【攻防演练】从钓鱼上线到内网漫游
字数 1684 2025-08-06 18:07:47

从钓鱼上线到内网漫游 - 攻防演练技术解析

一、钓鱼攻击阶段

1.1 钓鱼邮件制作

  • 使用社会工程学手段设计诱饵主题(如"工资条"、"绩效考核"等)
  • 邮件正文模仿企业正式通知格式
  • 附件采用双重扩展名(如"工资明细.pdf.exe")
  • 使用合法域名相似的伪造发件人地址

1.2 恶意载荷构造

  • 使用Cobalt Strike生成payload
  • 采用混淆技术绕过杀毒软件检测:
    • Shellcode混淆
    • API调用混淆
    • 内存加载技术
  • 设置合理的回连间隔和Jitter值

1.3 钓鱼邮件投递

  • 通过SMTP协议发送
  • 伪造邮件头信息
  • 针对目标企业邮箱后缀进行定向投递
  • 避开垃圾邮件过滤机制

二、初始访问与权限维持

2.1 初始上线

  • 受害者执行恶意附件后建立C2连接
  • Beacon会话采用HTTP/HTTPS协议通信
  • 使用合法的User-Agent头伪装正常流量

2.2 权限提升技术

  • 本地提权漏洞利用:
    • CVE-2021-36934 (HiveNightmare)
    • CVE-2021-34527 (PrintNightmare)
  • 窃取凭据技术:
    • Mimikatz内存转储
    • LSASS进程转储
    • 注册表SAM提取

2.3 持久化机制

  • 计划任务创建
  • 注册表Run键修改
  • 服务创建
  • Startup文件夹放置快捷方式
  • WMI事件订阅

三、内网信息收集

3.1 主机信息收集

  • 执行systeminfo获取系统详情
  • 网络配置信息收集:
    • ipconfig /all
    • route print
    • arp -a
  • 用户和组信息:
    • net user
    • net localgroup administrators

3.2 网络拓扑探测

  • 使用ping扫描存活主机
  • 端口扫描技术:
    • TCP SYN扫描
    • UDP扫描
    • 全连接扫描
  • 利用ICMP、NetBIOS等协议识别内网结构

3.3 域环境信息收集

  • 域控制器定位:
    • nltest /dclist:<domain>
    • nslookup -type=srv _ldap._tcp.<domain>
  • 域信息枚举:
    • net group "Domain Admins" /domain
    • dsquery *
    • adfind工具使用

四、横向移动技术

4.1 凭据传递攻击

  • Pass-the-Hash (PtH)
  • Pass-the-Ticket (PtT)
  • Overpass-the-Hash
  • Kerberoasting攻击
  • AS-REP Roasting攻击

4.2 远程执行技术

  • WMI远程命令执行
  • PsExec利用
  • 计划任务远程创建
  • DCOM对象远程调用
  • WinRM远程管理

4.3 漏洞利用横向移动

  • SMB漏洞利用(如EternalBlue)
  • RDP漏洞利用
  • Zerologon (CVE-2020-1472) 攻击域控
  • Print Spooler漏洞利用

五、权限提升与域控攻陷

5.1 域管理员权限获取

  • 黄金票据伪造
  • 白银票据伪造
  • DCSync攻击
  • ACL滥用攻击

5.2 域控接管技术

  • ntds.dit文件提取
  • 组策略对象(GPO)修改
  • 域信任关系利用
  • 证书服务攻击

六、痕迹清理与防御规避

6.1 日志清除

  • 清除安全日志:
    • wevtutil cl security
    • wevtutil cl system
  • 清除PowerShell日志
  • 清除RDP连接记录

