攻防演练中红队常用的攻击方法之横向移动(上)

这篇具有很好参考价值的文章主要介绍了攻防演练中红队常用的攻击方法之横向移动(上)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

横向移动,是攻击者侵入企业系统时,获取相关权限及重要数据的常见攻击手法。了解横向移动的原理有助于个人和企业更好地维护网络安全。

中安网星特此推出了横向移动科普系列,本系列共有三篇文章。

近年来,随着网络攻击、勒索事件频发,企业安全防护需求迅速上升,传统安全防护中以密码和权限管理为核心的单一防护模式愈发不能满足目前的网络安全环境。因而,深入了解攻击思路,“对症下药”,是目前网络安全行业发展的重要方向。

本篇文章将就“横向移动”这一典型攻击行为进行简单阐述,从攻击者视角还原“横向移动”攻击过程中的典型场景,为深入剖析“横向移动”攻击行为提供简单参考。

简单来讲,横向移动是指攻击者成功攻击一台计算机后,由该计算机横向跨越到另一台计算机,获取相关权限,进而窃取敏感信息的活动。

从定义上来看,我们不难发现,“横向移动”攻击的主要目标是企业关键信息及相关管理权限,而横向跨越的攻击属性也表明这一攻击行为多数情况下发生在企业内网中。

换个角度来讲,也正是由于企业内网中计算机存在聚集性,以及内网中一些集权管理设备储存有大量身份凭证信息及关键数据,使得企业内网更容易成为攻击者的目标,也就成为了横向移动的重灾区。

基于这样的前提,本篇文章将以“企业内网中的横向移动”攻击路径为例,尽量全面的展示“横向移动”攻击的思路与方法。

一、企业内网中的横向移动

假设一家企业将保存有所有计算机用户账号密码信息的文件存放在域控主机上,同时设置只有管理员才可以查看。

现在有一位经验丰富的黑客想要窃取该文件。

Step 1 : 【信息收集】

首先黑客通过一系列攻击手段进入一台普通员工的计算机,但是这台计算机上只有该员工平时工作使用的PPT,文件等内容,没有高敏感信息。

此时他将收集域内信息,探查可能保存机密文件和敏感信息的主机位置,确定横向移动的目标。

分析后,黑客发现该企业采用的是AD域来管理内网计算机用户,根据经验得知,域控上存储有所有计算机用户的账号密码信息,于是他决定横向移动到域控主机。

攻防演练中红队常用的攻击方法之横向移动(上),网络,安全,运维

 

Step 2 :【域控登录】

一般情况下,域控主机设置有高加密型的登录验证方式,如果黑客能够获得域控主机的登录密码,那么他就可以伪装成正常用户登录。

在采用kerberos登录验证的域环境中,正常用户登录时先输入密码在Kerberos服务器上进行验证,验证成功后,该服务器会发送给用户一个凭证证明其合法性,用户利用该凭证才可以登录计算机使用内网资源。

但一般情况下,域控主机的密码不会在普通主机上留下记录,也较难通过暴力破解的方式获取明文密码。

此时,黑客会在已控制的普通主机上查找与目标主机和环境相关的信息,获知目标主机开放的端口、存在的漏洞等,然后利用该漏洞渗透目标主机获取凭证,再使用哈希传递、黄金白银票据等方式进行登录。

攻防演练中红队常用的攻击方法之横向移动(上),网络,安全,运维
尽管黑客完成了登录步骤,但是在最终的文件获取环节上,域控通常还有一道防线,即“权限限制”。

 Step 3 : 【权限获取】

这正是我们设置的第二层防护——对特定文件实行白名单制度,限制用户查看权限。

这种情况下,黑客通常会通过一些提权手法来突破限制,比如系统溢出漏洞提权、数据库提权、系统配置错误提权等,我们将这类手法统称为“权限提升”。

横向移动与权限提升同属攻击链的上下游位置。就攻击效果来说,前者主要体现在被控制计算机的数量,后者主要体现在对单个计算机控制的程度,一个作用于扩大作战区域,一个作用于收刮区域资源。

所以现在黑客离窃取我们的用户信息文件只差最后一步了——通过权限提升的方法来获取相应文件的查看权限。

攻防演练中红队常用的攻击方法之横向移动(上),网络,安全,运维

 

最终,通过横向移动、登录突破、权限提升的过程,黑客完成了对关键信息与敏感数据的获取。除此以外,还能以域控主机为跳板,横向移动到其它域内主机,通过已获取的密码直接登录目标主机,执行远程命令,完成域内控制,进而以关键信息与权限为由,实施勒索行为。

攻防演练中红队常用的攻击方法之横向移动(上),网络,安全,运维

 

二、结语

通过上文的攻击实例,我们展示了一个相对简单的“横向移动”攻击链路模型。

实际上,在横向移动攻击过程中,攻击者不仅可以运用相关技术与思路访问共享文件夹、凭证等敏感信息,也可以通过“横向移动”的方法渗透其它主机,窃取商业数据、财务信息等。正因如此,“横向移动”的技术与攻击思路被广泛应用于网络攻击,尤其是针对企业用户的APT(高级可持续性威胁)攻击中。

