橫向移動，是攻擊者侵入企業(yè)系統(tǒng)時，獲取相關(guān)權(quán)限及重要數(shù)據(jù)的常見攻擊手法。了解橫向移動的原理有助于個人和企業(yè)更好地維護網(wǎng)絡(luò)安全。中安網(wǎng)星特此推出了橫向移動科普系列，本系列共有三篇文章，我們會以簡單輕松的話語為大家講解橫向移動的內(nèi)容。綜合【安全科普】系列前兩篇文章(一)?(二)內(nèi)容，我們可以得知，攻擊者在橫向移動過程中，其最終目的是登陸目標(biāo)主機并竊取機密數(shù)據(jù)。

因此我們必須采取多種防護措施，以防止攻擊者竊取密碼或進行憑證傳遞。除此之外，還可利用監(jiān)控手段來探查攻擊者的蹤跡，并增加系統(tǒng)配置以提高域內(nèi)安全性。?接下來將會詳細介紹以上所述:?

一、防止攻擊者竊取密碼

在使用WDigest（摘要式身份驗證）的系統(tǒng)中，密碼會以明文形式存儲在內(nèi)存，攻擊者通過Mimikatz可以直接抓取密碼。為了防止密碼泄露，我們可以關(guān)閉WDigest。
但該功能只有在Windows Server 2012以上版本的系統(tǒng)才能被關(guān)閉，而在Windows Server 2012以下版本的系統(tǒng)中只能通過安裝補丁KB2871997來解決問題。

KB2871997支持RDP 網(wǎng)絡(luò)登錄，即在登錄過程中使用登錄令牌來進行身份驗證。這種方法不會在RDP服務(wù)器中存儲用戶憑證，用戶注銷時，也會清除主機緩存中的憑證，以此來保護憑證安全。

同時，KB2871997支持創(chuàng)建“受保護的用戶”組。只要把域功能級別設(shè)置為Windows Server 2012 R2，系統(tǒng)就會創(chuàng)建受保護的組，在該組中的用戶只能使用Kerberos協(xié)議進行身份驗證。相比于WDigest，Kerberos驗證方式更安全，因為它不會在內(nèi)存中存儲明文密碼。?想要防止密碼被盜的話，除了安裝補丁，我們還需要對攻擊者常用的工具進行防范，比如Mimikatz。
由于Mimikatz與內(nèi)存（LSASS進程）交互需要Debug權(quán)限，我們可以將擁有Debug權(quán)限的本地管理員從Administrators組中移出。這樣，當(dāng)攻擊者以本地管理員身份登錄時，就沒有權(quán)限使用Mimikatz從內(nèi)存導(dǎo)出密碼。?

二、防護哈希傳遞攻擊

通過以上手段，我們能有效防止黑客從系統(tǒng)中竊取明文密碼，但是當(dāng)黑客竊取到了用戶憑據(jù)，使用哈希傳遞等手段登錄系統(tǒng)時，并沒有一個能徹底解決哈希傳遞的方法，我們只能減輕這種攻擊。?這里介紹兩種方法——Defender ATP和微軟管理層模型。

Defender ATP :?是微軟提供的一種安全工具，它能檢測攻擊者訪問LSASS進程的行為。如果發(fā)現(xiàn)某時刻LSASS進程被讀取的內(nèi)存數(shù)量過多，就會報警，提示管理員“敏感憑據(jù)內(nèi)存讀取”。

微軟管理層模型?:?將不同權(quán)限的用戶劃分到不同層級，并規(guī)定高層級不能登錄低層級。舉例來說，將能夠訪問網(wǎng)絡(luò)上所有關(guān)鍵服務(wù)器的管理員劃分為第0級，將工作站管理員劃分為第2級，那么即使黑客竊取到了關(guān)鍵服務(wù)器管理員的憑證，以管理員身份也無法登錄關(guān)鍵服務(wù)器。?

