谈谈网络安全中横向移动策略

admin 2022年11月26日21:50:39评论45 views字数 1802阅读6分0秒阅读模式

 

序言

现在的许多网络安全攻击中,引人注目的攻击都涉及横向移动,成功的横向移动攻击可以使攻击者闯入用户现有系统,并访问系统资源。

防止当今最危险的横向移动战术变得越来越重要,攻击者使用各种策略来移动而不被发现。


对于防御者来说,知道要寻找什么是实现更有效网络保护的第一步,下面整理下可用于防御横向移动的一些安全策略。

 

远程服务创建

攻击者可以通过和Windows 服务(例如服务控制管理器)交互的方法来执行二进制文件、命令或脚本,以创建新服务来远程执行代码并在环境中横向移动或使用Windows sc.exe 保持持久性效用。

攻击者首先将文件复制到远程系统,然后使用远程过程调用 (RPC)、Windows Management Instrumentation (WMI) 或 PsExec 创建并启动服务。

 

远程桌面协议

远程桌面如今很普遍,允许用户远程登录交互式会话。不幸的是,攻击者可以使用窃取的凭据和帐户信息来利用远程桌面协议 (RDP)、连接到系统并扩展他们的访问权限。

现在的攻击者以惊人的速度使用窃取的凭据,通常是为了利用 RDP 并且通常将其作为一种持久性机制。

 

powerShell远程

PowerShell (PS) Remoting 本质上是构建在 Windows 远程管理 (WinRM) 协议之上的本机 Windows 远程命令执行功能。


PowerShell 远程处理允许攻击者像访问任何其他终端服务一样访问另一台计算机的控制台并执行命令或 PS 脚本。

 

WMI远程

Windows Management Instrumentation (WMI) 定义为为本地和远程访问 Windows 系统组件提供统一环境的 Windows 管理功能,它依靠 WMI 服务进行本地和远程访问,并依靠服务器消息块 (SMB) 和远程过程调用服务 (RPCS)] 进行远程访问。


希望与本地和远程系统交互的攻击者可以使用 WMI 来执行包括信息收集和远程文件执行在内的功能。

 

 

执行器

PsExec 是包含在 Sysinternals Suite 中的工具。虽然最初旨在作为系统管理员通过在远程主机上运行命令来执行维护任务的便捷工具,但它已成为网络旋转的标准工具,使用一个受感染的系统作为立足点进一步危害其他设备。


作为横向移动的一部分,攻击者可以使用 PsExec 创建和启动 Windows 服务并在另一个系统上运行它们的代码。

 

DCOM

Microsoft将Microsoft 组件对象模型 (COM) 定义为“一种独立于平台、分布式、面向对象的系统,用于创建可以交互的二进制软件组件”。DCOM 是“Microsoft 的 OLE(复合文档)、ActiveX(启用 Internet 的组件)以及其他技术的基础技术”。


攻击者可以使用 RPC 访问绑定到远程系统上的 COM 对象的 DCOM 接口,该接口公开代码执行功能以横向移动。

 

RDP劫持

攻击者可以利用 Windows RDP 功能接管之前断开的会话,并伪装成合法用户以获得系统访问和控制。要进行 RDP 劫持,攻击者可以“恢复”先前断开的 RDP 会话,这将授予他们访问特权系统的权限,而无需窃取凭据。


防御者很难检测到此活动,因为它看起来好像用户正在恢复授权会话。但实际上,它是攻击者在整个系统中横向移动的起点。

 

哈希传递

攻击者可能会利用窃取的密码哈希来‘传递哈希’,从而绕过正常的系统访问控制在环境中横向移动。该策略允许攻击者使用用户密码的 NTLM 或 LanMan 哈希而不是密码本身对远程服务器或服务进行身份验证。


传递哈希攻击利用了身份验证协议中的一个弱点,其中密码哈希在会话之间保持静态,直到用户更改密码。


文件重定向

文件夹重定向和漫游配置文件允许系统管理员在 VDI 环境中配置共享用户文件夹,以便用户可以访问他们的文档并无缝工作。


如果攻击者可以写入这些文件夹,他们就可以上传恶意代码,以窃取用户重新连接到其漫游配置文件时随连接尝试发送的身份验证详细信息。

 

小结

防御策略并不是万能的,并无法能够防御全部的横向移动攻击,攻击者最终会找到绕过外围防御并进入网络的方法,尤其是在资金充足、组织严密的攻击者越来越普遍的情况下。


识别网络中的攻击者和攻击活动至关重要。现代攻击者在寻找有价值的资产和进一步升级攻击的方法时,几乎总是通过不断尝试在整个系统中横向移动。


通过构建更好的网络可见性和检测能力,防御者可以让攻击者的攻击变得更加困难。 

结束


 

原文始发于微信公众号(安全架构):谈谈网络安全中横向移动策略

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月26日21:50:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   谈谈网络安全中横向移动策略http://cn-sec.com/archives/1419153.html

发表评论

匿名网友 填写信息