领导一早就拉起队伍分析了FireEye事件。整个朋友圈，安全圈也是沸腾着，但是随着分析

的深入，发现有点“小题大做”，没有想要的高尖精巧的工具和技术方案，全是一堆堆红队模拟

软件的已知攻击技术。但是站在一个红队的角度，也是收获不少。红队服务真有用假想敌手

段么？

 

 

 

在评估企业安全性时，通常采用“假设敌”的方法，这里的方法通常是APT方法。目前国内红

队使用的手段是APT手段吗？APT方法是什么？红色球队如何模仿？从防御策略来看，APT

开篇有许多样品，工具，后门等，这是显而易见的。Firefox安全人员将APT活动中的各种技

术手段制作成红队工具，用于评估企业对各种APT技术的防御能力，至少Firefox在工具层面

上达到了“假想敌”的要求。那么国内的红队呢？每个人都有自己的体会。

 

 

APT方法是什么？国内多数公司把APT追踪放在威胁情报部门，也有一些分析报告出来，从

技术角度讲，所谓的APT报告也许只能叫样本分析报告。是否对发现的技术进行了工具化，

提供给红队做红队评价，大家心里有数。如果火眼红队只有“这样的水准”，那也是一样。宣

称是世界上最懂APT的火眼，如果仅仅是战略体现层面，还有点名不副实。通过分析，大约

70%的开放源代码项目、%25左右的开放源代码项目二次开发、%10左右的开放源代码技术

实现、所有这些都是已知和公开的。不存在前瞻的技术规划，不存在大型工具平台，我要

说“我不相信”。

 

 

从战略上看待国外红队工程水平，毫不客气地说，它在国内很领先。大多数都是C#开发的，

符合国外红队的技术走向。GITHUB开源的红队工具大多都是C#开发的，我看过一些工具的

代码，水平也很一般，这也许也是火眼做了很多二次开发的原因吧！回首国内，武器化的思

想刚刚开始，谈工程化有点打脸。不具备开放源码的氛围，不具备工程能力，想开放源码的

能力就比较弱，开放源码的能力不足。金融工具的法律风险也是一个重大障碍。不懂APT也

不会写代码，你告诉我你是红队队员。

 

 

作为技术人员，还是要看技术的。大多数技术人员可能会像我一样，看看是否能把工具捞回

来，FireEYE泄露的工具，至少比开放源码工具更稳定。但是我通过md5上了VT，得到的结

论是：不！不！不！但也有一些小的启示：“GORat火眼”居然可以用，我可能得试试了。这

里还有D语言的后门，多用一点小语言可以减轻杀软对抗的痛苦。Dll劫持是一种很好的权限

维护方法，在策略中包含了很多dll劫持方案，但都是公开的。

 

各式各样的Loader制作或者对抗前沿。或者还得多造个轮子，老轮子不一定都是好轮子。已

经知道漏洞武器化还是很有必要的，相信大部分人都像我一样贪图CVE的武器化工具，下意

识的认为火眼的开发利用肯定还是不错的。我们还有很长的路要走。红色的队伍依然路途遥

远，认出差距，看清方向。最终，希望火眼公布攻击细节，希望看到黑客世界顶级高手。现

在我想说：“我裤子都脱了，你给我看看这个？”