攻防演练中红队常用的攻击方法之横向移动(上)

横向移动,是攻击者侵入企业系统时,获取相关权限及重要数据的常见攻击手法。了解横向移动的原理有助于个人和企业更好地维护网络安全。

中安网星特此推出了横向移动科普系列,本系列共有三篇文章。

近年来,随着网络攻击、勒索事件频发,企业安全防护需求迅速上升,传统安全防护中以密码和权限管理为核心的单一防护模式愈发不能满足目前的网络安全环境。因而,深入了解攻击思路,“对症下药”,是目前网络安全行业发展的重要方向。

本篇文章将就“横向移动”这一典型攻击行为进行简单阐述,从攻击者视角还原“横向移动”攻击过程中的典型场景,为深入剖析“横向移动”攻击行为提供简单参考。

简单来讲,横向移动是指攻击者成功攻击一台计算机后,由该计算机横向跨越到另一台计算机,获取相关权限,进而窃取敏感信息的活动。

从定义上来看,我们不难发现,“横向移动”攻击的主要目标是企业关键信息及相关管理权限,而横向跨越的攻击属性也表明这一攻击行为多数情况下发生在企业内网中。

换个角度来讲,也正是由于企业内网中计算机存在聚集性,以及内网中一些集权管理设备储存有大量身份凭证信息及关键数据,使得企业内网更容易成为攻击者的目标,也就成为了横向移动的重灾区。

基于这样的前提,本篇文章将以“企业内网中的横向移动”攻击路径为例,尽量全面的展示“横向移动”攻击的思路与方法。

一、企业内网中的横向移动

假设一家企业将保存有所有计算机用户账号密码信息的文件存放在域控主机上,同时设置只有管理员才可以查看。

现在有一位经验丰富的黑客想要窃取该文件。

Step 1 : 【信息收集】

首先黑客通过一系列攻击手段进入一台普通员工的计算机,但是这台计算机上只有该员工平时工作使用的PPT,文件等内容,没有高敏感信息。

此时他将收集域内信息,探查可能保存机密文件和敏感信息的主机位置,确定横向移动的目标。

分析后,黑客发现该企业采用的是AD域来管理内网计算机用户,根据经验得知,域控上存储有所有计算机用户的账号密码信息,于是他决定横向移动到域控主机。

 

Step 2 :【域控登录】

一般情况下,域控主机设置有高加密型的登录验证方式,如果黑客能够获得域控主机的登录密码,那么他就可以伪装成正常用户登录。

在采用kerberos登录验证的域环境中,正常用户登录时先输入密码在Kerberos服务器上进行验证,验证成功后,该服务器会发送给用户一个凭证证明其合法性,用户利用该凭证才可以登录计算机使用内网资源。

但一般情况下,域控主机的密码不会在普通主机上留下记录,也较难通过暴力破解的方式获取明文密码。

此时,黑客会在已控制的普通主机上查找与目标主机和环境相关的信息,获知目标主机开放的端口、存在的漏洞等,然后利用该漏洞渗透目标主机获取凭证,再使用哈希传递、黄金白银票据等方式进行登录。


尽管黑客完成了登录步骤,但是在最终的文件获取环节上,域控通常还有一道防线,即“权限限制”。

 Step 3 : 【权限获取】

这正是我们设置的第二层防护——对特定文件实行白名单制度,限制用户查看权限。

这种情况下,黑客通常会通过一些提权手法来突破限制,比如系统溢出漏洞提权、数据库提权、系统配置错误提权等,我们将这类手法统称为“权限提升”。

横向移动与权限提升同属攻击链的上下游位置。就攻击效果来说,前者主要体现在被控制计算机的数量,后者主要体现在对单个计算机控制的程度,一个作用于扩大作战区域,一个作用于收刮区域资源。

所以现在黑客离窃取我们的用户信息文件只差最后一步了——通过权限提升的方法来获取相应文件的查看权限。

 

最终,通过横向移动、登录突破、权限提升的过程,黑客完成了对关键信息与敏感数据的获取。除此以外,还能以域控主机为跳板,横向移动到其它域内主机,通过已获取的密码直接登录目标主机,执行远程命令,完成域内控制,进而以关键信息与权限为由,实施勒索行为。

 

二、结语

通过上文的攻击实例,我们展示了一个相对简单的“横向移动”攻击链路模型。

实际上,在横向移动攻击过程中,攻击者不仅可以运用相关技术与思路访问共享文件夹、凭证等敏感信息,也可以通过“横向移动”的方法渗透其它主机,窃取商业数据、财务信息等。正因如此,“横向移动”的技术与攻击思路被广泛应用于网络攻击,尤其是针对企业用户的APT(高级可持续性威胁)攻击中。

在下一篇“横向移动”系列文章中,我们将为大家详细介绍“横向移动”攻击对于企业网络安全防护造成的重大威胁。