中国红队工具箱分析
一、概述
1. 背景
中国网络安全行业在过去几年中被广泛记录和分析。自 I-Soon 泄密事件及后续事件曝光以来,越来越清楚的是,部分私营商业部门有时会代表中国政府从事网络攻击行动。
2. 获取渠道
通过特殊渠道,获得了一份来自中国活跃渗透测试人员和安全分析师的工具箱。
3. 分析目的
本文旨在分析中国渗透测试专业人员使用的工具集合,了解中国红队的工具生态和工作模式。
4. 免责声明
这些软件包并非明确由中国 APT 组织或国家级黑客使用,而是提供了基层士兵可能使用的工具概览。
二、工具分类
1. BURP Suite 及插件
Burp Suite 由 PortSwigger 开发,是全球范围内流行的渗透测试和安全工具,在中国渗透测试人员中同样广受欢迎。
A. 中国开发的插件
| 插件名称 | 功能描述 | 状态 |
|---|---|---|
| ByPassPro | 基于 AutoBypass403 的自动化权限绕过工具 | 活跃 |
| Domain Hunter Pro | Burp 目标信息管理集成 | 活跃 |
| MingDong | 丰富的 Burp Suite 插件集合,提供中文本地化版本 | 较老 |
| OneScan | 递归目录扫描插件 | 2025年6月停止维护 |
| Turbo-intruder | PortSwigger 的补充插件,发送大量 HTTP 请求 | 2020年停止维护 |
| xia_yue | HTTP 权限提升自动化工具 | 活跃 |
| xia_sql | SQL 注入工具 | 活跃 |
| TsojanScan | TsojanScanTeam 开发的扩展漏洞检测插件 | 活跃 |
B. 插件特点分析
这些插件大多封装了已知的技术和漏洞利用模式,是中国市场特有的本地化工具。
2. 中国本土工具
A. Godzilla(哥斯拉)
Godzilla 是一个 Webshell 和漏洞利用框架,特点包括:
- 使用 AES 加密网络流量以规避检测
- 功能强大且全面
- 被官方归因于与中国国家相关的攻击者
- 2021 年被用于攻击美国基础设施
- CISA 和 DHS 曾发布详细分析报告
B. LiqunKit
LiqunKit 是另一个中文漏洞利用框架:
- 最后重大更新约在 2021 年
- 专注于 MySQL、Oracle、Redis、PostgreSQL、Struts、Weblogic 等漏洞
- 包含一些办公自动化漏洞利用
C. 天狐渗透工具箱
这是一个相当全面的商业漏洞利用元框架:
- 不专注于特定的载荷或漏洞利用
- 为 Cobalt Strike、Burp 等知名漏洞利用框架提供控制中心
- 社区版 V2.0 纪念版
D. NacosExploitGUI
针对阿里巴巴 NACOS 服务的漏洞利用框架:
- 集成默认密码漏洞检测和利用
- SQL 注入漏洞利用
- 认证绕过漏洞利用
- 反序列化漏洞利用
三、工具生态系统架构
graph TB
subgraph 主框架
A[Burp Suite]
B[天狐工具箱]
C[LiqunKit]
end
subgraph Webshell
D[Godzilla]
end
subgraph 专用工具
E[NacosExploitGUI]
end
subgraph 自定义脚本
F[python.py]
G[sql.py]
end
A --> A1[ByPassPro]
A --> A2[Domain Hunter Pro]
A --> A3[OneScan]
A --> A4[xia_sql]
B --> B1[Cobalt Strike 集成]
B --> B2[Burp 集成]
E --> E1[默认密码利用]
E --> E2[SQL 注入]
E --> E3[反序列化]
F --> F1[文件服务器]
G --> G1[SOAP 包装 SQL]
四、实际渗透测试案例分析
从同一操作者的安全测试报告中,可以看到以下实际攻击案例:
1. Nacos 实体漏洞利用
通过利用 Nacos 漏洞获取 Webshell 访问权限。
2. Kubernetes 集群访问
通过获取管理员配置文件访问 Kubernetes 集群,数据集中包含完整的 Kubernetes 配置转储。
3. 数据库权限提升
通过利用 Nacos 进行 SQL 注入获取数据库权限。
4. 阿里云资源获取
通过 Access/Secret Key 泄露获取 55 个云服务器实例,加上 OSS(阿里云对象存储)访问权限。
sequenceDiagram
participant P as 渗透测试者
participant T as 目标系统
participant C as 云服务
P->>T: Nacos 漏洞扫描
T-->>P: 发现漏洞
P->>T: 利用获取 Webshell
P->>T: 提权获取配置文件
P->>T: SQL 注入攻击
P->>C: 使用泄露的 Key
C-->>P: 获取云资源访问
五、技术特点总结
1. 工具选择特点
- 国际通用工具与本土工具并存
- Burp Suite 仍是主流工具
- 针对中国广泛使用的技术栈(如阿里云 Nacos)有专门的利用工具
- 工具集涵盖了从扫描到利用的完整流程
2. 攻击模式
- 优先利用配置错误和默认密码
- 重视云服务资源的获取
- 利用常用中间件和框架漏洞
- 注重权限维持和数据窃取
3. 区域性特征
中国渗透测试工具生态系统反映了区域基础设施模式:
- 阿里云在中国及周边国家的广泛部署使得 Nacos 相关工具成为标准配置
- 区域云主导地位塑造了漏洞利用格局
六、思考与启示
1. 工具生态的本地化
尽管 Burp Suite 在全球范围内占主导地位,但不同地区仍会开发适应本地技术栈的工具。这说明:
- 工具生态系统反映了目标环境的基础设施差异
- 全球化和本地化在网络安全工具领域并存
2. 商业渗透测试与国家攻击的界限
从获取的工具箱来看:
- 这些工具大多公开可用
- 不能仅凭工具使用判断与国家行为的关联
- 商业渗透测试人员使用的工具与 APT 组织使用的工具可能存在重叠
3. 防御建议
针对中国红队工具特点,防御者应关注:
- 加强 Nacos 等国产中间件的安全配置
- 监控云服务密钥泄露
- 部署针对 Godzilla 等 Webshell 的检测规则
- 定期审计 Kubernetes 集群配置