内网环境下的横向移动总结

admin管理员组

文章数量:1595244

前言

在内网渗透中，当攻击者获取到内网某台机器的控制权后，会以被攻陷的主机为跳板，通过收集域内凭证等各种方法，访问域内其他机器，进一步扩大资产范围。通过此类手段，攻击者最终可能获得域控制器的访问权限，甚至完全控制基于Windows操作系统的整个内网环境，控制域环境下的全部机器。

横向移动，是攻击者侵入企业系统时，获取相关权限及重要数据的常见攻击手法。了解横向移动的原理有助于个人和企业更好地维护网络安全。

近年来，随着网络攻击、勒索事件频发，企业安全防护需求迅速上升，传统安全防护中以密码和权限管理为核心的单一防护模式愈发不能满足目前的网络安全环境。因而，深入了解攻击思路，“对症下药”，是目前网络安全行业发展的重要方向。

本篇文章将就“横向移动”这一典型攻击行为进行简单阐述，从攻击者视角还原“横向移动”攻击过程中的典型场景，为深入剖析“横向移动”攻击行为提供简单参考。

简单来讲，横向移动是指攻击者成功攻击一台计算机后，由该计算机横向跨越到另一台计算机，获取相关权限，进而窃取敏感信息的活动。

从定义上来看，我们不难发现，“横向移动”攻击的主要目标是企业关键信息及相关管理权限，而横向跨越的攻击属性也表明这一攻击行为多数情况下发生在企业内网中。

换个角度来讲，也正是由于企业内网中计算机存在聚集性，以及内网中一些集权管理设备储存有大量身份凭证信息及关键数据，使得企业内网更容易成为攻击者的目标，也就成为了横向移动的重灾区。

横向移动威胁

威胁密码安全

黑客横向移动的过程可能导致密码失窃，从而威胁到计算机内文件数据的安全。在企业办公网络中，大部分办公电脑都设置有密码、登录凭证，用以防止数据等相关私密文件被他人查看。这种情况下，黑客想要横向移动到加密主机，就要通过一些手段来获取密码，或窃取登录凭证。与其他的攻击方式相同，“弱口令”是黑客获取密码最简单的一类途径。尤其是主机RDP相关的弱口令，这类系统远控桌面服务的弱口令一旦被黑客利用，就能通过“撞库”等方式暴力破解，进而实现内网计算机的远程控制。而黑客窃取登陆凭证的方式主要包括：lsass内存读取、注册表读取、ntds 数据库读取等。在通过一系列手段窃取到登陆凭证后，黑客就能通过哈希传递、票据传递的方式登录目标主机。以上两种方式作为黑客横向移动的初始步骤，被广泛应用于APT攻击及横向移动攻击相关的威胁事件中。 例如，在前不久的美国燃油管道勒索攻击事件中，darkside攻击团伙从文件、内存和域控制器中收集凭据，并利用这些凭据来登录其它主机，再对重要数据和控制端口进行加密，进而实施勒索。 由此可见，横向移动造成的密码失窃严重威胁到包括关键基础设施在内的多种网络设施安全。 

威胁主机安全

黑客在横向移动中使用远程控制目标主机的方式，导致主机安全受到威胁。 由于Windows系统自带连接远程主机执行命令的功能。在黑客获得账号密码的情况下，可以通过IPC（进程间通信）连接目标主机，建立安全通道，在该通道传输加密数据。而Windows的计划任务功能也常被黑客利用来定时激活病毒木马，达到长期威胁内网主机的目的。除了windows系统自带功能，黑客还经常使用一些工具来进行远程控制：

Psexec由于其强大的提权和远程命令执行能力，在横向移动中应用非常普遍。它不仅能以system权限来运行指定应用程序，还能在本机生成命令提示符窗口，只要输入命令，就能在远程主机上执行并返回结果。

Psexec被众多安全厂商加入查杀黑名单后，近几年，通过调用WMI来进行远程操作的工具也屡见不鲜。（WMI是一项Windows管理技术，通过它可以访问、配置、管理几乎所有计算机资源。）相比于Psexec，使用WMI执行远程命令基本不会在远程主机上留下日志，让黑客的行为显得更隐蔽。调用WMI来进行横向移动的工具包括WMIEXEC.exe、WMIEXEC.vbs脚本、Invoke-Command.ps1脚本和Invoke-WMIMethod.ps1脚本。其中WMIEXEC.vbs脚本可以获取远程主机的半交互式Shell，执行单条命令并返回显示结果。（Shell为用户提供了可以访问操作系统内核服务的界面） 

