橫向移動(dòng)，是攻擊者侵入企業(yè)系統(tǒng)時(shí)，獲取相關(guān)權(quán)限及重要數(shù)據(jù)的常見攻擊手法。了解橫向移動(dòng)的原理有助于個(gè)人和企業(yè)更好地維護(hù)網(wǎng)絡(luò)安全。中安網(wǎng)星特此推出了橫向移動(dòng)科普系列，本系列共有三篇文章，我們會(huì)以簡單輕松的話語為大家講解橫向移動(dòng)的內(nèi)容。橫向移動(dòng)是在復(fù)雜的內(nèi)網(wǎng)攻擊中被廣泛應(yīng)用的一種方式，也是APT（高級可持續(xù)威脅）攻擊的重要組成部分。橫向移動(dòng)主要在APT的后續(xù)攻擊中發(fā)揮作用，用于竊取大量信息資產(chǎn)以及進(jìn)行更深入的滲透。
除APT威脅事件以外，當(dāng)前企業(yè)所面臨的勒索問題和內(nèi)部威脅也大多與〝橫向移動(dòng)〞有關(guān)。接下來我們將分別討論橫向移動(dòng)是如何威脅密碼安全、主機(jī)安全以及信息安全的：

?# 橫向移動(dòng)威脅?#

威脅密碼安全

黑客橫向移動(dòng)的過程可能導(dǎo)致密碼失竊，從而威脅到計(jì)算機(jī)內(nèi)文件數(shù)據(jù)的安全。
在企業(yè)辦公網(wǎng)絡(luò)中，大部分辦公電腦都設(shè)置有密碼、登錄憑證，用以防止數(shù)據(jù)等相關(guān)私密文件被他人查看。這種情況下，黑客想要橫向移動(dòng)到加密主機(jī)，就要通過一些手段來獲取密碼，或竊取登錄憑證。
與其他的攻擊方式相同，“弱口令”是黑客獲取密碼最簡單的一類途徑。尤其是主機(jī)RDP相關(guān)的弱口令，這類系統(tǒng)遠(yuǎn)控桌面服務(wù)的弱口令一旦被黑客利用，就能通過“撞庫”等方式暴力破解，進(jìn)而實(shí)現(xiàn)內(nèi)網(wǎng)計(jì)算機(jī)的遠(yuǎn)程控制。
而黑客竊取登陸憑證的方式主要包括：lsass內(nèi)存讀取、注冊表讀取、ntds 數(shù)據(jù)庫讀取等。在通過一系列手段竊取到登陸憑證后，黑客就能通過哈希傳遞、票據(jù)傳遞的方式登錄目標(biāo)主機(jī)。
以上兩種方式作為黑客橫向移動(dòng)的初始步驟，被廣泛應(yīng)用于APT攻擊及橫向移動(dòng)攻擊相關(guān)的威脅事件中。?例如，在前不久的美國燃油管道勒索攻擊事件中，darkside攻擊團(tuán)伙從文件、內(nèi)存和域控制器中收集憑據(jù)，并利用這些憑據(jù)來登錄其它主機(jī)，再對重要數(shù)據(jù)和控制端口進(jìn)行加密，進(jìn)而實(shí)施勒索。?由此可見，橫向移動(dòng)造成的密碼失竊嚴(yán)重威脅到包括關(guān)鍵基礎(chǔ)設(shè)施在內(nèi)的多種網(wǎng)絡(luò)設(shè)施安全。?

威脅主機(jī)安全

黑客在橫向移動(dòng)中使用遠(yuǎn)程控制目標(biāo)主機(jī)的方式，導(dǎo)致主機(jī)安全受到威脅。?由于Windows系統(tǒng)自帶連接遠(yuǎn)程主機(jī)執(zhí)行命令的功能。在黑客獲得賬號密碼的情況下，可以通過IPC（進(jìn)程間通信）連接目標(biāo)主機(jī)，建立安全通道，在該通道傳輸加密數(shù)據(jù)。而Windows的計(jì)劃任務(wù)功能也常被黑客利用來定時(shí)激活病毒木馬，達(dá)到長期威脅內(nèi)網(wǎng)主機(jī)的目的。
除了windows系統(tǒng)自帶功能，黑客還經(jīng)常使用一些工具來進(jìn)行遠(yuǎn)程控制：
Psexec由于其強(qiáng)大的提權(quán)和遠(yuǎn)程命令執(zhí)行能力，在橫向移動(dòng)中應(yīng)用非常普遍。它不僅能以system權(quán)限來運(yùn)行指定應(yīng)用程序，還能在本機(jī)生成命令提示符窗口，只要輸入命令，就能在遠(yuǎn)程主機(jī)上執(zhí)行并返回結(jié)果。
Psexec被眾多安全廠商加入查殺黑名單后，近幾年，通過調(diào)用WMI來進(jìn)行遠(yuǎn)程操作的工具也屢見不鮮。（WMI是一項(xiàng)Windows管理技術(shù)，通過它可以訪問、配置、管理幾乎所有計(jì)算機(jī)資源。）
相比于Psexec，使用WMI執(zhí)行遠(yuǎn)程命令基本不會(huì)在遠(yuǎn)程主機(jī)上留下日志，讓黑客的行為顯得更隱蔽。調(diào)用WMI來進(jìn)行橫向移動(dòng)的工具包括WMIEXEC.exe、WMIEXEC.vbs腳本、Invoke-Command.ps1腳本和Invoke-WMIMethod.ps1腳本。其中WMIEXEC.vbs腳本可以獲取遠(yuǎn)程主機(jī)的半交互式Shell，執(zhí)行單條命令并返回顯示結(jié)果。（Shell為用戶提供了可以訪問操作系統(tǒng)內(nèi)核服務(wù)的界面）?

