横向移动如何阻止以及防范?

最新推荐文章于 2024-10-07 18:38:39 发布
最新推荐文章于 2024-10-07 18:38:39 发布
阅读量1.5k 收藏 1
点赞数 2
分类专栏: Cyber-Security 文章标签: 横向移动 EDR 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53009585/article/details/133881522
版权

文章目录

背景

今天面试,面试官问到了这一个问题,云主机被getshell了,进行了横向移动,如何进行阻止以及防范?当时回答了两个点:通过防火墙出入站策略设置黑名单、EDR设备拦截;面试官问还有吗(当时还想着回答纵深防御,觉得太泛泛就没有说出来),我内心:……;
但是我遇到的几个场景大部分是公司旁站被打穿之后,就直接把上面的业务下线了……(确实可以防范横向移动)

总结

大部分都是日常防范措施

EDR设备监测 (这里以奇安信网神云锁为例)

在这里插入图片描述

使用EDR工具收集的数据并训练基于AI的网络安全软件,以留意未经授权的访问及可能存在恶意网络活动的其他异常行为,做公司内网资产管理,主要功能包括:
行为管理-服务行为:梳理对外服务进程及其子进程进行的命令执行,文件创建,网络外联行为,用户通过验证行为清单后,可开启告警模式实现服务行为白名单,但出现新增行为时将立即产生告警事件通知用户
风险发现-弱口令:很多横向移动的方式都是通过弱口令,已经口令复用(多账号使用同一个口令)进行传递的,EDR可以尝试爆破进行检测是否有弱口令的风险
风险发现-历史漏洞:通过集中管理、周期性扫描,从多个维度对目标服务器进行脆弱性扫描和整体评估分析,使用nDay进行模糊测试
系统防护-文件监控与防护:对受保护文件违反规则的进行拦截。可以对监控文件进行读取、写入、删除、创建、执行、链接、重命名的操作行为,并记录日志到日志分析
全局设置-IP黑白名单:这里通俗易懂就是拉黑ip操作