威胁信息安全

黑客进行横向移动攻击，会窃取和泄漏大量信息，直接威胁信息安全。 几乎所有针对企业进行攻击的事件都与信息窃取相关。一旦突破安全边界进入内网，黑客们就会使用各种手段横向移动渗透内网其它主机，尤其是敏感信息存放主机。在勒索攻击事件中，最常见的勒索方式是：攻击者将信息加密后，以公开其机密数据的方式要挟赎金。 比如，著名的勒索攻击团伙海莲花，其常用手法是在内网中建立立足点后使用Cobalt Strike进行横向移动。通过Cobalt Strike扫描内网中存在的各类漏洞和配置问题，利用扫描结果进一步控制其它主机。最终窃取包括商业机密、机密谈话日志和进度计划等在内的各种资料，严重威胁制造、媒体、银行、酒店和基础设施的网络安全。

横向移动威胁的特点

由上，我们可以总结出横向移动威胁的特点，即威胁面大，威胁性强。 

如何理解威胁面大？

从目标对象来说，横向移动威胁的不是某一台主机，而是多台主机，甚至整个内网。从黑客目的来说，黑客要利用他掌握的信息威胁企业，必须掌握到关键且大量的数据，就要通过横向移动不断扩大资产范围。 

如何理解威胁性强？

黑客为了造成更大影响，通常选择重要的信息系统，如金融、电信、交通、能源等计算机系统，利用横向移动进行大面积网络攻击，导致系统瘫痪，严重影响基本的社会生活。如前文提到的美国燃油管道勒索攻击事件，和爱尔兰医疗服务机构遭受Conti勒索软件攻击事件，还有加拿大保险公司guard.me遭受网络攻击事件…… 另外，横向移动造成的影响让企业在后续恢复中也面临较大的困难。企业需要消耗许多人力财力对本次攻击溯源，找到并修补内网存在的漏洞，还需要耗费大量时间精力还原被黑客破坏的文件等资源，重新启动业务系统。

利用psexec

利用psexec.exe工具

下载地址：https://docs.microsoft/zh-cn/sysinternals/downloads/psexec

psexec 是 windows 下非常好的一款远程命令行工具。psexec的使用不需要对方主机开方3389端口，只需要对方开启admin$共享 (该共享默认开启)。但是，假如目标主机开启了防火墙，psexec也是不能使用的，会提示找不到网络路径。由于psexec是Windows提供的工具，所以杀毒软件将其列在白名单中。

psexec的基本原理：

• 1. 通过ipc$连接admin$，释放二进制文件psexecsvc.exe到目标

• 1. 通过服务管理SCManager远程创建一个psexec服务，并启动服务

• 1. 客户端连接执行命令，服务端通过服务启动相应的程序执行命令并回显数据

• 1. 运行结束后删除服务

psexec的使用前提：

• 对方主机开启了 admin$共享，如果关闭了admin$共享，会提示：找不到网络名

• 对方未开启防火墙

• 如果是工作组环境，则必须使用administrator用户连接（因为要在目标主机上面创建并启动服务），使用其他账号(包括管理员组中的非administrator用户)登录都会提示访问拒绝访问。

• 如果是域环境，即可用普通域用户连接也可以用域管理员用户连接。连接普通域主机可以用普通域用户，连接域控只能用域管理员账户。

使用如下命令：

• -accepteula：第一次运行psexec会弹出确认框，使用该参数就不会弹出确认框

• -u：用户名

• -p：密码

• -s：以system权限运行运程进程，获得一个system权限的交互式shell。如果不使用该参数，会获得一个连接所用用户权限的shell

PsExec64.exe -accepteula \\192.168.10.3 -u WIN-U8TRGT93CTR\administrator -p <password> -s cmd.exe

这里也可以先建立ipc连接后直接调用PsExec64.exe调用cmd

net use \\192.168.10.3\ipc$ <password> /user:administrator

PsExec64.exe -a

本文标签： 横向内网环境