读红蓝攻防:技术与计谋19横向移动方法下

[复制链接]
发表于 2025-6-12 05:25:26 | 显示全部楼层 |阅读模式

1. 电子邮件掠夺

1.1. 关于组织的很大一部分敏感信息存储在员工之间的电子邮件通信中
1.2. 黑客很希望能够访问单个用户的电子邮件收件箱
1.3. 可以从电子邮件中收集个人用户的信息,用于鱼叉式网络钓鱼


  • 1.3.1. 鱼叉式网络钓鱼攻击是针对特定人群的定制网络钓鱼攻击
1.4. 对电子邮件的访问也答应黑客修改他们的攻击计谋


  • 1.4.1. 如果出现告警,体系管理员通常会向用户发送电子邮件,告知事故相应流程和应接纳的预防措施

  • 1.4.2. 黑客需要这些信息来调整他们的攻击

2. 活动目次

2.1. 对于毗连到域网络的设备来说,活动目次(Active Directory,AD)是最丰富的信息源
2.2. 体系管理员通过AD控制这些毗连设备
2.3. 它可以被称为任何网络的电话簿,存储了黑客可能在网络中寻找的所有有价值的信
2.4. 网络扫描器、内部威胁和远程访问工具可被黑客用来访问AD
2.5. 黑客可以从AD中做很多事情,因此它是攻击的主要目的,也是组织努力保护承担这一角色的服务器的原因
2.6. 默认情况下,属于AD域的Windows体系中的身份验证过程将使用Kerberos进行


  • 2.6.1. 攻击AD的第一步是对环境进行侦探,这可以从域中收集根本信息开始
2.7. 要做到这一点而不制造噪声,一种方法是使用PyroTek3中的PowerShell脚本
2.8. 另一种方法是使用毛病MS14-068攻击AD


  • 2.8.1. 此毛病早在2014年11月就存在,但它是非常强盛的,由于它答应一个拥有有用域账户的用户通过在发送到密钥分发中心(Key Distribution Center,KDC)的票证哀求(TG_REQ)中创建包含管理员账户成员身份的伪造权限账户证书(Privilege Account Certificate,PAC)来获得管理员权限
3. 管理共享

3.1. 管理共享是Windows操作体系中的高级文件管理功能,答应管理员与网络上的其他管理员共享文件
3.2. 管理共享通常用于访问根文件夹,并授予对远程盘算机驱动器的读/写访问权限
3.3. 黑客可以使用管理员权限毗连到远程盘算机


  • 3.3.1. 这使得他们可以在网络中自由漫游,同时发现有用的数据或敏感的体系,从而进行窃取
4. 票据转达

4.1. 用户可以使用Kerberos票据通过Windows体系的身份验证,而无须重新输入账户密码
4.2. 偷取账户的有用票据
4.3. 凭据转储是从操作体系获取登录信息的各种方法的统称


  • 4.3.1. 为了窃取Kerberos票据,黑客必须操控域控制器的API来模仿远程域控制器提取密码数据的过程
4.4. 管理员通常运行DCSync从AD获取凭据


  • 4.4.1. 这些凭据以散列的方式进行转达

  • 4.4.2. 黑客可以运行DCSync来获取散列凭据,这些凭据可用于创建服务于Pass the Ticket攻击的黄金票据(Golden Ticket)

  • 4.4.3. 通过使用黄金票据,黑客可以为AD中列出的账户天生票据

  • 4.4.4. 票据可用于授予攻击者访问受危害用户通常有权访问的任何资源的权限

5. Sysinternals

5.1. Sysinternals是Sysinternals公司开发的一套工具,该公司后来被微软收购
5.2. 这套工具答应管理员从远程终端控制基于Windows的盘算机
5.3. 攻击者使用Sysinternals在远程主机上上传、执行可执行文件并与之交互。整个工具通过下令行界面工作,并可以编写脚本
5.4. 它的潜伏性上风显着,由于在运行时不会向远程体系上的用户发出告警
5.5. 这套工具也被Windows归类为合法的体系管理工具,因此会被反病毒步伐忽略
5.6. Sysinternals使外部人员能够毗连到远程盘算机并运行下令,这些下令可以获取正在运行的进程的信息,并在需要时终止它们或停止服务
5.7. Sysinternals工具可以在远程盘算机的后台执行许多任务,这使得它们比远程桌面步伐(Remote Desktop Program,RDP)更适用于黑客
5.8. 常用的工具


