【安全科普】企业内网中的横向移动（二）（内网 横向移动）

【安全科普】企业内网中的横向移动（二）（内网 横向移动）

横向移动是在复杂的内网GJ中被广泛应用的一种方式，也是APT（高级可持续威胁）GJ的重要组成部分。横向移动主要在APT的后续GJ中发挥作用，用于窃取大量信息资产以及进行更深入的ST。

除APT威胁事件以外，当前企业所面临的勒索问题和内部威胁也大多与〝横向移动〞有关。接下来我们将分别讨论横向移动是如何威胁密码安全、主机安全以及信息安全的：

【威胁密码安全】

HK横向移动的过程可能导致密码失窃，从而威胁到计算机内文件数据的安全。

在企业办公网络中，大部分办公电脑都设置有密码、登录凭证，用以防止数据等相关私密文件被他人查看。这种情况下，HK想要横向移动到加密主机，就要通过一些手段来获取密码，或窃取登录凭证。

与其他的GJ方式相同，“弱口令”是HK获取密码最简单的一类途径。尤其是主机RDP相关的弱口令，这类系统远控桌面服务的弱口令一旦被HK利用，就能通过“撞库”等方式暴力破解，进而实现内网计算机的远程控制。

而HK窃取登陆凭证的方式主要包括：lsass内存读取、注册表读取、ntds 数据库读取等。在通过一系列手段窃取到登陆凭证后，HK就能通过哈希传递、票据传递的方式登录目标主机。

以上两种方式作为HK横向移动的初始步骤，被广泛应用于APTGJ及横向移动GJ相关的威胁事件中。

例如，在前不久的美国燃YG道勒索GJ事件中，darksideGJ团伙从文件、内存和域控制器中收集凭据，并利用这些凭据来登录其它主机，再对重要数据和控制端口进行加密，进而实施勒索。

由此可见，横向移动造成的密码失窃严重威胁到包括关键基础设施在内的多种网络设施安全。

【威胁主机安全】

HK在横向移动中使用远程控制目标主机的方式，导致主机安全受到威胁。

由于Windows系统自带连接远程主机执行命令的功能。在HK获得账号密码的情况下，可以通过IPC（进程间通信）连接目标主机，建立安全通道，在该通道传输加密数据。

而Windows的计划任务功能也常被HK利用来定时激活病毒木马，达到长期威胁内网主机的目的。

除了windows系统自带功能，HK还经常使用一些工具来进行远程控制：

Psexec由于其强大的提权和远程命令执行能力，在横向移动中应用非常普遍。它不仅能以system权限来运行指定应用程序，还能在本机生成命令提示符窗口，只要输入命令，就能在远程主机上执行并返回结果。

Psexec被众多安全厂商加入查杀黑名单后，近几年，通过调用WMI来进行远程操作的工具也屡见不鲜。（WMI是一项Windows管理技术，通过它可以访问、配置、管理几乎所有计算机资源。）

相比于Psexec，使用WMI执行远程命令基本不会在远程主机上留下日志，让HK的行为显得更隐蔽。

调用WMI来进行横向移动的工具包括WMIEXEC.exe、WMIEXEC.vbs脚本、Invoke-Command.ps1脚本和Invoke-WMIMethod.ps1脚本。

其中WMIEXEC.vbs脚本可以获取远程主机的半交互式Shell，执行单条命令并返回显示结果。（Shell为用户提供了可以访问操作系统内核服务的界面）

【威胁信息安全】

HK进行横向移动GJ，会窃取和泄漏大量信息，直接威胁信息安全。

几乎所有针对企业进行GJ的事件都与信息窃取相关。一旦突破安全边界进入内网，HK们就会使用各种手段横向移动ST内网其它主机，尤其是敏感信息存放主机。

在勒索GJ事件中，最常见的勒索方式是：GJ者将信息加密后，以公开其机密数据的方式要挟赎金。

比如，著名的勒索GJ团伙海莲花，其常用手法是在内网中建立立足点后使用Cobalt Strike进行横向移动。通过Cobalt Strike扫描内网中存在的各类漏洞和配置问题，利用扫描结果进一步控制其它主机。最终窃取包括商业机密、机密谈话日志和进度计划等在内的各种资料，严重威胁制造、媒体、银行、酒店和基础设施的网络安全。

【横向移动威胁的特点】

由上，我们可以总结出横向移动威胁的特点，即威胁面大，威胁性强。

如何理解威胁面大？

从目标对象来说，横向移动威胁的不是某一台主机，而是多台主机，甚至整个内网。

从HK目的来说，HK要利用他掌握的信息威胁企业，必须掌握到关键且大量的数据，就要通过横向移动不断扩大资产范围。

如何理解威胁性强？

HK为了造成更大影响，通常选择重要的信息系统，如金融、电信、交通、能源等计算机系统，利用横向移动进行大面积网络GJ，导致系统瘫痪，严重影响基本的社会生活。

如前文提到的美国燃YG道勒索GJ事件，和爱尔兰医疗服务机构遭受Conti勒索软件GJ事件，还有加拿大保险公司guard.me遭受网络GJ事件……

另外，横向移动造成的影响让企业在后续恢复中也面临较大的困难。企业需要消耗许多人力财力对本次GJ溯源，找到并修补内网存在的漏洞，还需要耗费大量时间精力还原被HK破坏的文件等资源，重新启动业务系统。

【结语】

HK横向移动的手段已经非常成熟。除了病毒中的自动化横向移动模块，目前也已经有许多横向移动的工具被广泛使用。

因此，对横向移动的防护是目前内网安全防护中的重中之重。其核心目标是，即使HK进入企业内网，也能通过一系列防护手段阻止他ST到更多主机，为相关权限及关键数据提供安全防护。

下一篇文章中，我们会给大家介绍横向移动防护的相关内容。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。