什么是横向移动?
- IAM 词汇表
- 什么是横向移动?
横向移动是攻击者在获得系统初始访问权限后,用于在网络中移动的技术。攻击者不会仅停留在一台已遭入侵的设备上,而是会向其他计算机、服务器或云资源发起攻击,以扩大访问范围、提升特权,并获取敏感数据或控制关键基础设施。这种技术在高级网络攻击中十分常见,包括勒索软件事件和数据泄露,因为它能让攻击者扩大入侵的范围和影响。
网络犯罪分子为何要进行横向移动?
网络犯罪分子很少会在攻破第一个系统后就止步不前。相反,他们会利用这个初始突破口来探索更广泛的环境,并在网络中寻找更有价值的目标。通过这种探索,攻击者能够更清楚地了解各系统之间的连接方式以及敏感数据的存储位置。
访问更高价值的系统
攻击者通常会通过价值较低的终端设备(例如员工工作站)获得初始访问权限。随后,攻击者会横向移动,以访问存储敏感数据的系统,如数据库、文件服务器或财务系统。这些系统通常包含可能被窃取、篡改或用于干扰业务运营的信息。通过突破最初的入侵点,攻击者不仅会扩大数据泄露的潜在影响范围,还能获取更多关键资源的访问权限。入侵更高价值的系统还使攻击者能够在网络内保持持久性,并在不被立即发现的情况下实施恶意行为。
提升特权
许多系统都会限制普通用户账户的访问权限。为了克服这些限制,攻击者在网络中移动时会尝试获得更高级别的权限。该过程可能涉及利用软件漏洞或窃取凭据等手段。特权提升使攻击者能够控制更多系统、访问受限数据,并在更少的限制下进行操作。凭借提升的特权,攻击者可以绕过安全措施,创建新账户或修改系统,以巩固其在环境中的地位。
访问域控制器或关键基础设施
在企业环境中,域控制器和管理系统在访问控制和身份验证管理方面发挥着核心作用。攻击者经常将这些系统作为攻击目标,以获得对网络的广泛控制权。由于这些系统管理用户身份与权限,一旦遭到入侵,攻击者就可能冒充合法用户,并在整个环境中更自由地移动。在此级别的访问权限下,攻击者可能会破坏服务或长期控制系统。
部署勒索软件或窃取数据
当攻击者能够在网络内横向移动时,他们往往已接近攻击的最后阶段。在识别出有价值资产后,攻击者可能会在多个系统中部署勒索软件,或窃取敏感数据。如果勒索软件同时感染多个系统,不仅会增加恢复工作的难度,还会加大组织支付赎金的压力。攻击者通过先横向移动,可以最大限度地造成破坏,并提高攻击的有效性。
横向移动的常见阶段
横向移动通常会遵循一个有条不紊的进程,攻击者随着其在网络中的访问权限不断扩大而逐步推进。
初始入侵
攻击始于系统首次遭到入侵,入侵途径可能包括网络钓鱼、利用系统漏洞或使用被盗凭据。这一初始立足点为攻击者提供了进入网络的切入点。
内部侦察
一旦入侵成功,攻击者就会收集环境信息。这包括绘制网络地图、识别高价值系统,以及发现用户账户和信任关系。在此步骤中收集的信息有助于攻击者确定下一步行动方向,以及哪些系统最具价值。
凭据访问
攻击者试图获取有效的凭据,以便在其他系统上进行身份验证。这可能涉及凭据泄露、密码窃取或令牌盗窃。使用合法凭据有助于攻击者混入正常网络流量中,从而避免触发安全警报。
权限提升
攻击者在获取更多账户访问权限后,会通过利用错误配置或滥用服务账户来提升自身的访问权限。更高的权限使攻击者能够控制更多系统、访问敏感资源,并执行通常受限的操作。
横向旋转
一旦获得提升的访问权限,攻击者就会在网络内的各个系统之间移动。这可能包括访问文件服务器、进入 Active Directory 环境,或连接到域控制器。在某些情况下,攻击者还可能向关联的云环境或混合环境渗透,从而扩大攻击范围。
目标执行
一旦攻击者到达目标位置,就会实施攻击。这可能包括窃取数据、部署勒索软件或建立持久化机制以实现持续访问。
