1. 执行横向移动

1.1. 攻击者利用它们在网络中从一台设备移动到另一台设备，其目的是加强他们在网络中的存在性，并访问许多包含有价值信息或用于控制诸如安全等敏感功能的设备

• 1.1.1. 横向移动阶段被认为是最长的阶段，因为黑客需要时间来遍历整个网络
• 1.1.2. 攻击者可以通过这些途径溜进溜出
• 1.1.3. 一旦完成这个阶段，几乎无法阻止黑客进一步破坏受害者的系统
• 1.1.3.1. 受害者的命运几乎总是注定的

1.2. 第1阶段：用户泄露

• 1.2.1. 如果攻击者想要进行下一步，则他们必须突破所有应用程序控制，以用户身份运行任意代码、程序或脚本
• 1.2.2. 恶意软件安装
• 1.2.2.1. 攻击者以用户的身份将他们的程序（恶意软件）安装到计算机上，使攻击者能够持续访问计算机
• 1.2.2.2. 还可以包括键盘记录程序、屏幕抓取程序、凭据窃取工具，以及打开、捕获和重定向麦克风和摄像头的能力
• 1.2.2.3. 这些恶意软件植入可以进行自定义的重编译，以逃避反恶意软件的签名检测
• 1.2.3. 信标、指挥控制
• 1.2.3.1. 根据攻击者的设置，恶意软件通常会立即开始发送信标，来向控制服务器通告其可用性，但这可能会延迟数天、数周或更长时间，以规避客户检测和清理行动
• 1.2.3.2. 1998年发现的切尔诺贝利恶意软件，它被设计为在特定日期和时间发送信标，这一天是切尔诺贝利核灾难的周年纪念日

1.3. 第2阶段：工作站管理员访问

• 1.3.1. 如果受攻击的用户已经是本地管理员，那么攻击者就已经在使用这些管理权限运行任意攻击代码，他们不需要其他东西就可以开始散列传递(Pass-the-Hash，PtH)或窃取和重用凭据
• 1.3.2. 如果受攻击的用户没有任何特殊访问权限，那么攻击者需要利用未打补丁的权限提升漏洞（在应用程序或操作系统组件中）来获取admin权限
• 1.3.3. 零日漏洞对攻击者来说可能比较昂贵，但是对现有打过补丁的系统来说，漏洞攻击成本较低甚至是免费的

1.4. 像黑客一样思考

• 1.4.1. 要阻止一名黑客，或者要成为一名成功的红队成员，你必须学会像黑客一样思考
• 1.4.2. 资产通过安全关系彼此互联，攻击者通过使用不同的技术（如鱼叉式网络钓鱼）登录到图中的某个位置，从而破坏网络
• 1.4.3. 网络中的图是在资产之间创建等价类的安全依赖集合
• 1.4.3.1. 网络设计、网络管理、网络中使用的软件和服务以及网络中用户的行为都会影响此图
• 1.4.4. 管理员最常犯的一个错误是没有特别留意连接到数据中心(Data Centers，DC)或服务器的工作站

1.5. 告警规避

• 1.5.1. 攻击者需要避免在横向移动阶段触发告警
• 1.5.2. 如果网络管理员检测到网络上存在威胁，他们将彻底地扫描网络，阻止攻击者取得进展
• 1.5.3. 攻击者使用合法工具进行横向移动已经成为一种趋势

