| T1080 |
污染共享内容 |
攻击者可能会通过将恶意程序、脚本或漏洞利用代码添加到共享存储位置(例如网络驱动器或内部代码存储库),一旦用户打开受污染的共享内容就会执行恶意代码,从而达到横向移动的目的。 |
| T1091 |
通过可移动媒介复制 |
攻击者可以通过复制恶意软件到可移动媒介,当媒介被插入到系统中并执行时,利用自动运行功能执行恶意软件。从而进入那些断开连接或存在空隙的网络上的系统。在横向移动的情况下,攻击者可能通过修改存储在可移动媒介上的可执行文件或通过复制恶意软件并将其重命名为看起来像合法文件,来诱使用户在单独的系统上执行来完成攻击。在“初始访问”的情况下,攻击者可能通过手动操作介质,修改用于初始格式化介质的系统或修改介质固件本身来完成攻击。 |
| T1550 |
使用备用身份验证材料 |
攻击者可以使用备用身份验证材料,例如密码哈希,Kerberos票证和应用程序访问令牌,以便在环境中横向移动并绕过正常的系统访问控制。身份验证过程通常需要有效的身份(例如,用户名)以及数个身份验证因素(例如,密码,密码,物理智能卡,令牌生成器等)。在用户或应用程序通过提供有效身份和所需的身份验证因子成功进行身份验证之后,系统会合法生成备用身份验证材料。在身份创建过程中也可能生成备用身份验证材料。缓存备用身份验证材料使系统可以验证身份是否已成功身份验证,而无需要求用户重新输入身份验证因子。由于备用身份验证必须由系统维护(在内存或磁盘中),因此可能存在通过凭据访问技术被盗的风险。通过窃取备用身份验证材料,攻击者可以绕过系统访问控制并向系统进行身份验证,而无需知道明文密码或任何其他身份验证因素。 |
| T1550.003 |
使用备用身份验证材料:票据传递 |
攻击者可能会使用窃取的Kerberos票证“票据传递”,绕过正常的系统访问控制从而在环境中横向移动。票据传递(PtT)是一种使用Kerberos票据无需访问帐户密码对系统进行身份验证的方法。Kerberos身份验证可以用作横向移动到远程系统的第一步。在这种技术中,有效帐户的有效Kerberos票据被操作系统凭证转储(OS Credential Dumping)获取。根据访问级别,可以获得用户的服务票据或票据授权票据(TGT)。服务票据允许访问特定资源,而TGT可用于从票据授权服务(TGS)请求服务票证以访问用户有权访问的任何资源。可以为使用Kerberos作为身份验证机制的服务获取Silver Ticket,并用于生成票证以访问该特定资源和承载该资源的系统(例如,SharePoint)。可以使用密钥分发服务帐户KRBTGT帐户NTLM哈希来获取域的Golden Ticket,这可以为Active Directory中的任何帐户生成TGT。 |
| T1550.004 |
使用备用身份验证材料:Web会话Cookie |
攻击者可以使用窃取的会话Cookie来对Web应用程序和服务进行身份验证。由于会话已通过身份验证,因此该技术绕过了一些多因素身份验证协议。用户对服务进行身份验证后,Web应用程序(包括基于云的服务)中使用将使用身份验证Cookie,而无需传递凭据,也不需要频繁进行重新身份验证。Cookie通常会长期有效,与使用Web应用程序频率无关。通过窃取Web会话Cookie获得Cookie之后,攻击者可以将Cookie导入他们控制的浏览器中,然后只要会话Cookie还未过期就可以仿冒用户访问该站点或应用程序,并访问敏感信息、阅读电子邮件或执行受害者帐户权限内的操作。 |
| T1550.002 |
使用备用身份验证材料:哈希传递 |
攻击者可能会使用窃取的密码哈希来完成哈希传递攻击,绕过正常的系统访问控制从而在环境中横向移动。哈希传递(PtH)是一种无需访问用户的明文密码即可作为用户身份验证的方法。此方法绕过需要明文密码的标准身份验证步骤,直接进入使用密码哈希的身份验证部分。在这种技术中,使用凭据访问技术可以捕获正在使用的帐户的有效密码哈希。捕获的哈希与PtH一起用于验证该用户身份。一旦通过身份验证,PtH可用于在本地或远程系统上执行操作。 |