横向移动中常用的技术
攻击者会使用各种技术在系统间移动,同时尽量避免被检测到:
- 哈希传递: 攻击者利用窃取的密码哈希值,无需原始密码即可对其他系统进行身份验证。这种技术仅适用于使用 NTLM 身份验证的环境,在严格执行 Kerberos 的环境中效果有限。
- 传递票证: Kerberos 票证被用于冒充合法用户,并获取对网络资源的访问权限。
- 远程桌面协议 (RDP): 攻击者利用有效的凭据通过 RDP(一种合法的远程访问协议)远程访问系统。由于该协议在企业环境中被广泛启用,因此经常成为攻击目标。
- Windows 管理规范 (WMI): 攻击者利用这一内置的 Windows 工具,在不同系统上远程执行命令。
- PowerShell 远程处理: 这种技术允许在远程机器上执行命令和脚本。
- SMB 漏洞利用: 攻击者利用文件共享协议在不同系统之间移动。
- SSH 密钥盗窃与会话劫持: 在 Linux 环境中,攻击者可能会窃取 SSH 私钥以对其他系统进行身份验证,或滥用 SSH 代理转发来劫持正在进行的会话。这些技术都利用了 SSH 信任关系。
- 本地二进制文件 (LOLBins): 利用合法的系统工具在伪装成正常操作的同时实施恶意活动。
为什么横向移动难以检测
横向移动难以被发现,因为攻击者通常依赖合法的凭据和内置的管理工具,而非明显的恶意活动。
因此,他们的行为可能与普通用户相似,例如登录系统或访问内部资源。这使攻击者能够混入常规网络流量中,从而避免触发传统的安全警报。
虽然了解横向移动的运作原理很重要,但组织还必须能够在攻击者到达关键系统之前就检测到横向移动。
如何防止横向移动
组织可以通过限制攻击者在初始入侵后在系统间移动的便利性,从而防止横向移动。有效的横向移动防护侧重于减少不必要的访问、控制网络通信以及监控可疑活动。
执行最低特权访问原则
强制执行最低权限访问是防止横向移动的最有效方法之一。每个用户和服务账户应仅拥有其特定角色所需的权限。这确保了即使单个账户遭到入侵,攻击者也无法利用该账户访问超出其权限范围的系统和资源。组织应定期审查和调整这些权限,以防止访问权限随时间推移而逐渐扩大。
对网络进行分段
网络分段通过将网络划分为相互隔离的区域,从而限制横向移动,确保某个区域发生安全漏洞时,不会自动导致其他区域遭到入侵。微分段通过将单个系统之间的流量限制为仅允许明确需要的连接,从而强化了这一方法。这迫使攻击者在每个阶段都必须克服额外的障碍,从而为安全团队争取更多时间来检测和应对横向移动的企图。
加强身份验证控制
强身份验证控制通过降低被盗凭据的有效性,从而减少了横向移动的风险。多因素身份验证 (MFA) 增加了一层验证机制,可防止攻击者仅凭被盗密码访问账户。组织还应消除共享或默认凭据,这些都是攻击者的常见攻击目标。对于具有更高权限的帐户,特权访问管理 (PAM) 解决方案可通过控制账户的使用时间和方式,并在不再需要时撤销访问权限,从而提供额外保护。
监控异常行为
即使已实施了强有力的预防性控制措施,组织仍需对系统中的各项活动保持可见性。查看访问日志并使用行为分析有助于识别异常模式,例如账户连接到之前未访问过的系统,或在非预期时间登录。及早发现这些迹象,可以让组织在攻击者到达关键系统之前遏制横向移动。
审计并清理账户
休眠账户(尤其是与离职员工或已停用的服务相关的账户)经常成为攻击者的目标,因为这些账户通常不受监控。定期审计以识别和禁用未使用的账户,可以消除这些入口点。组织还应定期审查活动账户的权限,以确保这些账户未获得超出其角色所需的访问权限。