横向移动

最新推荐文章于 2024-04-14 17:03:09 发布
最新推荐文章于 2024-04-14 17:03:09 发布
阅读量5.2k 收藏 8
点赞数 4
分类专栏: 网络安全

横向移动

横向移动—APT

Windows横向移动攻击的检测
https://www.4hou.com/technology/10430.html

  • 概述
    横向移动技术广泛应用于复杂的网络攻击中,特别是高级持续性威胁(APT)。攻击者使用这些技术访问受感染系统中的其他主机,并访问敏感资源(如邮箱,共享文件夹或凭证)。这些可以用于渗透其他机器、权限提升或者窃取更有价值的凭证。通过横向移动攻击最终可以拿到域控权限,进而控制域环境下的全部机器。

  • APT攻击中使用横向移动的经典案例

一般来说,APT攻击中有很多情况下都是从一个工作站横向移动到另一个工作站,以期待可以获得高权限账号,直到拿到域管理员登陆凭证为止。

攻击的下一步通常是访问域控制器并dump Windows域用户的全部登陆凭证。

下图展示了APT攻击中横向移动的典型攻击场景:
APT攻击中横向移动的典型攻击场景

横向移动

横向移动攻击点与识别
https://www.freebuf.com/column/178936.html

  • 概述
    攻击者进入到目标网络后,下一步就是在内网中横向移动,然后再获取数据,所以攻击者需要一些立足点,因此横向移动会包含多种方式。本文关注于在横向移动中所采用的技术手段,以及对应的案例和检测方法。

  • 攻击技术(及其对应的案例和检测方法)

  1. APPLE脚本攻击

  2. 软件安装
    根据权限,在目标范围内安装软件,也包括软件的自动更新下载。
    案例: 最著名的就是APT32了,居然入侵了McAfee的ePO服务器进行恶意软件分发,而且用的还是ePO专有协议。

防范措施:
对安装应用权限进行回收,包括防火墙,账户权限隔离,组策略和多因素验证,确保关键系统的访问隔离。定期打补丁,防止特权升级。
监控应用安装情况,应用安装固定在某个时间段,这样可以发现非正常时间段的异常安装,监控系统账户活动。

  1. DCOM
    DCOM是微软的透明中间件,可以让客户端调用服务器,一般是DLL或EXE,其中权限由注册表的ACL指定,默认只有管理员可以远程激活启动COM对象。通过DCOM,攻击者可以使用Office执行宏,甚至可以直接的shellcode。
    案例: POWERSTATS是个利用WORD钓鱼的APT工具,整个流程如下。其中PowerShell包含了一个risk的命令,则是利用了DCOM对象执行代码。

防范措施:
用Dcomcnfg.exe禁用DCOM或修改安全范围。启用Windows防火墙,默认阻止DCOM实例化,启用所有COM警报和Protected View。
监控COM对象加载DLL。监控COM对象关联的进程的生成,特别是和当前登录用户不同的用户调用。监控RPC流量的进入。

  1. 远程服务提权
    利用漏洞实现对远程系统访问,通常先是扫描查找漏洞系统,有一些很常见的漏洞比如SMB、RDP、MySQL以及各种Web,然后利用这些漏洞提升权限。

  2. 登陆脚本
    Windows可在登录系统时运行登录脚本,脚本可以执行管理功能,比如执行其他应用,发送日志之类。攻击者可以在这个脚本里插入代码,这样登陆时就可以执行攻击。既可以本地持久性,也可以全局推送。
    案例: 又是APT28,在注册表HKCU\Environment\UserInitMprLogonScript添加木马建立持久性。

防范措施:
登录脚本写权限限制为特定管理员,限制账户访问权限。应用白名单,例如AppLocker。监控异常用户、异常时间、异常访问登录脚本。查找异常帐户添加或修改的文件。

  1. Hash传递

  2. Ticket传递

  3. 远程桌面协议

  4. 远程文件复制
    文件复制差不多是横向移动的必选动作了,用到的工具可能有FTP,scp,rsync等之类,也有可能是Windows共享或RDP。在Linux,macOS,Windows三种平台都有。
    案例: 是个APT就带这个功能。工具也包括各类外部恶意代码下载。

防范措施:
IDS可以通过签名识别恶意软件流量,也可识别FTP数据传输。但攻击者一般会进行混淆,而且各种恶意软件家族版本都不同。
监控文件创建行为,监控SMB传输文件。分析网络数据,例如发送数据多于接收数据这种,就比较可疑。分析不常见的协议和端口。