  • 5.8.1. PsExec:用于执行进程

    • 5.8.1.1. 最强盛

    • 5.8.1.2. 可以在远程盘算机上执行任何可以在本土地算机的下令提示符下运行的步伐

    • 5.8.1.3. 可以改变远程盘算机的注册表值,执行脚本和实用步伐,并将远程盘算机毗连到另一台盘算机

    • 5.8.1.4. 优点是下令的输出显示在本土地算机上,而不是远程盘算机上

    • 5.8.1.5. 纵然远程盘算机上有活动的用户,也无法检测到任何可疑活动

    • 5.8.1.6. PsExec工具通过网络毗连到远程盘算机,执行一些代码,并将输出发送回本土地算机,而不会引起远程盘算机用户的警觉

    • 5.8.1.7. 一个独特功能是它可以将步伐直接复制到远程盘算机上

    • 5.8.1.8. 如果远程盘算机上的黑客需要某个步伐,可以下令PsExec将其暂时复制到远程盘算机上,并在毗连停止后将其删除

    • 5.8.1.9. PsExec工具能够编辑注册表值,使应用步伐能以体系权限运行,并访问通常被锁定的数据

      
  • 5.8.2. PsFile:显示打开的文件

  • 5.8.3. PsGetSid:显示用户的安全标识符

  • 5.8.4. PsInfo:给出盘算机的详细信息

  • 5.8.5. PsKill:结束进程

  • 5.8.6. PsList:列出关于进程的信息

  • 5.8.7. PsLoggedOn:列出已登录的账户

  • 5.8.8. PsLogList:提取事故日志日志

  • 5.8.9. logsPsPassword:改变密码

  • 5.8.10. PsPing:启动ping哀求

  • 5.8.11. PsService:对Windows服务进行更改

  • 5.8.12. PsShutdown:关机

  • 5.8.13. PsSuspend:挂起进程

6. PowerShell

6.1. 是另一个合法的Windows操作体系工具,黑客也在使用它进行恶意攻击
6.2. 在攻击过程中使用这些合法工具的总趋势是制止被安全软件捕获


  • 6.2.1. 黑客会尽可能多地使用已知对操作体系安全合法的工具
6.3. PowerShell是一个内置的、面向对象的脚本工具,在现代版本的Windows中也可以使用


  • 6.3.1. 非常强盛,可以用来窃取内存中的敏感信息,修改体系设置,还可以自动从一个设备移动到另一个设备
6.4. 常用工具


  • 6.4.1. PowerSploit

    • 6.4.1.1. 是Microsoft PowerShell模块的集合,可用于在评估的所有阶段为渗透测试人员提供资助
      
  • 6.4.2. Nishang

7. Windows DCOM

7.1. Windows分布式组件对象模型(Distributed Component Object Model,DCOM)是一个中间件,它使用远程过程调用在远程体系上扩展组件对象模型(Component Object Model,COM)的功能
7.2. 攻击者可以使用DCOM进行横向移动,通过窃取高权限通过Microsoft Office应用步伐使其shellcode执行,或者在恶意文档中执行宏
8. Windows管理规范

8.1. Windows管理规范(Windows Management Instrumentation,WMI)是微软的内置框架,用于管理Windows体系的设置方式
8.2. 是Windows环境中的合法框架,因此黑客可以使用它而不用担心安全软件的检测


  • 8.2.1. 唯一的问题是他们必须已经有访问这台机器的权限
8.3. 该框架可用于远程启动进程,进行体系信息查询,还可以存储长期性恶意软件
8.4. 通常被黑客用作快速枚举体系的工具,对目的进行快速分类
8.5. 可以给黑客提供信息,如机器的用户、机器毗连的本地和网络驱动器、IP地址和安装的步伐
8.6. WMImplant是使用WMI框架在目的机器上执行恶意操作的黑客工具


  • 8.6.1. 有专门为远程机器横向移动计划的特定下令

  • 8.6.2. 它使黑客能够发出cmd下令、获取输出、修改注册表、运行PowerShell脚本,并最终创建和删除服务

9. TeamViewer

9.1. 第三方远程访问工具正越来越多地在入侵后使用,以便黑客搜刮整个体系
9.2. TeamViewer为毗连方提供了对远程盘算机的未经过滤的控制
9.3. 是常用的横向移动工具之一
9.4. 几乎总是可以保证数据通过TeamViewer从受害者的体系中泄露而不会受到阻碍
9.5. TeamViewer并不是唯一可以被滥用于横向移动的远程访问应用步伐
9.6. 只是它在组织中最受接待,因此许多黑客将其作为攻击目的
10. AppleScript和IPC(OS X)

10.1. OS X应用步伐为进程间通信(Inter-Process Communication,IPC)发送Apple事故信息
10.2. 可以使用AppleScript为本地或远程IPC编写这些信息的脚本
10.3. 该脚本将答应攻击者定位打开的窗口,发送击键,并在本地或远程与任何打开的应用步伐进行交互
10.4. 攻击者可以使用这种技术与OpenSSH毗连进行交互,移动到远程机器等
11. 散列转达

11.1. 散列转达(Pass-the-Hash,PtH)是一种在Windows体系中使用的横向移动技术,黑客使用口令散列对目次或资源进行身份验证


  • 11.1.1. PtH并不新鲜,它是自1997年以来使用的一种攻击手段,不仅在微软环境中使用,在苹果环境中也是如此

  • 11.1.2. PtH不仅仅是Microsoft的问题,UNIX和Linux体系也可能会遇到同样的问题

11.2. 黑客只需获得网络上用户的口令散列


  • 11.2.1. 获得散列值后,黑客将使用它来验证自己是否可以进入被入侵用户账户有权访问的其他毗连的体系和资源
11.3. 一个常用的获取散列值的工具是Mimikatz