2. 端口扫描

2.1. 端口扫描可能是黑客游戏中唯一保留下来的旧技术

2.2. 从一开始就保持了相当的稳定性，因此可以通过各种工具以相同的方式执行

2.3. 端口扫描用于横向移动，目的是识别黑客可以攻击并试图从中获取有价值数据的感兴趣的系统或服务

2.4. 监控系统通常被配置为识别网络上的异常行为，但是用足够慢的速度扫描，监控工具将检测不到扫描活动

2.5. Nmap工具通常是大多数人的首选，因为它有大多数功能，并且总是可靠稳定的

3. 文件共享

3.1. 文件共享是攻击者在他们已经入侵的网络中执行横向移动的另一种常用方法

3.2. 主要目的是捕获网络中的大部分可用数据

3.3. 文件共享是许多网络中使用的协作机制

3.4. 使客户能够访问存储在服务器或某些个人计算机上的文件

3.5. net实用程序可供具有有效凭据的net use命令连接到远程系统上的Windows管理共享

3.6. 文件共享为黑客提供了低检测概率的优势，因为这些是正常情况下不受监控的合法流量通道

• 3.6.1. 恶意攻击者将有充足的时间来访问、复制甚至编辑网络中任何共享媒体的内容，也有可能在共享环境中植入其他缺陷，以感染复制文件的计算机

3.7. 当黑客已经获得一个具有高级权限的账户的访问权时，这种技术是非常有效的

• 3.7.1. 有了这些权限，他们就可以借助读写权限访问大多数共享数据

3.8. PowerShell工具Nishang

4. 远程桌面

4.1. 远程桌面是远程访问和控制计算机的另一种合法方式，可能会被黑客滥用以达到横向移动的目的

4.2. 相对于Sysinternals的主要优势在于，它为攻击者提供了被攻击的远程计算机的完全交互式图形用户界面(Graphical User Interface，GUI)

4.3. 远程桌面在许多情况下被用来访问控制企业安全软件解决方案、网络监控和安全系统的服务器

4.4. 远程桌面连接是完全加密的，因此对任何监控系统都是不透明的

4.5. 是IT人员使用的常见管理机制，所以它们不能被安全软件标记

4.6. 主要缺点是，在远程计算机上工作的用户可以知道外部人员何时登录到计算机

• 4.6.1. 攻击者通常会在目标计算机或服务器上没有用户时使用远程桌面
• 4.6.2. 晚上、周末、节假日和午餐休息时间是常见的攻击时间

4.7. 由于Windows操作系统的服务器版本通常允许多个会话同时运行，因此用户在服务器上几乎不可能注意到RDP连接

4.8. 通过使用一个称为EsteemAudit的漏洞利用远程桌面来攻击目标

• 4.8.1. EsteemAudit是黑客组织Shadow Brokers从美国国家安全局(NSA)窃取的漏洞利用之一
• 4.8.2. EsteemAudit利用了块间堆(inter-chunk heap)溢出，块间堆是系统堆内部结构的一部分，而系统堆又是Windows智能卡的一个组成部分
• 4.8.3. 攻击的最终结果是危害远程桌面，允许未经授权的人进入远程机器
• 4.8.3.1. 缓冲区溢出用于实现这一目标

4.9. 远程桌面服务漏洞(CVE-2019-1181/1182)

• 4.9.1. 攻击者可以通过RDP连接到目标系统，并发送专门开发的请求，无须进行身份验证

5. 计划任务

5.1. Windows有一个命令，攻击者可以使用它来计划在本地或远程计算机上自动执行任务

• 5.1.1. 让黑客远离了犯罪现场

5.2. 计划的任务不仅仅用于为任务的执行计时

5.3. 黑客还利用它们以系统用户权限执行任务

• 5.3.1. 在Windows中，这可以被视为权限提升攻击，因为系统用户完全控制执行计划任务的计算机

5.4. 攻击者还会使用计划任务在不引发告警的情况下长期窃取数据

5.5. 是计划可能使用大量CPU资源和网络带宽的任务的完美方式

• 5.5.1. 当需要压缩大型文件并通过网络传输时，计划任务是合适的

6. 令牌盗窃

6.1. 黑客一旦进入网络，就会使用令牌盗窃进行横向移动

6.2. 利用Mimikatz和Windows Credentials Editor等工具在计算机内存中查找用户账户

• 6.2.1. 其他攻击者正在使用PowerShell等工具来避免检测

6.3. 可能被反病毒程序检测到在执行可疑的操作

6.4. 可以非常快速地提升用户权限，可以与阻止反病毒程序的工具配合使用，以完全阻止检测

7. 失窃凭据

7.1. 尽管在安全工具上投入了大量资金，但用户凭据始终面临被窃风险

7.2. 普通计算机用户会使用一个容易猜到的密码，或者在几个系统中重复使用同一个密码

8. 可移动介质

8.1. 像核设施这样的敏感设施往往有气隙网络(air-gapped network)