日后学会了其他防御方式再回来补

今天是 几号
关注
专栏目录
内网渗透-内网环境下的横向移动总结
lza20001103的博客
08-19 1500
内网环境下的横向移动总结
内网渗透测试第五章——横向移动攻防
山己见的博客
09-09 743
常用Windows远程连接和相关命令 IPC IPC(Internet Process Connection)共享“命名管道”的资源,是为了实现进程间通信而开放的命名管道。IPC可以通过验证用户名和密码获得相应的权限,通常在远程管理计算机和查看计算机的共享资源时使用。 通过ipcs,可以与目标机器建立连接。利用这个连接,不仅可以访问目标机器中的文件,进行上传、下载等操作,还可以在目标机器上运行其他命令,以获取目标机器的目录结构、用户列表等信息。 利用条件 开启了139、445端口 ipcs可以实现远程登
第5章域内横向移动分析及防御
willow_liang的博客
12-26 4015
第5章域内横向移动分析及防御 域内横向移动投不定在夏杂的内网攻击中被广泛使用的一种技术,尤其是在高级持续威胁(Advanced Persistent Threats,APT中。攻击者会利用该技术,以被攻陷的系统为跳板,访问其他域内主机,扩大资产范围(包括跳板机器中的文档和存储的凭证,以及通过跳板机器连接的数据库、域控制器或其他重要资产)。 通过此类攻击手段,攻击者最终可能获取域控制器的访问权限,甚至完全控制基于Windows操作系统的基础设施和与业务相关的关键账户。因此,必须使用强口令来保护特权用户不被
深度解析内网横向移动及防御策略
最新发布
waitaikong_的博客
10-07 1550
本文旨在深入探讨横向移动攻击的各个阶段、攻击手段及其防御策略,为企业提供一套全面且深入的防御体系构建指南,以应对日益复杂的内网安全威胁。信息收集作为横向移动攻击的起始步骤,对于攻击者来说至关重要。横向移动攻击是指攻击者在成功入侵内网的某一系统后,不直接进行破坏性行为,而是通过进一步的信息收集、凭证窃取、漏洞利用等手段,逐步渗透并控制更多主机和资源的过程。被动信息收集,顾名思义,是指攻击者在不主动与网络进行直接交互的前提下,通过分析现有的系统数据、文件、日志等信息资源,来间接获取内网的关键情报。
内网环境横向移动——如何防范
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
01-26 999
黑客横向移动的手段已经非常成熟。除了病毒中的自动化横向移动模块,目前也已经有许多横向移动的工具被广泛使用。因此,对横向移动的防护是目前内网安全防护中的重中之重。其核心目标是,即使黑客进入企业内网,也能通过一系列防护手段阻止他渗透到更多主机,为相关权限及关键数据提供安全防护。我们可以得知,攻击者在横向移动过程中,其最终目的是登陆目标主机并窃取机密数据。因此我们必须采取多种防护措施,以防止攻击者窃取密码或进行凭证传递。除此之外,还可利用监控手段来探查攻击者的踪迹,并增加系统配置以提高域内安全性。
攻防演练中红队常用的攻击方法之横向移动(下)
ZAWX_NETSTARSEC的博客
07-05 405
启动域防火墙能阻止DCOM对象实例化。通过以上手段,我们能有效防止黑客从系统中窃取明文密码,但是当黑客窃取到了用户凭据,使用哈希传递等手段登录系统时,并没有一个能彻底解决哈希传递的方法,我们只能减轻这种攻击。尤其是在企业等组织机构中,由于内网的复杂性,攻击团伙的手段也比较高超,一般的防护手段不能有效地防范横向移动攻击,要保护企业内网安全,最好选择专业的运营团队。如果攻击者已进入内网,为了防止横向移动到更多主机,我们可以监测内网中活跃的用户账号,将这些账户设置为高风险账户,降低其权限,阻止其使用内网资源。
内网环境下的横向移动总结
hongduilanjun的博客
07-21 2728
前言在内网渗透中,当攻击者获取到内网某台机器的控制权后,会以被攻陷的主机为跳板,通过收集域内凭证等各种方法,访问域内其他机器,进一步扩大资产范围。通过此类手段,攻击者最终可能获得域控制器的访问权限,甚至完全控制基于Windows操作系统的整个内网环境,控制域环境下的全部机器。横向移动,是攻击者侵入企业系统时,获取相关权限及重要数据的常见攻击手法。了解横向移动的原理有助于个人和企业更好地维护网络安全。...
网络安全】企业内网中的横向移动
HBohan的博客
08-25 1561
横向移动,是攻击者侵入企业系统时,获取相关权限及重要数据的常见攻击手法。了解横向移动的原理有助于个人和企业更好地维护网络安全。 中安网星特此推出了横向移动科普系列,本系列共有三篇文章,我们会以简单轻松的话语为大家讲解横向移动的内容。 近年来,随着网络攻击、勒索事件频发,企业安全防护需求迅速上升,传统安全防护中以密码和权限管理为核心的单一防护模式愈发不能满足目前的网络安全环境。因而,深入了解攻击思路,“对症下药”,是目前网络安全行业发展的重要方向。 本篇文章将就“横向移动”这一典型攻击行为进行简单阐述,从攻击
【安全科普】企业内网中的横向移动(三)
ZAWX_NETSTARSEC的博客
08-19 728