  1. 远程连接服务

  2. 可移动介质复制

  3. SSH劫持

  4. WEB共享

  5. 共享文件污染
    共享服务器中的文件被污染。其中有一个技术称之为数据透视,不是excel的那个透视,是对.LNK文件的快捷方式修改,看起来像是真实目录,但其中嵌入命令执行,同时又打开真实目录,让用户误以为操作正常。
    案例: 例如Darkhotel,一个针对企业高管的APT,还有H1N1,Miner-C。 这种方法能够在几个小时内快速传播并且提权。

防范措施:
用户写权限最小化。EMET。禁止目录共享。白名单。
监控多文件写入共享,监控移动介质关联的网络连接,扫描共享目录恶意文件、隐藏文件、.LNK文件和其他罕见类型文件。

  1. 软件部署系统

  2. 隐藏共享

  3. WinRM

莫羡川
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内网横向移动思路和技巧
11-30 2万+
攻击者借助跳板机进一步入侵内网服务器后,接着会通过各种方式来获取目标系统权限,获取用户的明文密码或Hash值在内网中横向移动。最简单的方式,就是使用明文密码进行登录远程服务器。在这里,我...
Windows 横向移动的常用技术
cike_y
07-06 1744
横向移动不仅仅是需要收集明文凭据,还需要收集密文凭据,在遇到防火墙受阻和端口限制的情况下,我们可以使用建立端口转发稳定的隧道来与目标进行通信,当用户拥有某些权限时,我们也可以扩展危害性,感染其他用户来进行横向移动
横向移动的思路与实现
热门推荐
Shanfenglan's blog
08-28 10万+
前言 当拿到某域内的一台机器后,需要进一步的扩大战果,这时候就需要进行横向移动横向移动这部分的技术的都是基于信息收集的结果才能实现,信息收集很重要,切记。 推荐几种实现方式: 利用现有exp来对操作系统进行攻击,例如ms17010,ms08067等。 利用密码爆破ssh或者对smb服务进行爆破,可利用impacket工具实现。 利用服务端应用的rce漏洞,如tomcat等中间件漏洞。 制作黄金票据进行横向移动,可利用impacket与mimikatz工具实现。 利用windows的自带命令远控对方主机。
内网渗透-内网横向移动的九种方式
最新发布
lza20001103的博客
04-14 1189
内网横向移动的九种方式
【网络安全】企业内网中的横向移动
HBohan的博客
08-25 1471
横向移动,是攻击者侵入企业系统时,获取相关权限及重要数据的常见攻击手法。了解横向移动的原理有助于个人和企业更好地维护网络安全。 中安网星特此推出了横向移动科普系列,本系列共有三篇文章,我们会以简单轻松的话语为大家讲解横向移动的内容。 近年来,随着网络攻击、勒索事件频发,企业安全防护需求迅速上升,传统安全防护中以密码和权限管理为核心的单一防护模式愈发不能满足目前的网络安全环境。因而,深入了解攻击思路,“对症下药”,是目前网络安全行业发展的重要方向。 本篇文章将就“横向移动”这一典型攻击行为进行简单阐述,从攻击
横向移动检测之远程执行(一)PsExec
qq_27828281的博客
09-18 4416
横向移动——PsExec远程执行分析及溯源
鼠标滚轮控制网页横向移动实现思路
09-05
在网页设计中,有时我们可能需要实现非传统的滚动效果,比如通过鼠标滚轮来控制页面的横向移动。这种效果在展示宽幅图像、长表格或者水平布局的项目时特别有用。下面将详细介绍如何利用JavaScript和jQuery实现这个...
CheeseTools:自行开发的横向移动代码执行工具
08-05
通过类似 PsExec 的功能命令执行 / 横向移动。 必须在特权用户的上下文中运行。 该工具基于 CsExec,但旨在允许对服务创建进行额外控制,特别是: 创建(搜索服务是否存在,如果不存在,尝试创建) 启动(搜索...
数据窗口的横向移动
12-04
数据窗口的横向移动条是PowerBuilder中的一个重要特性,它允许用户在显示大量数据时通过滚动来查看不同部分的内容。在数据库应用开发中,数据窗口(DataWindow)是PowerBuilder的核心组件,用于展示和操作数据库中的...
横向移动与 IDS 对抗1.pdf
10-12
横向移动与 IDS 对抗1.pdf横向移动与 IDS 对抗1.pdf横向移动与 IDS 对抗1.pdf横向移动与 IDS 对抗1.pdf横向移动与 IDS 对抗1.pdf
刘美兰-横向移动车辆定义参数说明.doc
03-21
在进行桥梁结构分析时,尤其是涉及交通荷载的横向移动分析时,参数的精确设定至关重要。"刘美兰-横向移动车辆定义参数说明.doc" 文件详细介绍了如何在使用梁单元进行横向分析时设置相关参数,确保模拟真实情况下的...
五、横向移动
xlsj雪松的博客
12-25 659
