原创 ir社区 2021-07-26 09:01
横向移动检测点
01
—
SMB横向移动
默认情况下,Windows 提供了c$、admins$ 和 IPC$共享,这些共享可通过管理员帐户访问。攻击者一旦提升了权限,就会从其他主机映射这些共享并复制恶意软件进行横向移动。由于使用的是Windows 本机服务(如 net.exe)连接到共享,所以在横向移动时会产生较少的告警。
下面举例说明。该命令映射计算机192.168.68.128的c$至本机的M盘。
net use m:\\192.168.68.128\C$ /USER:administrator执行该命令后,攻击主机上会生成一条4648的登录记录,目标端口是445
受害主机上同时也会生成三条日志,
4776 —计算机尝试验证帐户的凭据
4672 —分配新登录用户的特殊权限
4624 —帐户已成功登录
这3个事件在主机上几乎是同时产生,生成这些事件是因为本地 NTLM 身份验证 (4776) 通过本地管理帐户 (4672) 在网络上发生。
02
—
PSEXEC横向移动
在横向移动过程,攻击者通常会使用PsExec在远程主机执行命令。在客户端执行psexec.exe后,如果服务器认证成功,会将psexesvc.exe上传到服务端的ADMIN$目录并作为服务运行,在执行完命令后删除对应的服务和psexesvc.exe。通过对客户端和服务端的事件日志、注册表、文件系统进行分析,可以从客户端主机获得连接的目的主机,连接时间等信息;从服务端主机可以获得连接的客户端信息,连接时间等信息。
下面举例说明。该命令使用psexec在192.168.68.128上执行命令。
psexec.exe \\192.168.68.128 -u administrator -p root@123 cmd受害机器安全日志生成多条连续日志,其中找到事件ID4648,通过psexesvc.exe使用显式凭据登录系统,事件ID 4624认证成功,记录登录用户名,而后事件ID4672为用户提升权限,事件ID4776记录源工作站为win10,即来源主机的名称是win10,而后会在事件ID为4624记录来源IP,认证方式是ntlmssp,登录类型是3(网络)。
系统日志,产生两条连续的日志,事件ID7045 记录“PSEXESVC”的服务被安装,事件ID7036 “PSEXESVC服务已经启动”。
当PsExec执行exit退出交互式命令行后,安全日志生成事件ID4634注销登录,登录类型3(网络),事件ID7036 PSEXESVC服务停止,系统上psexesvc服务删除。
如果利用psexec执行木马,会在目标主机C:\Windows目录下生成先PSEXESVC.EXE,而后shell.exe上传到目标主机,木马执行后PSEXESVC.EXE自删除。
psexec.exe \\192.168.68.128 -u administrator -p root@123 -d -c shell.exe备注:登录类型3:网络(Network)
当你从网络的上访问一台计算机时登录类型为3,最常见的情况就是连接到共享文件夹或者共享打印机时。
