横向移动攻击点与识别

攻击者进入到目标网络后，下一步就是在内网中横向移动，然后再获取数据，所以攻击者需要一些立足点，因此横向移动会包含多种方式。本文关注于在横向移动中所采用的技术手段，以及对应的案例和检测方法。

AppleScript是苹果的脚本语言， OS执行AppleScript。那么问题就来了，攻击可以用这个功能和SSH连接，也可以向远程发送交互对话框。虽然不能远程启动应用，但如果远程应用已经起来的话，就可以交互控制了。而且由于AppleScript的脚本语言特性，可以用python搞反向shell。

去年有一个案例，攻击者把恶意代码隐藏在Excel的属性里，打开后能看到Powershell代码。

使用AppleScript：

脚本在Mac用Office相同的权限运行，代码尝试连接恶意服务器。

2、防范措施

所有AppleScript都有开发ID签名，防止随机AppleScript代码执行。监控osascript执行AppleScript。

根据权限，在目标范围内安装软件，也包括软件的自动更新下载。

1、案例

最著名的就是APT32了，居然入侵了McAfee的ePO服务器进行恶意软件分发，而且用的还是ePO专有协议。真的很用心了。

2、防范措施

对安装应用权限进行回收，包括防火墙，账户权限隔离，组策略和多因素验证，确保关键系统的访问隔离。定期打补丁，防止特权升级。

监控应用安装情况，应用安装固定在某个时间段，这样可以发现非正常时间段的异常安装，监控系统账户活动。

DCOM是微软的透明中间件，可以让客户端调用服务器，一般是DLL或EXE，其中权限由注册表的ACL指定，默认只有管理员可以远程激活启动COM对象。通过DCOM，攻击者可以使用Office执行宏，甚至可以直接的shellcode。

1、 案例

POWERSTATS是个利用WORD钓鱼的APT工具，整个流程如下。其中PowerShell包含了一个risk的命令，则是利用了DCOM对象执行代码。

2、 防范措施

用Dcomcnfg.exe禁用DCOM或修改安全范围。启用Windows防火墙，默认阻止DCOM实例化，启用所有COM警报和Protected View。

监控COM对象加载DLL。监控COM对象关联的进程的生成，特别是和当前登录用户不同的用户调用。监控RPC流量的进入。

利用漏洞实现对远程系统访问，通常先是扫描查找漏洞系统，有一些很常见的漏洞比如SMB、RDP、MySQL以及各种Web，然后利用这些漏洞提升权限。

1、案例

APT28，来自俄罗斯，针对酒店业。在ORD里包含一个宏，然后部署恶意软件，为了在酒店内传播，利用了永恒之蓝SMB漏洞的一个版本。

2、防范措施

安全域细分，减少对关键系统和服务的访问。服务最小化。定期扫描服务，发现新增和有漏洞的服务。最小化服务账户权限和访问权限。服务器定期更新补丁。

Windows 的Defender攻击防护套件，还有个EMET增强性套件，不过今年7月底就不再提供支持了。

Windows可在登录系统时运行登录脚本，脚本可以执行管理功能，比如执行其他应用，发送日志之类。攻击者可以在这个脚本里插入代码，这样登陆时就可以执行攻击。既可以本地持久性，也可以全局推送。

Mac也有类似功能，和启动项不大一样的是，登录以root身份执行。所以也存在脚本插入代码的问题。

1、案例

又是APT28，在注册表HKCU\Environment\UserInitMprLogonScript添加木马建立持久性。

2、 防范措施