三、監(jiān)控異常活動

攻擊者橫向移動過程通常難以被察覺，但我們可以分析其行為特征，監(jiān)控是否有存在滿足其特征的活動來確定系統(tǒng)是否被入侵。?對于在目標(biāo)范圍內(nèi)安裝惡意軟件的橫向攻擊行為，我們可以監(jiān)控應(yīng)用安裝情況。例如當(dāng)安裝應(yīng)用的時間固定在一個時間段，而其它時間段的安裝行為都將被認為是異常的。
攻擊者進行橫向移動攻擊的另一個典型行為就是竊取信息。通過監(jiān)控文件創(chuàng)建行為和SMB傳輸文件行為，可以發(fā)現(xiàn)遠程文件復(fù)制活動；通過監(jiān)控可移動介質(zhì)上的文件訪問，能識別可移動介質(zhì)復(fù)制行為；通過監(jiān)控多文件寫入共享能發(fā)現(xiàn)共享文件污染行為等。?如果攻擊者已進入內(nèi)網(wǎng)，為了防止他橫向移動到更多主機，我們可以監(jiān)測內(nèi)網(wǎng)中活躍的用戶賬號，將這些賬戶設(shè)置為高風(fēng)險賬戶，降低其權(quán)限，阻止其使用內(nèi)網(wǎng)資源。?監(jiān)控內(nèi)網(wǎng)中的異?；顒樱軒椭覀儼l(fā)現(xiàn)攻擊者侵入企業(yè)內(nèi)網(wǎng)的行為，以便及時采取措施阻止其損害企業(yè)利益。?

四、更改系統(tǒng)配置

給系統(tǒng)配置防火墻是防范一般網(wǎng)絡(luò)攻擊的重要手段，對橫向移動攻擊也能起到一定的作用。比如，通過配置防火墻的進站/出站規(guī)則阻止445端口的連接，能防范利用SMB協(xié)議漏洞的攻擊；啟用防火墻禁止RDP流量能防止RDP遠程連接系統(tǒng)；啟動域防火墻能阻止DCOM對象實例化。?此外，我們也可以通過配置Windows系統(tǒng)規(guī)則來防范橫向移動攻擊。
當(dāng)攻擊者利用Windows打印機后臺處理程序來執(zhí)行特權(quán)操作時，我們可以禁用“允許打印后臺處理程序接收客戶端連接”，也可以直接禁用打印后臺處理程序服務(wù)。?當(dāng)系統(tǒng)遭受NTLM中繼攻擊時，我們可以禁用NTLM并切換成Kerberos驗證，或啟用SMB簽名和LDAP簽名等。（NTLM中繼攻擊：攻擊者劫持受害者會話，將受害者憑證轉(zhuǎn)發(fā)到其它服務(wù)器獲取信任）?正確配置系統(tǒng)規(guī)則，不僅能防范橫向移動攻擊，還能保護系統(tǒng)資源的合法使用?

# 結(jié)語?#

到這三篇企業(yè)內(nèi)網(wǎng)中的橫向移動安全科普介紹就結(jié)束了。
攻擊者進行橫向移動的手法多種多樣，以上方法并不能完全防范橫向移動攻擊。要有效阻止橫向移動，需要分析具體事件來制定有針對性的防護措施。

尤其是在企業(yè)等組織機構(gòu)中，由于內(nèi)網(wǎng)的復(fù)雜性，攻擊團伙的手段也比較高超，一般的防護手段不能有效地防范橫向移動攻擊，要保護企業(yè)內(nèi)網(wǎng)安全，最好選擇專業(yè)的運營團隊。

接下來的【安全科普】會針對橫向移動的重災(zāi)區(qū)〝AD域〞進行介紹，期間會增加線上直播形式，只要關(guān)注公眾號并回覆〝我想進群!〞即可獲取進群資訊，歡迎大家入群，在群內(nèi)一起探討〝橫向移動〞，更有不定期抽獎活動，敬請期待~