| T1550.001 |
使用备用身份验证材料:应用程序访问令牌 |
攻击者可能会使用窃取的应用程序访问令牌(Token)绕过传统身份验证过程,并访问远程系统上受限制的帐户、信息或服务。这些令牌通常是从用户那里窃取的,并用来代替登录凭据。应用程序访问令牌用于识别API请求的用户,并且通常用作访问基于云的应用程序和软件即服务(SaaS)中的资源的方式。OAuth是一种常用的框架,向用户发布令牌以验证用户并确定允许用户执行的操作。一旦建立了身份,令牌就可以授权操作,而无需传递用户的实际凭据。因此,令牌的泄露可以通过恶意应用程序使攻击者获得对其他资源的访问权限。例如,使用基于云的电子邮件服务,一旦将OAuth访问令牌授予了恶意应用程序,借助OAuth访问令牌,攻击者可以使用用户授予的REST API来执行诸如电子邮件搜索和联系人枚举之类的功能。窃取的访问令牌可以用作危害其他服务的初始步骤。例如,如果令牌授予对受害者的主电子邮件的访问权限,则攻击者可能会通过使用忘记密码功能,将访问权限扩展到目标用户订阅的所有其他服务。通过令牌进行的直接API访问会否定第二个身份验证因素的有效性,并且可能不受诸如更改密码之类的直观对策的影响。即使访问服务提供商,也很难检测到通过API通道进行的访问滥用,因为访问仍然可以与合法的工作流程保持一致。 |
| T1021 |
远程服务 |
攻击者可以使用有效帐户登录专门用于接受远程连接的服务,例如telnet,SSH和VNC。然后,攻击者可以用登录用户的身份来执行操作。在企业环境中,服务器和工作站可以组织成域,域提供集中的身份管理,允许用户在整个网络中使用一组凭据登录。如果攻击者能够获得一组有效的域凭证,他们就可以使用远程访问协议(例如SSH)或远程桌面协议(RDP)登录到许多不同的机器上。 |
| T1021.005 |
远程服务:VNC |
攻击者可以使用有效帐户通过虚拟网络计算(VNC)远程控制计算机。然后,攻击者可以用登录用户的身份来执行操作。VNC是一个桌面共享系统,允许用户通过网络中继鼠标和键盘输入来远程控制另一台计算机的显示。VNC不一定要使用标准的用户凭证。相反,VNC客户机和服务器可以配置一组仅用于VNC连接的凭据。 |
| T1021.004 |
远程服务:SSH |
攻击者可以使用有效帐户通过Secure Shell(SSH)登录到远程计算机。然后,攻击者可以用登录用户的身份来执行操作。SSH是一种协议,允许授权用户打开其他计算机上的远程Shell。许多Linux和macOS版本默认情况下都安装了SSH,尽管通常会在用户启用它之前将其禁用。可以将SSH服务器配置为使用标准密码验证或公私密钥对来代替或代替密码。在这种身份验证方案中,用户的公共密钥必须位于运行服务器的计算机上的特殊文件中,该文件列出了允许以该用户身份登录的密钥对。 |
| T1021.002 |
远程服务:SMB / Windows管理员共享 |
攻击者可以使用有效的帐户使用服务器消息块(SMB)与远程网络共享进行交互。然后,攻击者可以用登录用户的身份来执行操作。SMB是一个文件、打印机和串口共享协议,用于同一网络或域上的Windows计算机。攻击者可以使用SMB与文件共享交互,允许他们在网络中横向移动。SMB的Linux和macOS实现通常使用Samba。Windows系统隐藏了只有管理员才能访问的网络共享,并提供了远程文件复制和其他管理功能,例如网络共享包括“C$”、“ADMIN$”和“IPC$”。攻击者可以将此技术与管理员级别的有效帐户结合使用,以通过SMB远程访问网络系统,使用远程过程调用(RPC)与系统进行交互,传输文件,并通过远程执行来运行传输的二进制文件。依赖于通过SMB/RPC验证的会话的执行技术包括计划任务/作业、服务执行和Windows管理工具。攻击者还可以使用NTLM散列访问系统上具有散列、某些配置和补丁级别的管理员共享。 |