8.2. 气隙网络与外部网络隔离，从而最大限度地减少了攻击者远程入侵的机会

8.3. 攻击者可以通过在可移动设备上植入恶意软件来进入气隙网络环境

8.4. 自动运行功能被专门用于将恶意软件配置为在介质插入计算机时执行

• 8.4.1. 如果一个被感染的介质被插入几台计算机中，那么黑客将成功地横向移动到这些系统
• 8.4.2. 该恶意软件可用于实施攻击，如擦除驱动器、损害系统完整性或加密某些文件

9. 受污染的共享内容

9.1. 一些组织将常用文件放在所有用户都可以访问的共享空间中

9.2. 允许黑客在网络中横向移动，并在此过程中访问更多系统

9.3. 黑客可能会使用恶意软件在组织中实施大规模攻击，这可能会使一些部门陷入瘫痪

10. 远程注册表

10.1. Windows操作系统的核心是注册表，因为它可以控制机器的硬件和软件

10.2. 注册表通常被用作其他横向移动技术和战术的一部分

10.3. 如果攻击者已经可以远程访问目标计算机，那么它也可以作为一种技术

• 10.3.1. 以远程编辑注册表以禁用保护机制、禁用自动启动程序（如防病毒软件），并安装支持恶意软件不间断存在的配置

11. 应用程序部署

11.1. 系统管理员更喜欢使用应用程序部署系统在企业环境中推送新软件和更新，而不是手动安装这些东西

• 11.1.1. 黑客使用相同的系统在整个网络中部署恶意软件

11.2. 黑客从管理员那里窃取域凭据

• 11.2.1. 这使得攻击者能够访问企业软件部署系统
• 11.2.2. 黑客成功地将恶意软件横向传播到其他计算机上

12. 网络嗅探

12.1. 攻击者使用不同的方法来嗅探网络，要么首先获得对工作站的访问权，然后通过入侵无线网络开始嗅探，要么通过内部人员获得对网络的访问权

12.2. 混杂模式下的交换网络具有较低的嗅探风险，但是攻击者仍然可以获得通过Wireshark专门发送的明文凭据

12.3. 用户部分可能遭受中间人攻击或ARP欺骗

13. ARP欺骗

13.1. 地址解析协议(Address Resolution Protocol，ARP)用于将IP地址解析为MAC地址

13.2. 当一台设备想要与同一网络上的另一台设备通信时，它会查找ARP表，以找到目标接收方的MAC地址

13.3. 该信息将存储在ARP表中，两台设备将进行通信

13.4. ARP欺骗攻击是攻击者使用的一种伎俩，他们在网络上发送伪造的ARP响应，将非法的MAC地址链接到合法的IP地址，这将导致非法设备截取通信

13.5. ARP欺骗是实施中间人攻击的方式之一

13.6. 它允许黑客使用Ettercap等ARP工具来嗅探HTTP数据包

13.7. 是一种非常高效的横向移动技术，因为黑客可以在网络中获取非常多的凭据

14. 受害主机分析

14.1. 可能是所有横向移动技术中最简单的

14.2. 发生在攻击者已经获得对计算机的访问权之后

• 14.2.1. 攻击者会在被入侵的计算机上寻找有助于他们进一步攻击的信息
• 14.2.2. 信息包括存储在浏览器中的密码、存储在文本文件中的密码、被入侵用户的日志和屏幕截图，以及存储在组织内部网络中的任何详细信息

14.3. 对这种计算机的分析可以被用来为对组织更具破坏性的攻击做准备

15. 中央管理员控制台

15.1. 目标是中央管理控制台，而不是单个用户

15.2. 从控制台控制感兴趣的设备要比每次都闯入省力得多

15.3. 这种类型的访问使他们超越了安全系统，甚至可以限制一个组织的网络管理员的操作