本博客所有网络安全相关教程、漏洞原理、渗透实操、攻防技术等内容,仅用于合法安全学习、白帽技术交流、企业授权安全测试。
所有技术严禁用于未授权探测、非法入侵、数据窃取、网络攻击等任何违反《中华人民共和国网络安全法》的违法行为。
任何个人利用本文内容实施违规操作,所产生的一切法律责任与后果均由当事人自行承担,与本人无关。
倡导正向网络安全学习,坚守白帽底线,共建清朗网络环境。
一、基础概念
1.横向移动
攻击者拿下一台内网主机后,(跳板机),利用漏洞/弱口令,从这台机器访问内网其他服务器、终端,逐步控制整个内网。
2.重点危险端口
- 135:RPC远程调用
- 139/445:SMB/文件共享(永恒之蓝、IPC、横向重灾区)
- 3389:RDP远程桌面
二、四种主流横向方式+痕迹识别
1.SMB横向+永恒之蓝MS17-010(445端口)
原理
永恒之蓝漏洞利用SMB协议远程代码执行,无密码直接植入木马、挖矿、勒索。
流量特征
单台主机短时间对内网大量IP445端口批量发包(SYN)
Wireshark过滤:tcp.port==445,大量内网跨IPSMB会话
系统日志痕迹
受害机Windows安全日志:异常匿名登录、服务创建(7045新增服务)
跳板机:外联恶意IP
应急排查命令
#Windows查看本机445外联
netstat -ano | findstr "445"
#Linux抓内网445扫描
tcpdump host 内网IP and port 4452.IPC$空连接横向(139/445)
原理
利用Windows默认共享C、ADMIN、IPC¥,弱口令/空命令远程连接,复制木马、创建计划任务执行后门。
行为特征
- 内网主机之间频繁IPC连接
- 跳板机访问目标、、192.168.x.x\C$
日志
目标机出现4624成功登录、陌生远程访问共享记录
3.RDP暴力横向(3389)
原理
拿到本地管理员密码后,对外网全段3389字典爆破,远程登录接管主机。
痕迹
- 跳板机短时间大量向外3389连接
- 各受害者主机安全日志大量4625登录失败,夹杂4624成功
4.凭据窃取横向(mimikatz抓密码)
攻击者在跳板机抓取本机账号密码,复用密码登录同域/同工作组其他机器。
**现象:**多台主机同一账号异地异常登录
三、快速排查三步法
第一步 找"异常跳板机"
1.查看内网哪台机器对外批量访问135/445/3389
netstat -ano
#筛选高危端口
netstat -ano | findstr "445"
netstat -ano | findstr "3389"2.单IP短时间海量内网连接------>判定沦陷跳板机
第二步 受害者主机日志核查
- RDP爆破:eventvwr.msc------>安全日志4625、4624
- SMB异常访问:系统日志+安全日志匿名记录
第三步 流量佐证(Wireshark)
tcp.port == 445 || tcp.port == 3389 || tcp.port == 135单个源IP不断遍历不同内网目标=横向扫描
四、对应应急处置流程
1.紧急隔离
跳板机断网,内网交换机封禁恶意主机IP,临时防火墙关闭主机外网出网
2.临时封堵端口
边界防火墙临时阻断外网入445、135、3389;内网非必要机器关闭445/139
3.全盘查杀
跳板机全盘查挖矿、远控木马、Webshell;用Autoruns排查异常启动项、陌生服务
4.全内网密码整改
横向大多依靠弱口令复用,统一修改管理员密码,禁用空口令
5.漏洞补丁
永恒之蓝:安装MS17-010补丁
五、内网共享相关常用命令
#查看本机开启共享
net share
#删除可疑共享
net share C$ /delete
查看远程IPC连接记录
net use