| T1021.006 |
远程服务:Windows远程管理 |
攻击者可以使用Windows远程管理(WinRM)使用有效帐户与远程系统进行交互。然后,攻击者可以用登录用户的身份来执行操作。WinRM是Windows服务和协议的名称,该协议允许用户与远程系统进行交互(例如,运行可执行文件,修改注册表,修改服务)。可以使用winrm命令或任何数量的程序(例如PowerShell)来调用它。 |
| T1021.003 |
远程服务:分布式组件对象模型 |
攻击者可以利用有效帐户通过利用分布式组件对象模型(DCOM)与远程计算机进行交互。然后,攻击者可以用登录用户的身份来执行操作。Windows组件对象模型(COM)是本机Windows应用程序编程接口(API)的组件,该组件支持软件对象之间的交互或实现一个或多个接口的可执行代码。通过COM,客户端对象可以调用服务器对象的方法,这些方法通常是动态链接库(DLL)或可执行文件(EXE)。分布式COM (DCOM)是一个透明的中间件,它使用远程过程调用(RPC)技术将COM的功能扩展到本地计算机之外。与本地和远程服务器COM对象交互的权限由注册表中的访问控制列表(ACL)指定。默认情况下,只有管理员可以通过DCOM远程激活和启动COM对象。通过DCOM,在具有适当特权的用户上下环境中操作的攻击者可以通过Office应用程序以及其他包含不安全方法的Windows对象远程获取任意甚至直接执行shellcode。DCOM还可以执行现有文档中的宏,也可以通过COM创建的Microsoft Office应用程序,直接调用动态数据交换(DDE)执行,从而不需要恶意文档。 |
| T1021.001 |
远程服务:远程桌面协议 |
攻击者可以使用有效帐户通过远程桌面协议(RDP)登录到计算机。然后,攻击者可以用登录用户的身份来执行操作。远程桌面是操作系统中的常见功能。它允许用户使用远程系统上的系统桌面图形用户界面登录到交互式会话。Microsoft将其对远程桌面协议(RDP)的实现称为远程桌面服务(RDS)。如果启用了服务并允许具有已知凭据的帐户访问,则攻击者可以通过RDP / RDS连接到远程系统以扩展访问权限。攻击者可能会使用凭据访问技术来获取与RDP一起使用的凭据。攻击者还可以结合使用RDP和“可访问性功能”技术来实现持久性 |
| T1563 |
远程服务会话劫持 |
攻击者可以通过远程服务控制现有的会话,以便于在环境中进行横向移动。用户可以使用有效的凭据登录专门用于接受远程连接的服务,例如telnet,SSH和RDP。当用户登录服务时,将建立一个会话,这样可以保持与该服务的持续。攻击者可能会利用这些会话在远程系统上执行操作。远程服务会话劫持不同于远程服务的使用,因为它劫持的是一个现有的会话,而不是使用有效的帐户创建一个新的会话 |
| T1563.001 |
远程服务会话劫持:SSH劫持 |
攻击者可能会劫持合法用户的SSH会话,从而在环境中横向移动。SSH (Secure Shell)是Linux和macOS系统上远程访问的标准方法。它允许用户通过加密隧道连接到另一个系统,通常通过密码、证书或使用非对称加密密钥对进行身份验证。为了从被破坏的主机上横向移动,攻击者可以利用通过活跃的SSH会话中的公钥身份验证与其他系统建立的信任关系,劫持到另一个系统的现有连接。这可能是通过损害SSH代理本身或访问代理的套接字而发生的。如果攻击者能够获得根访问权,那么劫持SSH会话就显得微不足道了。SSH劫持不同于SSH的使用,因为它劫持的是一个现有的SSH会话,而不是使用有效的帐户创建一个新的会话。 |
| T1563.002 |
远程服务会话劫持:RDP劫持 |