以攻陷的主机为跳板,攻击域内其他主机,扩大访问范围,称为横向移动。 一 、基础知识 1.1 IPC连接 1)建立连接 通过验证用户名和密码建立与目标机器的IPC$会话连接,查看远程主机的共享资源,执行上传/下载,创建计划任务等操作。 1)建立空连接: net use \\IP\ipc$ "" /user:"" (一定要注意:这一行命令中包含了3个空格) 2)建立非空连接: net use \\IP\ipc$ "用户名" /user:"密码" (同样有3个空格) 3)映射默认共享: net u
linux 中移动命令详解,Linux基本命令详解:
weixin_28716723的博客
04-29 3776
####Ls命令:(Linux登录成功位置 默认在/root)ls(list)功能:列出目录内容(相当于在Windows当中一个文件夹下面的所有内容)查看当前文件有哪些子文件夹和文件。##参数(命令也是有参数的):-a或-all,列出文件夹下所有文件和目录。包含隐藏文件(带".",开头的是隐藏文件或文件夹)、特殊目录。-l:查询详细列表(在windows相当于直接打开文件夹查看的列表)如果又想显示...
Linux下Redis的安装以及常用命令总结
俯κǎń迗倥
04-04 218
Linux下Redis的安装和部署 一、Redis介绍 Redis是当前比较热门的NOSQL系统之一,它是一个key-value存储系统。和Memcache类似,但很大程度补偿了Memcache的不足,它支持存储的value类型相对更多,包括string、list、set、zset和hash。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作。在此基础上,Re...
内网渗透-内网代理穿透和内网横向移动
lza20001103的博客
09-23 2173
内网代理穿透和内网横向移动 文章目录内网代理穿透和内网横向移动前言内网代理穿透nctermite(ew)ssh正向代理(A,B,C)msf设置路由和sock4代理访问内网流量内网横向移动后记 前言 进入内网后,我们就要扫描内网中有哪些主机了,重点是我们外网是无法访问内网的主机的,所在网段是不一样的,这时就需要我们设置代理和路由进行访问内网的流量了。上一期讲解了信息收集的相关内容,收集网段,补丁和域中成员以及域控的信息,对以下的横向移动至关重要,对后期的提权做好了准备。 内网代理穿透 首先,我们介绍几种代理工
linux环境使用natapp实现内网穿透
robbyzhan的博客
11-13 1073
1.在natapp.cn中, 找到linux客户端下载, 将zip压缩文件复制到linux环境中 2.npm install zip; npm install unzip; 下载zip压缩和解压缩命令 3.unzip命令, 解压natapp到指定目录下 4.vim config.ini, 使得ini配置文件和 natapp可执行文件位于同级目录下 5.config.ini内容如下 [defau...
免杀横向移动工具WMIHACKER
XXR_Beta的博客
07-04 1907
免杀横向移动工具WMIHACKER交互式Shell命令执行文件上传文件下载 免杀横向渗透远程命令执行,常见的WMIEXEC、PSEXEC执行命令是创建服务或调用Win32_Process.create执行命令,这些方式都已经被杀软100%拦截,通过改造出WMIHACKER免杀横向移动测试工具。 其通过135端口进行命令执行,执行的结果读取以及无需445端口进行文件传输。此工具利用的前提条件是: 获取到目标主机的账户密码 可能会有人问既然我都拿到主机的账号密码,我远程直接登录不香吗?那远程桌面连接是不是需要开
内网横向移动——域渗透
Captain_RB的博客
09-08 2738
本文结合实践经验,详细介绍内网域渗透的基本思路和通用方法。
linux 中文 横向,linux 命令 - 横着走的螃蟹 - OSCHINA - 中文开源技术交流社区
weixin_34365489的博客
05-09 413
1、防火墙#1.iptables (centos 6.x)#a.开关chkconfig iptables on #开启,重启后生效chkconfig iptables off #关闭,重启后生效service iptables start #开启,即时生效,重启后失效service iptables stop #关闭,即时生效,重启后失效#b.使用iptables -L -n #line numb...
cobalt strike横向移动
08-19
C知道:对于Cobalt Strike的横向移动,可以通过以下几种方法实现: 1. 密码猜测和弱口令攻击:使用Cobalt Strike的Beacon模块,可以尝试猜测目标系统的密码或者利用已知的弱口令进行攻击。 2. 漏洞利用:Cobalt ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值