анализа, SafetyKatz, nanodump и техники обхода Credential Guard.1 шагов
5.
Pivoting для lateral movementТехники pivoting для доступа к изолированным сегментам сети — SSH-туннели (local/remote/dynamic), SOCKS-прокси с proxychains, chisel для HTTP-туннелей через файрволы, ligolo-ng для полноценного VPN, и multi-hop pivoting через цепочку скомпрометированных хостов.1 шагов
M7
Privilege Escalation advanced
5 карт · 5 шагов · тест 13 вопросов
Фреймворк, которым пользуются и атакующие, и защитники — учишься маппить операции, эмулировать APT и работать в Purple Team.
1.
Windows PrivEsc: services и registry — unquoted paths, weak permissions, writable servicesСлужбы Windows — золотая жила для повышения привилегий. Unquoted service paths, слабые ACL на сервисы и ключи реестра, AlwaysInstallElevated — всё это даёт SYSTEM за минуты.1 шагов
2.
Windows PrivEsc: tokens и impersonation — SeImpersonate, Potato family, PrintSpooferТокены доступа Windows — ключ к impersonation-атакам. SeImpersonatePrivilege + правильный эксплойт (Potato, PrintSpoofer, GodPotato) = мгновенный SYSTEM из сервисного аккаунта.1 шагов
3.
Linux PrivEsc: sudo, SUID и capabilities — GTFOBins, PATH hijacking и не толькоsudo -l — первая команда после получения шелла на Linux. Неправильная конфигурация sudo, SUID-бинарники и Linux capabilities дают root быстрее любого kernel exploit.1 шагов
4.
Linux PrivEsc: kernel exploits и cron — DirtyPipe, DirtyCow, writable cron, wildcard injectionЯдро Linux — последний рубеж обороны. Когда sudo и SUID не помогли, kernel exploit даёт root напрямую. DirtyPipe, DirtyCow и cron-абьюз — грубая сила и хитрость.1 шагов
5.
Автоматизация PrivEsc: winPEAS и linPEAS — всё, что нужно знатьwinPEAS и linPEAS — главные инструменты автоматической разведки для повышения привилегий. Плюс PowerUp, Seatbelt, linux-exploit-suggester. Запуск одной команды — и все векторы перед тобой.1 шагов
M8
AV EDR Evasion
5 карт · 5 шагов · тест 15 вопросов
Фишинг, вредоносные документы, атаки на периметр — первый шаг внутрь, от которого зависит вся операция.
1.
Как работают AV и EDRАнтивирусы ищут сигнатуры и эмулируют код, EDR перехватывает системные вызовы через userland hooks и ETW — понимание обоих механизмов необходимо для любого обхода1 шагов
2.
AMSI bypass: техники и скриптыAMSI сканирует PowerShell, VBScript и .NET в памяти до выполнения — но его можно обойти патчингом amsi.dll, обфускацией или рефлексией, открывая дорогу к post-exploitation без детекта1 шагов
3.
Process injection и shellcode executionProcess injection позволяет запустить свой код внутри легитимного процесса — от классического CreateRemoteThread до продвинутого process hollowing и NtMapViewOfSection, каждый с разным уровнем скрытности1 шагов
4.
Payload obfuscation и packingXOR и AES шифрование скрывают shellcode от сигнатур, custom encoders и packers меняют структуру бинарника, а ScareCrow и Nim/Go loaders создают payload с нуля — превращая детектируемый Cobalt Strike beacon в невидимку1 шагов
5.
Living off the Land: LOLBinsLOLBins — это легитимные бинарники Windows (certutil, mshta, rundll32, regsvr32), которые можно использовать для загрузки, выполнения и проксирования payload без установки дополнительного ПО — AV доверяет им по умолчанию1 шагов
1 шагов
4.
Шифрование и сжатие данныхПеред exfiltration данные нужно сжать, зашифровать и разбить на части. GPG, AES-256, 7z с паролем, split + base64 — арсенал подготовки данных, который превращает 500 MB дампа в поток нечитаемых чанков1 шагов
5.
Обход DLP системDLP-системы ищут паттерны, ключевые слова и аномалии. Encoding tricks, protocol switching, slow exfil и использование легитимных каналов обходят 90% коммерческих DLP — потому что нельзя заблокировать то, что выглядит как обычный рабочий трафик1 шагов
M10
OPSEC и финальная операция
5 карт · 5 шагов · тест 14 вопросов
Фреймворк, которым пользуются и атакующие, и защитники — учишься маппить операции, эмулировать APT и работать в Purple Team.
1.
OPSEC: принципы операционной безопасностиПять шагов OPSEC — единственное, что отделяет профессиональную Red Team операцию от шумного пентеста, по которому SOC проведёт атрибуцию за 15 минут.1 шагов
2.
Anti-forensics и cleanupПрофессиональный Red Team не просто удаляет файлы — он переписывает временные метки, чистит MFT-записи и стирает журналы так, чтобы даже DFIR-команда с X-Ways не восстановила хронологию атаки.1 шагов
3.
Reporting: отчёт Red Team операцииОтчёт — единственное, что остаётся после операции. Если ты нашёл 47 уязвимостей, но не смог объяснить бизнес-импакт CEO за 2 минуты — операция провалена.1 шагов
4.
Debrief и lessons learnedDebrief — это не формальность. Это момент, когда Red Team и Blue Team вместе разбирают каждый шаг атаки, находят слепые зоны детекции и строят план, чтобы реальный атакующий не прошёл тем же путём.1 шагов
5.
Финальный проект: полная Red Team операцияКапстоун: ты проведёшь полный цикл Red Team операции — от первого OSINT-запроса до финального отчёта. Всё, что ты учил в 49 уроках, собирается в одну связную атаку. Это твой экзамен.1 шагов