攻击者可能会劫持合法用户的远程桌面会话,从而在环境中横向移动。远程桌面是操作系统中的常见功能。它允许用户使用远程系统上的系统桌面图形用户界面登录到交互式会话。Microsoft将其对远程桌面协议(RDP)的实现称为远程桌面服务(RDS)。攻击者可能执行RDP会话劫持,其中涉及窃取合法用户的远程会话。通常,当其他人试图窃取其会话时,会通知用户。拥有系统权限并使用终端服务控制台c:\windows\system32\tscon.exe [session number to be stolen]攻击者可以劫持会话,而无需凭据或对用户的提示。这可以在远程或本地以及活动会话或断开连接的会话中完成。攻击者还可以通过窃取域管理员或更高特权帐户会话导致远程系统发现和特权升级。所有这些都可以通过使用本机Windows命令来实现,但red team tools也添加了这一功能。 |
| T1072 |
软件部署工具 |
攻击者可以访问并使用安装在企业网络内的第三方软件套件(例如管理、监测和部署系统),在网络中横向移动。出于管理目的,第三方应用程序和软件部署系统可能在网络环境中使用(例如,SCCM,VNC,HBSS,Altiris等)。对第三方网络范围或企业范围软件系统的访问可以使攻击者能够在连接到此类系统的所有系统上执行远程代码,该访问权限可用于横向移动到其它系统,收集信息或产生特定效果,例如擦拭所有端点上的硬盘驱动器。此操作所需的权限因系统配置而异;本地凭据可以直接访问第三方系统,或者可能需要特定的域凭据。然而,系统可能需要一个管理帐户才可以登录或执行其操作的预期目的。 |
| T1210 |
远端服务的漏洞利用 |
软件的漏洞可以存在于程序、服务或操作系统软件或内核本身中,攻击者通过利用漏洞来触发软件错误来执行攻击者控制的代码时,就利用了软件漏洞。在系统失陷后,攻击者通常目标是利用当前点进行横向移动来访问远端的系统。攻击者在攻击前需要先知道目标系统存在哪些可利用漏洞;通过网络服务扫描器或者其它一些发现技术可以收集以到网络中存在漏洞的软件,系统补丁信息和包含可利用漏洞的软件等。通常网络中的公共服务是可利用价值最高的,如果这些服务还提供了其它资源访问的权限,那么这些服务提供结点的风险就非常高。常见可利用服务(例如SMB和RDP)以及可能在内部网络(例如MySQL)和Web服务器服务中使用的应用程序中存在几个众所周知的漏洞。根据易受攻击的远程服务的权限级别,攻击者也可能由于横向移动利用而实现对特权升级的利用。 |
| T1534 |
内部鱼叉 |
攻击者可以使用内部钓鱼的方式去获取其它信息,或者在其已经可以访问环境中的账户或系统后利用同一个组织中的其它用户。内部鱼叉式钓鱼是一个多阶段的攻击,通过使用先前安装的恶意软件控制用户的设备或者通过破坏用户的账户凭证来拥有电子邮件账户,攻击者尝试去利用受信任的内部账户去诱使目标点击使用钓鱼邮件的可能性。攻击者可能将鱼叉钓鱼式的附件或鱼叉钓鱼链接作为内部鱼叉钓鱼邮件的一部分信息来传递有效载荷或者将其重定向到外部站点,以模仿电子邮件的登录界面来获取用户输入的凭证。曾经发生过内部钓鱼攻击的知名事件,Eye Pyramid 组织曾经使用带有恶意附件的钓鱼邮件在受害者之间横向移动,在此过程中,将近18,000个账户受到攻击者攻击。叙利亚电子军(SEA)入侵了《金融时报》(FT)的电子邮件账户,窃取其它账户凭证,《金融时报》(FT)一知道这个攻击,就向员工发出威胁警告后,SEA模仿《金融时报》(FT)IT部门的做法,发出了钓鱼邮件,进而危害到更多用户。 |
| T1570 |
横向工具移动 |
攻击者可以在被入侵环境中的系统之间传输工具或其它文件。可以将文件从一个系统中复制到另一个系统中,以便在操作过程中放置攻击者的工具或文件,攻击者可以使用内部受害者系统之间横向复制文件,以支持横向移动,例如:通过SMB在共享网络中进行文件共享,或者通过SMB/Windows Admin Shares或者远程桌面协议进行身份验证连接,也可以使用scp、rsync和sftp等本地攻击在Mac和Linux上复制文件。 |