威脅信息安全

黑客進(jìn)行橫向移動(dòng)攻擊，會(huì)竊取和泄漏大量信息，直接威脅信息安全。?幾乎所有針對企業(yè)進(jìn)行攻擊的事件都與信息竊取相關(guān)。一旦突破安全邊界進(jìn)入內(nèi)網(wǎng)，黑客們就會(huì)使用各種手段橫向移動(dòng)滲透內(nèi)網(wǎng)其它主機(jī)，尤其是敏感信息存放主機(jī)。
在勒索攻擊事件中，最常見的勒索方式是：攻擊者將信息加密后，以公開其機(jī)密數(shù)據(jù)的方式要挾贖金。?比如，著名的勒索攻擊團(tuán)伙海蓮花，其常用手法是在內(nèi)網(wǎng)中建立立足點(diǎn)后使用Cobalt Strike進(jìn)行橫向移動(dòng)。通過Cobalt Strike掃描內(nèi)網(wǎng)中存在的各類漏洞和配置問題，利用掃描結(jié)果進(jìn)一步控制其它主機(jī)。最終竊取包括商業(yè)機(jī)密、機(jī)密談話日志和進(jìn)度計(jì)劃等在內(nèi)的各種資料，嚴(yán)重威脅制造、媒體、銀行、酒店和基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全。

?# 橫向移動(dòng)威脅的特點(diǎn)?#
由上，我們可以總結(jié)出橫向移動(dòng)威脅的特點(diǎn)，即威脅面大，威脅性強(qiáng)。?

• ?如何理解威脅面大？

從目標(biāo)對象來說，橫向移動(dòng)威脅的不是某一臺(tái)主機(jī)，而是多臺(tái)主機(jī)，甚至整個(gè)內(nèi)網(wǎng)。從黑客目的來說，黑客要利用他掌握的信息威脅企業(yè)，必須掌握到關(guān)鍵且大量的數(shù)據(jù)，就要通過橫向移動(dòng)不斷擴(kuò)大資產(chǎn)范圍。?

• ?如何理解威脅性強(qiáng)？

黑客為了造成更大影響，通常選擇重要的信息系統(tǒng)，如金融、電信、交通、能源等計(jì)算機(jī)系統(tǒng)，利用橫向移動(dòng)進(jìn)行大面積網(wǎng)絡(luò)攻擊，導(dǎo)致系統(tǒng)癱瘓，嚴(yán)重影響基本的社會(huì)生活。如前文提到的美國燃油管道勒索攻擊事件，和愛爾蘭醫(yī)療服務(wù)機(jī)構(gòu)遭受Conti勒索軟件攻擊事件，還有加拿大保險(xiǎn)公司guard.me遭受網(wǎng)絡(luò)攻擊事件……?另外，橫向移動(dòng)造成的影響讓企業(yè)在后續(xù)恢復(fù)中也面臨較大的困難。企業(yè)需要消耗許多人力財(cái)力對本次攻擊溯源，找到并修補(bǔ)內(nèi)網(wǎng)存在的漏洞，還需要耗費(fèi)大量時(shí)間精力還原被黑客破壞的文件等資源，重新啟動(dòng)業(yè)務(wù)系統(tǒng)。

?# 結(jié)語?#
黑客橫向移動(dòng)的手段已經(jīng)非常成熟。除了病毒中的自動(dòng)化橫向移動(dòng)模塊，目前也已經(jīng)有許多橫向移動(dòng)的工具被廣泛使用。
因此，對橫向移動(dòng)的防護(hù)是目前內(nèi)網(wǎng)安全防護(hù)中的重中之重。其核心目標(biāo)是，即使黑客進(jìn)入企業(yè)內(nèi)網(wǎng)，也能通過一系列防護(hù)手段阻止他滲透到更多主機(jī)，為相關(guān)權(quán)限及關(guān)鍵數(shù)據(jù)提供安全防護(hù)。
在下一篇“橫向移動(dòng)”系列文章中，我們將為大家詳細(xì)介紹“橫向移動(dòng)”防護(hù)的相關(guān)內(nèi)容。