01

—

    默认情况下，Windows 提供了c$、admins$ 和 IPC$共享，这些共享可通过管理员帐户访问。攻击者一旦提升了权限，就会从其他主机映射这些共享并复制恶意软件进行横向移动。由于使用的是Windows 本机服务（如 net.exe）连接到共享，所以在横向移动时会产生较少的告警。

下面举例说明。该命令映射计算机192.168.68.128的c$至本机的M盘。

net use m:\\192.168.68.128\C$ /USER:administrator

执行该命令后，攻击主机上会生成一条4648的登录记录，目标端口是445

受害主机上同时也会生成三条日志，

4776 —计算机尝试验证帐户的凭据

4672 —分配新登录用户的特殊权限

4624 —帐户已成功登录

这3个事件在主机上几乎是同时产生，生成这些事件是因为本地 NTLM 身份验证 (4776) 通过本地管理帐户 (4672) 在网络上发生。

PSEXEC横向移动

在横向移动过程，攻击者通常会使用PsExec在远程主机执行命令。在客户端执行psexec.exe后，如果服务器认证成功，会将psexesvc.exe上传到服务端的ADMIN$目录并作为服务运行，在执行完命令后删除对应的服务和psexesvc.exe。通过对客户端和服务端的事件日志、注册表、文件系统进行分析，可以从客户端主机获得连接的目的主机，连接时间等信息；从服务端主机可以获得连接的客户端信息，连接时间等信息。

下面举例说明。该命令使用psexec在192.168.68.128上执行命令。

psexec.exe \\192.168.68.128  -u administrator -p root@123 cmd

受害机器安全日志生成多条连续日志，其中找到事件ID4648，通过psexesvc.exe使用显式凭据登录系统，事件ID 4624认证成功，记录登录用户名，而后事件ID4672为用户提升权限，事件ID4776记录源工作站为win10，即来源主机的名称是win10，而后会在事件ID为4624记录来源IP，认证方式是ntlmssp，登录类型是3（网络）。

系统日志，产生两条连续的日志，事件ID7045 记录“PSEXESVC”的服务被安装，事件ID7036 “PSEXESVC服务已经启动”。

当PsExec执行exit退出交互式命令行后，安全日志生成事件ID4634注销登录，登录类型3（网络），事件ID7036 PSEXESVC服务停止，系统上psexesvc服务删除。

如果利用psexec执行木马，会在目标主机C:\Windows目录下生成先PSEXESVC.EXE，而后shell.exe上传到目标主机，木马执行后PSEXESVC.EXE自删除。

psexec.exe \\192.168.68.128  -u administrator -p root@123 -d  -c  shell.exe

备注：登录类型3：网络（Network）