后渗透技术与内网横向移动
后渗透阶段是红队攻击中最关键的环节之一。在成功获取初始访问权限后,攻击者需要在目标网络中进行横向移动、权限提升和持久化控制,最终达成攻击目标。本专题系统性地介绍后渗透阶段的核心技术。
内网横向移动技术
凭证获取与利用
横向移动的核心是凭证的获取与利用。常用技术包括:使用Mimikatz从内存中提取明文密码和NTLM哈希、通过LSASS进程转储获取凭证、利用Kerberoasting攻击获取服务账户哈希、通过DCSync攻击从域控制器同步密码哈希等。获取凭证后,可以使用Pass-the-Hash、Pass-the-Ticket、Overpass-the-Hash等技术进行横向移动。
远程执行技术
在获取有效凭证后,需要选择合适的远程执行方式在目标主机上执行命令或部署载荷。常用的远程执行技术包括:PsExec(通过SMB服务执行)、WMI(Windows管理规范)、WinRM(Windows远程管理)、DCOM(分布式组件对象模型)、计划任务、服务创建等。每种技术有不同的特征和检测难度。
域渗透攻击
在Active Directory环境中,域渗透是后渗透的重要组成部分。关键技术包括:域信息收集(BloodHound)、Kerberos攻击(AS-REP Roasting、Kerberoasting、Golden Ticket、Silver Ticket)、ACL滥用、组策略利用、域信任关系攻击、ADCS证书服务攻击等。
Session : Interactive
User Name : Administrator
Domain : CORP
NTLM : [REDACTED]
SHA1 : [REDACTED]
[*] 成功获取域管理员凭证
权限维持技术
在获取目标系统的高权限后,需要建立持久化机制以确保在系统重启或凭证变更后仍能保持访问。常用的权限维持技术包括:
- 注册表自启动:在注册表Run键中添加恶意程序路径
- 计划任务:创建定时执行的恶意计划任务
- WMI事件订阅:利用WMI永久事件订阅实现持久化
- DLL劫持:替换或劫持合法程序加载的DLL
- Golden Ticket:伪造Kerberos TGT实现域内持久化
- DSRM后门:利用域控制器的目录服务还原模式密码
- Skeleton Key:在域控制器内存中注入万能密码
防御与检测
针对后渗透攻击的防御措施包括:启用凭证保护(Credential Guard)、实施最小权限原则、部署EDR端点检测与响应系统、启用高级审计策略、监控异常登录行为、实施网络分段、定期轮换服务账户密码等。蓝队应重点关注横向移动的典型特征,如异常的远程登录、服务创建、计划任务创建等事件。