横向移动,是攻击者侵入企业系统时,获取相关权限及重要数据的常见攻击手法。了解横向移动的原理有助于个人和企业更好地维护网络安全。 中安网星特此推出了横向移动科普系列,本系列共有三篇文章,我们会以简单轻松的话语为大家讲解横向移动的内容。 综合【安全科普】系列前两篇文章(一)(二)内容,我们可以得知,攻击者在横向移动过程中,其最终目的是登陆目标主机并窃取机密数据。 因此我们必须采取多种防护措施,以防止攻击者窃取密码或进行凭证传递。除此之外,还可利用监控手段来探查攻击者的踪迹,并增加系统配置以提高域内安.
6. 在网络中横向移动和侧向渗透
网络横向移动和侧向渗透是指攻击者在成功入侵一台计算机系统后,利用各种手段和技术进一步延伸攻击范围,横向移动到其他主机或系统,并试图获取更多的权限和敏感信息的行为。横向移动和侧向渗透是当前网络攻击中的...
第六章-17 横向渗透
划水的小白白
12-05 501
一、定义 网上找到有段话很不错,摘抄过来。 二、信息收集 1.环境说明 环境说明:与socks那篇文章一样,或者说这是那篇文章的进阶 此时已经将MSF使用socks到win ser服务器。 2.具体操作 通过上篇文章讲解的,我们可以简单收集到另一台内网机器的IP为:192.168.228.131。 因为CS的信息收集毕竟是基础的,我们可以在msf中调用nmap对目标进行端口探测。 , 我们看到,目标开启了这么多的端口。 这些脚本都是MSF自带的。可以根据收集的信息去搜索一些相关漏洞进行攻击
2024HW ---->内网横向移动
huohaowen的博客
04-21 1432
在蓝队的面试过程中,如果你会内网渗透的话,那是肯定的一个加分选项!!!那么从今天开始,我们就来讲一下内网横向移动!!!
内网横向移动—ARP攻击&图片捕捉&数据劫持&DNS劫持
剁椒鱼头没剁椒的博客
08-12 1954
ARP(Address Resolution Protocol)是一种TCP/IP协议,用于根据IP地址获取物理地址。在计算机发送信息时,如果需要知道目标IP地址的物理地址,就会使用ARP协议。该协议会通过将目标IP地址广播到局域网上的所有主机,并接收返回的消息来获取目标物理地址。一旦收到返回的消息,计算机就会将该IP地址和物理地址存入本机ARP缓存中,以便下次请求时直接查询,从而节约资源。
论道攻防|内网防护三大神器带你“行兵布阵”
2201_75362610的博客
04-26 741
近年来,随着全球范围内网络实战发生的频率越高,采用的技术难度越高,各国之间也加大对攻防演练的重视。不管是网络实战还是攻防演练的对抗过程中,防守方不仅要防止外部突破,也要。在网络安全形势日趋复杂的环境下,攻击手段层出不穷,攻击工具日益先进。比如,黑客在取得外网可访问的单台服务器权限后,下一步往往以所控制的服务器为跳板向未直接暴露在公网的内网服务器进行进一步渗透。此外,。为了防止企业或机构的内网攻击者当做后花园畅游,乃至被拖库后还不自知等情况发生,。
第140天:内网安全-横向移动&局域网&ARP欺骗&DNS劫持钓鱼&中间人单双向
weixin_71529930的博客
09-03 1005
dns会优先从本地缓存>host文件>本地dns服务器>根域dns服务器>顶级dns服务器>权威dns服务器。这个实验的原理应该就是告诉dns我时被控主机,告诉被控主机我是dns,开启转发的话,还能正常访问,关闭的话就不行了。原理:一台主机不停的向另一台主机发送数据包,并告诉他我是网关,我的ip是网关ip,mac地址却不对应,导致被攻击主机找不到网关,就没有网络。双向原理: 就是告诉网关,我是被控制的主机,告诉被控制主机,我是网关,如果开启转发的话,那么流量都会通过攻击主机。
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&入口差异&切换上线&IPC管道&AT&SC任务&Impacket套件&UI插件
06-22
本文将深入探讨“红队内网攻防渗透”,重点介绍内网对抗中的横向移动策略、不同入口差异、上线切换技巧,以及利用IPC管道、AT任务、SC服务、Impacket工具套件和UI插件等技术手段。 首先,横向移动内网渗透的关键...
如何实时监测网络安全威胁?
Galaxy_0的博客
11-14 142
检测流量中的ip、域名、传输的文件和特殊流量的特征,跟威胁情报中匹配,检测是否存在风险,比如:ips、waf、ids、威胁流量分析设备等安全设备,都会具有其中的一部份能力,识别到风险特征后,会进行拦截或告警。:这部分是可以通过解析流量中的流量,做统计分析,比如:解析网络中的ssh协议爆破行为、web应用爆破行为等,统计出来也可以知道一部份网络态势情况,当然最好还是购买成熟的安全流量分析产品。
内网安全:横向传递攻击(SMB || WMI 明文或 hash 传递)
网络安全领域___专研者.
06-09 3105
横向移动就是在拿下对方一台主机后,以拿下的那台主机作为跳板,对内网的其他主机再进行后面渗透,利用既有的资源尝试获取更多的凭据、更高的权限,一步一步拿下更多的主机,进而达到控制整个内网、获取到最高权限、发动高级持续性威胁攻击的目的.(传递攻击主要建立在明文和Hash值获取基础上进行攻击.)
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值