6.2 反取证技术

  • 时间戳修改
  • 文件属性修改
  • 内存中执行恶意代码
  • 无文件攻击技术

6.3 规避检测技术

  • 流量加密与混淆
  • 合法工具滥用(LOLBAS)
  • 进程注入与迁移
  • 休眠会话利用

七、防御建议

7.1 钓鱼防御

  • 员工安全意识培训
  • 邮件网关过滤
  • 附件沙箱分析
  • 禁用宏执行

7.2 内网防护

  • 网络分段隔离
  • 最小权限原则
  • 多因素认证
  • 特权账户管理

7.3 检测与响应

  • EDR部署
  • 异常行为监控
  • SIEM告警关联
  • 威胁狩猎

7.4 加固措施

  • 及时补丁更新
  • 禁用不必要的服务和协议
  • 配置强密码策略
  • 启用LSA保护

本技术文档详细记录了从钓鱼攻击到内网漫游的全过程关键技术点,仅供安全研究和防御参考,请勿用于非法用途。

从钓鱼上线到内网漫游 - 攻防演练技术解析 一、钓鱼攻击阶段 1.1 钓鱼邮件制作 使用社会工程学手段设计诱饵主题(如"工资条"、"绩效考核"等) 邮件正文模仿企业正式通知格式 附件采用双重扩展名(如"工资明细.pdf.exe") 使用合法域名相似的伪造发件人地址 1.2 恶意载荷构造 使用Cobalt Strike生成payload 采用混淆技术绕过杀毒软件检测: Shellcode混淆 API调用混淆 内存加载技术 设置合理的回连间隔和Jitter值 1.3 钓鱼邮件投递 通过SMTP协议发送 伪造邮件头信息 针对目标企业邮箱后缀进行定向投递 避开垃圾邮件过滤机制 二、初始访问与权限维持 2.1 初始上线 受害者执行恶意附件后建立C2连接 Beacon会话采用HTTP/HTTPS协议通信 使用合法的User-Agent头伪装正常流量 2.2 权限提升技术 本地提权漏洞利用: CVE-2021-36934 (HiveNightmare) CVE-2021-34527 (PrintNightmare) 窃取凭据技术: Mimikatz内存转储 LSASS进程转储 注册表SAM提取 2.3 持久化机制 计划任务创建 注册表Run键修改 服务创建 Startup文件夹放置快捷方式 WMI事件订阅 三、内网信息收集 3.1 主机信息收集 执行 systeminfo 获取系统详情 网络配置信息收集: ipconfig /all route print arp -a 用户和组信息: net user net localgroup administrators 3.2 网络拓扑探测 使用 ping 扫描存活主机 端口扫描技术: TCP SYN扫描 UDP扫描 全连接扫描 利用ICMP、NetBIOS等协议识别内网结构 3.3 域环境信息收集 域控制器定位: nltest /dclist:<domain> nslookup -type=srv _ldap._tcp.<domain> 域信息枚举: net group "Domain Admins" /domain dsquery * adfind 工具使用 四、横向移动技术 4.1 凭据传递攻击 Pass-the-Hash (PtH) Pass-the-Ticket (PtT) Overpass-the-Hash Kerberoasting攻击 AS-REP Roasting攻击 4.2 远程执行技术 WMI远程命令执行 PsExec利用 计划任务远程创建 DCOM对象远程调用 WinRM远程管理 4.3 漏洞利用横向移动 SMB漏洞利用(如EternalBlue) RDP漏洞利用 Zerologon (CVE-2020-1472) 攻击域控 Print Spooler漏洞利用 五、权限提升与域控攻陷 5.1 域管理员权限获取 黄金票据伪造 白银票据伪造 DCSync攻击 ACL滥用攻击 5.2 域控接管技术 ntds.dit文件提取 组策略对象(GPO)修改 域信任关系利用 证书服务攻击 六、痕迹清理与防御规避 6.1 日志清除 清除安全日志: wevtutil cl security wevtutil cl system 清除PowerShell日志 清除RDP连接记录 6.2 反取证技术 时间戳修改 文件属性修改 内存中执行恶意代码 无文件攻击技术 6.3 规避检测技术 流量加密与混淆 合法工具滥用(LOLBAS) 进程注入与迁移 休眠会话利用 七、防御建议 7.1 钓鱼防御 员工安全意识培训 邮件网关过滤 附件沙箱分析 禁用宏执行 7.2 内网防护 网络分段隔离 最小权限原则 多因素认证 特权账户管理 7.3 检测与响应 EDR部署 异常行为监控 SIEM告警关联 威胁狩猎 7.4 加固措施 及时补丁更新 禁用不必要的服务和协议 配置强密码策略 启用LSA保护 本技术文档详细记录了从钓鱼攻击到内网漫游的全过程关键技术点,仅供安全研究和防御参考,请勿用于非法用途。