红队视角下内网渗透中的 “横向移动” 实战指南
💡
原文中文,约8000字,阅读约需19分钟。
📝
内容提要
横向移动是攻击者在入侵主机后,通过该主机扩展权限并访问其他系统的过程。这是红队攻击链中的关键环节,影响内网渗透能力。常用技术包括凭证重用和远程执行,需考虑目标优先级和检测规避能力。有效的横向移动策略能提高攻击成功率。
🎯
关键要点
- 横向移动是攻击者在入侵主机后,通过该主机扩展权限并访问其他系统的过程。
- 横向移动是红队攻击链中的核心环节,影响内网渗透能力。
- 常用技术包括凭证重用和远程执行,需考虑目标优先级和检测规避能力。
- 有效的横向移动策略能提高攻击成功率。
- 横向移动的起点是初始被控主机,终点是高价值资产如域控制器。
- MITRE ATT&CK框架中的横向移动定位为T1021,包含多种子技术。
- 红队在制定横向移动策略时需考虑目标优先级、检测规避能力、可用资源和时间成本。
- 主动探测型策略风险高,适用于缺乏凭证的初始阶段;被动利用型策略风险低,适用于已有凭证的情况。
- Pass-the-Hash和Pass-the-Ticket是红队核心战术,能避开传统的密码输入逻辑。
- Mimikatz是提取NTLM哈希和Kerberos票据的常用工具。
- PsExec、WMI和WinRM是常见的远程执行技术,各有特点和适用场景。
- 在高权限环境中,使用凭据重用或GPO部署策略更为有效。
- 建议红队在不同环境下灵活切换策略,最大化攻击收益。
- 横向移动路径规划应优先进行,以避免盲目扫描触发防御警报。
❓
延伸问答
什么是横向移动,它在红队攻击链中有什么作用?
横向移动是攻击者在入侵主机后,通过该主机扩展权限并访问其他系统的过程,是红队攻击链中的核心环节,影响内网渗透能力。
红队在进行横向移动时需要考虑哪些策略?
红队需考虑目标优先级、检测规避能力、可用资源和时间成本等因素,以制定有效的横向移动策略。
常用的横向移动技术有哪些?
常用技术包括凭证重用(如Pass-the-Hash和Pass-the-Ticket)和远程执行(如PsExec、WMI和WinRM)。
什么是Pass-the-Hash攻击,它如何绕过身份验证?
Pass-the-Hash攻击允许攻击者使用提取的NTLM哈希值直接访问远程系统,而无需明文密码,从而绕过传统的身份验证机制。
在高权限环境中,红队应如何进行横向移动?
在高权限环境中,红队应优先使用凭据重用或GPO部署策略,以避免暴露攻击特征并提高成功率。
如何使用PsExec进行远程命令执行?
使用PsExec时,可以通过提供NTLM哈希值而非明文密码,执行远程命令,例如:psexec \目标IP -u 用户名 -p "" -hashes :哈希值 cmd.exe。
➡️
