本文探讨了Windows环境下两种常见的横向移动攻击手法：SMB共享和PsExec。攻击者利用管理员权限，通过SMB共享映射和复制恶意软件，或者使用PsExec在远程主机执行命令，从而达到横向移动的目的。文章详细介绍了这些攻击方式的原理、操作步骤，以及在事件日志中留下的痕迹，为安全人员提供了重要的检测线索。

🕵️‍♂️ **SMB横向移动：** 攻击者利用Windows提供的默认共享（如c$、admins$ 和 IPC$）进行横向移动。通过映射目标主机的共享，复制恶意软件，实现攻击。这种方式利用Windows本机服务，产生的告警较少，但会在客户端和目标主机上留下特定的事件日志。

💻 **PsExec横向移动：** 攻击者使用PsExec在远程主机上执行命令。PsExec会将psexesvc.exe上传到目标主机的ADMIN$目录并作为服务运行。攻击完成后，服务和文件将被删除。通过分析客户端和服务端的事件日志、注册表和文件系统，可以获取连接信息和攻击痕迹。

🔍 **事件日志分析：** SMB攻击会在客户端产生4648登录记录，目标主机产生4776、4672、4624等日志。PsExec攻击则会产生4648、4624、4672、7045、7036等日志，通过分析这些日志，可以追踪攻击者的行为，例如登录用户名、来源IP、认证方式和登录类型。

原创 花十一一 2021-07-26 09:01

横向移动检测点

01

—

SMB横向移动

    默认情况下，Windows 提供了c$、admins$ 和 IPC$共享，这些共享可通过管理员帐户访问。攻击者一旦提升了权限，就会从其他主机映射这些共享并复制恶意软件进行横向移动。由于使用的是Windows 本机服务（如 net.exe）连接到共享，所以在横向移动时会产生较少的告警。

下面举例说明。该命令映射计算机192.168.68.128的c$至本机的M盘。

net use m:\\192.168.68.128\C$ /USER:administrator

执行该命令后，攻击主机上会生成一条4648的登录记录，目标端口是445

受害主机上同时也会生成三条日志，

4776 —计算机尝试验证帐户的凭据

4672 —分配新登录用户的特殊权限

4624 —帐户已成功登录

这3个事件在主机上几乎是同时产生，生成这些事件是因为本地 NTLM 身份验证 (4776) 通过本地管理帐户 (4672) 在网络上发生。

02

—

PSEXEC横向移动

在横向移动过程，攻击者通常会使用PsExec在远程主机执行命令。在客户端执行psexec.exe后，如果服务器认证成功，会将psexesvc.exe上传到服务端的ADMIN$目录并作为服务运行，在执行完命令后删除对应的服务和psexesvc.exe。通过对客户端和服务端的事件日志、注册表、文件系统进行分析，可以从客户端主机获得连接的目的主机，连接时间等信息；从服务端主机可以获得连接的客户端信息，连接时间等信息。

下面举例说明。该命令使用psexec在192.168.68.128上执行命令。

psexec.exe \\192.168.68.128  -u administrator -p root@123 cmd

受害机器安全日志生成多条连续日志，其中找到事件ID4648，通过psexesvc.exe使用显式凭据登录系统，事件ID 4624认证成功，记录登录用户名，而后事件ID4672为用户提升权限，事件ID4776记录源工作站为win10，即来源主机的名称是win10，而后会在事件ID为4624记录来源IP，认证方式是ntlmssp，登录类型是3（网络）。

系统日志，产生两条连续的日志，事件ID7045 记录“PSEXESVC”的服务被安装，事件ID7036 “PSEXESVC服务已经启动”。

当PsExec执行exit退出交互式命令行后，安全日志生成事件ID4634注销登录，登录类型3（网络），事件ID7036 PSEXESVC服务停止，系统上psexesvc服务删除。

如果利用psexec执行木马，会在目标主机C:\Windows目录下生成先PSEXESVC.EXE，而后shell.exe上传到目标主机，木马执行后PSEXESVC.EXE自删除。

psexec.exe \\192.168.68.128  -u administrator -p root@123 -d  -c  shell.exe

备注：登录类型3：网络（Network）

当你从网络的上访问一台计算机时登录类型为3，最常见的情况就是连接到共享文件夹或者共享打印机时。

阅读原文

跳转微信打开