长亭百川云 - 文章详情

应急响应之横向移动

huasec

61

2024-07-13

01

SMB横向移动

    默认情况下,Windows 提供了c$、admins$ 和 IPC$共享,这些共享可通过管理员帐户访问。攻击者一旦提升了权限,就会从其他主机映射这些共享并复制恶意软件进行横向移动。由于使用的是Windows 本机服务(如 net.exe)连接到共享,所以在横向移动时会产生较少的告警。

下面举例说明。该命令映射计算机192.168.68.128的c$至本机的M盘。

net use m:\\192.168.68.128\C$ /USER:administrator

执行该命令后,攻击主机上会生成一条4648的登录记录,目标端口是445

受害主机上同时也会生成三条日志,

4776 —计算机尝试验证帐户的凭据

4672 —分配新登录用户的特殊权限

4624 —帐户已成功登录

这3个事件在主机上几乎是同时产生,生成这些事件是因为本地 NTLM 身份验证 (4776) 通过本地管理帐户 (4672) 在网络上发生。

02

PSEXEC横向移动

在横向移动过程,攻击者通常会使用PsExec在远程主机执行命令。在客户端执行psexec.exe后,如果服务器认证成功,会将psexesvc.exe上传到服务端的ADMIN$目录并作为服务运行,在执行完命令后删除对应的服务和psexesvc.exe。通过对客户端和服务端的事件日志、注册表、文件系统进行分析,可以从客户端主机获得连接的目的主机,连接时间等信息;从服务端主机可以获得连接的客户端信息,连接时间等信息。

下面举例说明。该命令使用psexec在192.168.68.128上执行命令。

psexec.exe \\192.168.68.128  -u administrator -p root@123 cmd

受害机器安全日志生成多条连续日志,其中找到事件ID4648,通过psexesvc.exe使用显式凭据登录系统,事件ID 4624认证成功,记录登录用户名,而后事件ID4672为用户提升权限,事件ID4776记录源工作站为win10,即来源主机的名称是win10,而后会在事件ID为4624记录来源IP,认证方式是ntlmssp,登录类型是3(网络)。

系统日志,产生两条连续的日志,事件ID7045 记录“PSEXESVC”的服务被安装,事件ID7036 “PSEXESVC服务已经启动”。

当PsExec执行exit退出交互式命令行后,安全日志生成事件ID4634注销登录,登录类型3(网络),事件ID7036 PSEXESVC服务停止,系统上psexesvc服务删除。

如果利用psexec执行木马,会在目标主机C:\Windows目录下生成先PSEXESVC.EXE,而后shell.exe上传到目标主机,木马执行后PSEXESVC.EXE自删除。

psexec.exe \\192.168.68.128  -u administrator -p root@123 -d  -c  shell.exe

备注:登录类型3:网络(Network)

当你从网络的上访问一台计算机时登录类型为3,最常见的情况就是连接到共享文件夹或者共享打印机时。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2