在下一篇“横向移动”系列文章中,我们将为大家详细介绍“横向移动”攻击对于企业网络安全防护造成的重大威胁。文章来源地址https://www.toymoban.com/news/detail-522810.html

到了这里,关于攻防演练中红队常用的攻击方法之横向移动(上)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全攻防演练项目介绍

    有很多朋友问我写的攻防演练是什么? 本文给予回答 网络安全攻防演练是公安部组织的面向税务、电力、电信、银行、铁路、财政、广电、水利、教育、互联网、检察院、法院、石油、交通等行业的政府单位/公司,开展的实战攻防演练,也简称为护网。 攻防演练主要目标是

    2024年02月09日
    浏览(45)
  • 网络安全实战攻防演练应急处置预案

    1.1 监测阶段 (1) 蜜罐系统,还用于将检测到的疑似社会工程学攻击事件发送给控制器;控制器,还用于将蜜罐系统发送的疑似社会工程学攻击事件存储至数据存储系统,并向事件分析系统下发与疑似社会工程学攻击事件对应的事件类型判断指令。 (2) 收到钓鱼邮件。 (

    2024年02月02日
    浏览(56)
  • 『哈士奇赠书31期』- 『网络靶场与攻防演练』

    《网络靶场与攻防演练》全面阐述了网络靶场与攻防演练的基础理论、重要技术与实施要点,梳理了网络靶场的演进脉络与发展趋势,总结了网络靶场的常见类型与应用模式,围绕实现主流网络靶场所需的关键技术地图、系统平台、核心能力、建设路径和运营模式,结合具体

    2024年02月16日
    浏览(40)
  • 红蓝攻防演练怎样构建实战化网络安全防御体系

    笔者简介                团队以攻防技术为核心,在云端大数据支撑下聚焦威胁检测和响 应,具备咨询规划、威胁检测、攻防演练、持续响应、预警通告、安 全运营等一系列实战化服务能力,是一支能够为客户提供全周期安全 保障服务的专业网络安保和应急响应团队

    2024年02月01日
    浏览(61)
  • 智安网络|攻防演练对抗:网络边界自动化防御的关键

    在当今高度互联的数字世界中,网络安全的重要性日益凸显。为了应对不断增长的网络威胁,组织和企业需要采取主动的防御策略,其中攻防演练对抗和自动化防御在保护网络边界方面扮演着重要的角色。本文将探讨攻防演练对抗的意义,并介绍如何通过自动化防御技术来增

    2024年02月11日
    浏览(46)
  • 8、内网安全-横向移动&RDP&Kerberos攻击&SPN扫描&WinRM&WinRS

    用途:个人学习笔记,有所借鉴,欢迎指正 目录 一、域横向移动-RDP-明文NTLM 1.探针服务: 2.探针连接: 3.连接执行: 二、域横向移动-WinRMWinRS-明文NTLM 1.探针可用: 2.连接执行: 3.上线 CSMSF: 4.CS 内置横向移动 三、域横向移动-SpnKerberos-请求破解重写 Kerberoasting攻击的利用:

    2024年02月19日
    浏览(40)
  • 网络安全:网络攻击原理与常用方法.

    网络攻击:是损害网络系统安全属性的危害行为。 危害行为 导致网络系统的 机密性、完整性、可控性、真实性、抗抵赖性 等受到不同程度的破坏。 常见的危害行为有四个基本类型: 网络攻击模型: 网络攻击会发展的趋势: 网络攻击一般过程: 网络攻击常见技术方法 (

    2024年02月12日
    浏览(66)
  • 2022 全球网络黑产常用攻击方法 Top 10

    近几年,借助互联网产业发展的东风,网络黑产也迎来更加巅峰的状态,不论是从攻击效率,组织规模,亦或是收益变现能力,都在一天天变的成熟完善。根据艾瑞咨询 2020 年发布的《现代网络诈骗分析报告》,全国黑产从业者已经超过 40 万人,依托其从事网络诈骗的人数至

    2023年04月25日
    浏览(55)
  • 【内网安全】搭建网络拓扑,CS内网横向移动实验

    实验拓扑结构如下: **攻击者win10地址:**192.168.8.3 dmz win7地址: 10.9.75.49 172.16.1.1 **DC server2008地址:**172.16.1.254 CS服务器 kali: 10.9.75.171 1、搭建CS服务器,CS客户端连接 攻击者充当CS客户端连接 开启监听 生成木马 攻击者win10 攻击者访问dmz的Web服务器,上传一句话木马,蚁剑连

    2024年02月03日
    浏览(46)
  • 网络攻防技术——缓冲区溢出攻击(基于服务器)

          缓冲区溢出 被定义为程序试图将数据写入缓冲区边界之外的情况。恶意用户可以利用此漏洞更改程序的流控制,从而导致恶意代码的执行。本实验的目的是让学生对这种类型的漏洞有实际的了解,并学习如何利用攻击中的漏洞。      在这个实验中,学生将得到四个不

    2024年02月02日
    浏览(67)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包