  • 11.3.1. Mimikatz有一个sekurlsa:pass the hash下令,该下令使用NTLM散列来天生管理员账户的访问令牌
11.4. PtH仍旧是攻击者最常用的攻击方法之一


  • 11.4.1. 凭据:它们存放在哪里

    • 11.4.1.1. 在Windows身份验证过程中使用的凭据可以被操作体系浏览器缓存,以供以后使用

    • 11.4.1.2. 凭据是通过网络毗连传输的,这一点也很重要

      
  • 11.4.2. 口令散列

    • 11.4.2.1. 散列只是将数据表现为唯一字符串的一种方式

    • 11.4.2.2. 散列是安全的,由于是单向操作
      11.4.2.2.1. 它们不可逆转
      11.4.2.2.2. 有不同的散列方法,如SHA、MD5、SHA256等

    • 11.4.2.3. 攻击者通常使用暴力破解攻击从散列中获取纯文本密码

    • 11.4.2.4. 现在,攻击者乃至不需要花时间暴力破解密码,由于他们可以使用散列进行身份验证

      
11.5. 使用Pass-the-Hash的攻击者旨在


  • 11.5.1. 在工作站和服务器上使用高权限域账户登录

  • 11.5.2. 使用高权限账户运行服务

  • 11.5.3. 使用高权限账户计划任务

  • 11.5.4. 平常用户账户(本地或域)被授权给工作站上的本地管理员组成员

  • 11.5.5. 高权限用户账户可用于从工作站、域控制器或服务器上直接浏览互联网

  • 11.5.6. 为大多数或所有工作站和服务器上的内置本地管理员账户设置相同的密码

11.6. PtH缓解建议


  • 11.6.1. 学会以最少的权限进行管理

  • 11.6.2. 有专门的限制用途的工作站用于管理职责,不要使用日常工作站毗连到互联网和数据中心

    • 11.6.2.1. 猛烈建议为敏感员工使用特权访问工作站(Privileged Access Workstation,PAW),并与日常职责分开
      
  • 11.6.3. 为管理员提供独立于其正常用户账户执行管理职责的账户

  • 11.6.4. 监视特权账户使用情况,看是否有异常行为

  • 11.6.5. 限制域管理员账户和其他特权账户向较低信托度的服务器和工作站进行身份验证

  • 11.6.6. 不要将服务或计划任务设置为在较低信托度体系(如用户工作站)上使用特权域账户

  • 11.6.7. 将所有现有和新的高权限账户添加到“受保护用户”组中,并确保对这些账户应用额外的强化

  • 11.6.8. 使用“拒绝RDP和交互式登录”计谋设置对所有特权账户强制执行此操作,并禁用对本地管理员账户的RDP访问

  • 11.6.9. 对远程桌面毗连应用受限管理模式

  • 11.6.10. 对特权账户使用多因子身份验证或智能卡

  • 11.6.11. 停止用列表思考,开始启用图思考

12. Winlogon

12.1. Winlogon是Windows的一个组件,负责处理安全警告序列(Secure Attention Sequence,SAS)并在登录时加载用户设置文件
12.2. 它有助于交互式登录过程
13. lsass.exe进程

13.1. lsass.exe进程用于存储非常重要和机密的信息,因此,你需要保证该进程的安全,限制/考核访问将极大地提高域控制器的安全性,然后提高整个IT体系的安全性
13.2. lsass.exe负责本地安全机构、Net Logon服务、安全账户管理器服务、LSA服务器服务、安全套接字层(Secure Sockets Layer,SSL)、Kerberos v5身份验证协媾和NTLM身份验证协议
13.3. 安全账户管理器(SAM)数据库


  • 13.3.1. SAM数据库作为文件存储在本地磁盘上,是每台Windows盘算机上本地账户的权势巨子凭据存储区

  • 13.3.2. 该数据库包含盘算机特有的所有本地凭据,包括内置的本地管理员账户和该盘算机的其他本地账户

  • 13.3.3. SAM数据库中从来不存储口令,只存储口令散列

13.4. 域活动目次数据库(NTDS.DIT)


  • 13.4.1. 域活动目次数据库(NTDS.DIT)

  • 13.4.2. 域中的每个域控制器都包含域的AD数据库的完整副本,包括域中所有账户的账户凭据

  • 13.4.3. AD数据库存储每个账户的许多属性

    • 13.4.3.1. 当前密码的NT散列

    • 13.4.3.2. 密码历史记载的NT散列(如果已经设置)​

      
13.5. 凭据管理器(CredMan)存储


  • 13.5.1. 用户可以选择使用应用步伐或通过凭据管理器控制面板小步伐在Windows中保存密码

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!  更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×
回复

使用道具 举报

登录后关闭弹窗

登录参与点评抽奖  加入IT实名职场社区
去登录
快速回复 返回顶部 返回列表