Entry № 680
横向移动
横向移动 是什么?
横向移动MITRE ATT&CK 战术 TA0008,涵盖攻击者从一个被攻陷主机扩展到环境中其他系统的各种技术。
横向移动(MITRE ATT&CK 战术 TA0008)汇集了攻击者从初始主机扩展到其他系统、账户或云租户所使用的技术。常见手段包括 pass-the-hash、pass-the-ticket、overpass-the-hash;劫持 RDP 与 SSH 会话;利用远程服务(SMB、WinRM、WMI、PsExec);使用 Cobalt Strike 等工具;将有效的 OAuth 或 SAML 令牌重放到云 API。由于横向移动跨越主机边界,通常会在遥测中留下较显著的痕迹,是入侵中最容易被发现的阶段之一。防御者结合网络分段、身份分层、即时管理(JIT)、远程协议上的 MFA、跨主机 EDR 关联,以及针对 SMB/RPC 跨主机活动的 Sigma/MDE 检测进行防护。
● 示例
- 01
用捕获的 NTLM 哈希通过 pass-the-hash 登录文件服务器。
- 02
窃取 RDP 会话 Cookie,从工作站跳转到跳板机。
● 常见问题
横向移动 是什么?
MITRE ATT&CK 战术 TA0008,涵盖攻击者从一个被攻陷主机扩展到环境中其他系统的各种技术。 它属于网络安全的 防御与运营 分类。
横向移动 是什么意思?
MITRE ATT&CK 战术 TA0008,涵盖攻击者从一个被攻陷主机扩展到环境中其他系统的各种技术。
如何防御 横向移动?
针对 横向移动 的防御通常结合技术控制与运营实践,详见上方完整定义。
横向移动 还有哪些其他名称?
常见的别称包括: 横向渗透, 内网横移。