横向移动
横向移动 是什么?
横向移动MITRE ATT&CK 战术 TA0008,涵盖攻击者从一个被攻陷主机扩展到环境中其他系统的各种技术。
横向移动(MITRE ATT&CK 战术 TA0008)汇集了攻击者从初始主机扩展到其他系统、账户或云租户所使用的技术。常见手段包括 pass-the-hash、pass-the-ticket、overpass-the-hash;劫持 RDP 与 SSH 会话;利用远程服务(SMB、WinRM、WMI、PsExec);使用 Cobalt Strike 等工具;将有效的 OAuth 或 SAML 令牌重放到云 API。由于横向移动跨越主机边界,通常会在遥测中留下较显著的痕迹,是入侵中最容易被发现的阶段之一。防御者结合网络分段、身份分层、即时管理(JIT)、远程协议上的 MFA、跨主机 EDR 关联,以及针对 SMB/RPC 跨主机活动的 Sigma/MDE 检测进行防护。
● 示例
- 01
用捕获的 NTLM 哈希通过 pass-the-hash 登录文件服务器。
- 02
窃取 RDP 会话 Cookie,从工作站跳转到跳板机。
● 常见问题
横向移动 是什么?
MITRE ATT&CK 战术 TA0008,涵盖攻击者从一个被攻陷主机扩展到环境中其他系统的各种技术。 它属于网络安全的 防御与运营 分类。
横向移动 是什么意思?
MITRE ATT&CK 战术 TA0008,涵盖攻击者从一个被攻陷主机扩展到环境中其他系统的各种技术。
横向移动 是如何工作的?
横向移动(MITRE ATT&CK 战术 TA0008)汇集了攻击者从初始主机扩展到其他系统、账户或云租户所使用的技术。常见手段包括 pass-the-hash、pass-the-ticket、overpass-the-hash;劫持 RDP 与 SSH 会话;利用远程服务(SMB、WinRM、WMI、PsExec);使用 Cobalt Strike 等工具;将有效的 OAuth 或 SAML 令牌重放到云 API。由于横向移动跨越主机边界,通常会在遥测中留下较显著的痕迹,是入侵中最容易被发现的阶段之一。防御者结合网络分段、身份分层、即时管理(JIT)、远程协议上的 MFA、跨主机 EDR 关联,以及针对 SMB/RPC 跨主机活动的 Sigma/MDE 检测进行防护。
如何防御 横向移动?
针对 横向移动 的防御通常结合技术控制与运营实践,详见上方完整定义。
横向移动 还有哪些其他名称?
常见的别称包括: 横向渗透, 内网横移。
● 相关术语
- compliance№ 687
MITRE ATT&CK
由 MITRE 维护、面向全球开放的对手战术与技术知识库,基于真实攻击观察持续更新。
- defense-ops№ 229
凭据访问
MITRE ATT&CK 战术 TA0006,涵盖窃取账户名、口令、令牌等机密信息的各种技术。
- defense-ops№ 193
Cobalt Strike
一款商业化的对手模拟平台,广泛用于红队行动,也常被攻击者滥用于后渗透与命令控制。
- identity-access№ 013
Active Directory
微软面向 Windows 网络的企业级目录服务,为用户、计算机和资源提供集中式身份验证、授权与策略管理。
- defense-ops№ 325
发现(MITRE 战术)
MITRE ATT&CK 战术 TA0007,涵盖攻击者获得访问后用于了解受害环境的各种技术。
- network-security№ 723
网络分段
将网络划分为多个区域并对区域间流量进行受控管理的实践,用以遏制入侵并落实最小权限。
● 参见
- № 107BloodHound
- № 790哈希传递攻击
- № 1088SSH 代理转发
- № 293欺骗防御技术