安全矩阵

 找回密码
 立即注册
搜索
查看: 2425|回复: 0

应急响应之横向移动

[复制链接]

221

主题

233

帖子

792

积分

高级会员

Rank: 4

积分
792
发表于 2021-7-27 23:20:38 | 显示全部楼层 |阅读模式
应急响应之横向移动原创 花十一一 [url=]huasec[/url] huasec
微信号 ihuahua04
功能介绍 分享一些平时所学,励志成为一名安全研发。
昨天
收录于话题
#应急响应
24个

01


SMB横向移动

    默认情况下,Windows 提供了c$、admins$ 和 IPC$共享,这些共享可通过管理员帐户访问。攻击者一旦提升了权限,就会从其他主机映射这些共享并复制恶意软件进行横向移动。由于使用的是Windows 本机服务(如 net.exe)连接到共享,所以在横向移动时会产生较少的告警。
下面举例说明。该命令映射计算机192.168.68.128的c$至本机的M盘。

           

net use m:\\192.168.68.128\C$ /USER:administrator



执行该命令后,攻击主机上会生成一条4648的登录记录,目标端口是445

受害主机上同时也会生成三条日志,
4776 —计算机尝试验证帐户的凭据
4672 —分配新登录用户的特殊权限
4624 —帐户已成功登录
这3个事件在主机上几乎是同时产生,生成这些事件是因为本地 NTLM 身份验证 (4776) 通过本地管理帐户 (4672) 在网络上发生。




02


PSEXEC横向移动

在横向移动过程,攻击者通常会使用PsExec在远程主机执行命令。在客户端执行psexec.exe后,如果服务器认证成功,会将psexesvc.exe上传到服务端的ADMIN$目录并作为服务运行,在执行完命令后删除对应的服务和psexesvc.exe。通过对客户端和服务端的事件日志、注册表、文件系统进行分析,可以从客户端主机获得连接的目的主机,连接时间等信息;从服务端主机可以获得连接的客户端信息,连接时间等信息。
下面举例说明。该命令使用psexec在192.168.68.128上执行命令。

           

psexec.exe \\192.168.68.128  -u administrator -p root@123 cmd
受害机器安全日志生成多条连续日志,其中找到事件ID4648,通过psexesvc.exe使用显式凭据登录系统,事件ID 4624认证成功,记录登录用户名,而后事件ID4672为用户提升权限,事件ID4776记录源工作站为win10,即来源主机的名称是win10,而后会在事件ID为4624记录来源IP,认证方式是ntlmssp,登录类型是3(网络)。





系统日志,产生两条连续的日志,事件ID7045 记录“PSEXESVC”的服务被安装,事件ID7036 “PSEXESVC服务已经启动”。


当PsExec执行exit退出交互式命令行后,安全日志生成事件ID4634注销登录,登录类型3(网络),事件ID7036 PSEXESVC服务停止,系统上psexesvc服务删除。


如果利用psexec执行木马,会在目标主机C:\Windows目录下生成先PSEXESVC.EXE,而后shell.exe上传到目标主机,木马执行后PSEXESVC.EXE自删除。

           

psexec.exe \\192.168.68.128  -u administrator -p root@123 -d  -c  shell.exe




备注:登录类型3:网络(Network)

当你从网络的上访问一台计算机时登录类型为3,最常见的情况就是连接到共享文件夹或者共享打印机时。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 11:57 , Processed in 0.013037 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表