网络安全横向移动指南

在网络安全方面,了解威胁参与者的工具、技术和思维过程非常重要。

一旦对手获得对网络的初始访问权限,横向移动允许他们通过破坏目标组织网络中的其他主机来扩展访问权限并保持持久性。

威胁行为者可以收集有关公司用户活动和凭据、重要数据位置的信息,并利用提升权限的方法成功完成他们的攻击、盗窃或间谍活动。

什么是横向移动?

横向移动是网络攻击者使用的一种常见策略,用于在整个网络中旋转,以便访问受害组织的敏感信息和用户信息。

威胁行为者获得公司网络的访问权限后,通常会尝试通过横向移动和侦察收集尽可能多的有关组织的信息,包括关键信息的位置、用户活动、如何获得特权以及如何避免被发现。

在企图进行任何盗窃或损坏之前,所有这些信息都是在尽可能多的组件或设备上秘密收集的。

例如,通过横向移动进行侦察可以帮助网络攻击者了解如何加密或泄露敏感数据,具体取决于哪些机器传输的信息量最大。

它还可以揭示网络上的哪些机器可能持有帐户或子网数据、如何提升权限以获得管理或系统访问权限,或者密码可能存储在何处。

未检测到成功的横向移动的时间越长,威胁参与者在网络中的立足点就越大。

为什么攻击者使用横向移动

横向移动可能是网络攻击者可以采用的一种非常有效的策略,因为它可以让他们了解有关受害组织网络的大量信息。

BianLian组织是最近使用横向移动的威胁行为者的例子。通常通过横向移动,在网络攻击的这个阶段收集的所有信息都可以帮助威胁参与者确定窃取或破坏目标企业的最有效方法。

它还系统地允许他们获得对网络多个部分的持久性,这意味着即使他们在一台设备上被检测到,他们也可以在其他区域继续他们的攻击。

横向移动通常包括:

  • 网络发现:攻击者有机会查看和了解组织的网络、识别信任边界并了解哪些类型的用户拥有哪些级别的访问权限。

  • 防御闪避:利用这些获得的知识,网络攻击者可以将他们的行为与典型的用户行为相匹配,从而最大限度地减少被发现的机会。

  • 收集和渗漏:威胁行为者使用横向移动来找到他们的目标位置,以泄露敏感数据。

  • 特权升级:通过窃取有效凭据,威胁行为者可以在管理级别获得额外特权,以进一步渗透系统并实现邪恶目标。

攻击者如何实现横向移动

威胁行为者采用各种技术成功实现横向移动。他们包括:

  • 凭据访问攻击

  • 利用远程服务攻击

  • 哈希传递攻击

  • 票据传递攻击

  • Cookie盗窃攻击

  • 污染共享内容攻击

凭证访问攻击

为了开始横向移动活动,网络攻击者必须获得有效凭证才能访问组织的系统,通常是通过单个设备。获得访问权限后,他们可以移动到需要与原始机器相同权限级别的其他机器。

威胁行为者可以通过凭证转储、密码存储或捕获输入来获取初始权限。当诸如 mimikatz (一种开源恶意软件程序)之类的工具访问操作系统中存储的凭据时,就会发生凭据转储。

密码管理器或 Web 浏览器等常见密码存储位置可以被窃听,威胁行为者还可以在用户键入或复制密码以获取访问权限时记录击键或监视剪贴板。

利用远程服务攻击

远程服务通常用于成功的横向移动。SMB 和 RDP 有几个众所周知的漏洞。除了操作系统本机服务外,IT 和系统管理员使用的远程访问软件也可能被威胁参与者滥用和利用,以成功进行横向移动。

哈希传递攻击

该技术使用窃取的密码哈希值(通常通过凭证转储获得)来规避身份验证控制。威胁行为者无需破解哈希即可有效使用它们,而是利用身份验证协议。

票据传递攻击

与 Pass the Hash 非常相似,票据传递攻击是 Kerberos 变体,它使用偷来的 Kerberos 票证横向移动。不需要访问帐户的明文密码。

Cookie盗窃攻击

为了验证 Web 应用程序,会话 cookie 被窃取然后重放。这是未正确管理的单点登录设备中的一个重大漏洞。

污染共享内容攻击

上传恶意代码或破坏共享驱动器上现有文件的威胁行为者可以在其他用户访问此共享内容时成功地在网络内横向移动。

使用横向移动的攻击类型

当今各种各样的网络攻击都使用横向移动。它们包括但不限于:

  • 勒索软件

  • 数据渗漏

  • 间谍

  • 僵尸网络感染

勒索软件

勒索软件可能是最广为人知和最令人恐惧的网络攻击类型,它持有关键数据或网络访问作为人质,直到向威胁行为者支付大笔资金。

横向移动可以让这些网络攻击者感染网络中的多个设备,从而获得对组织的影响力。通过以关键任务服务器为目标,威胁行为者可以停止企业的日常工作流程,使员工在支付赎金之前无法正常工作或为客户提供服务。

此外,威胁行为者可能会泄露敏感信息,并威胁如果不满足赎金条款,就会删除、加密或将数据发布到暗网上。

数据渗漏

由于敏感数据通常存储在受保护的环境中,因此必须使用横向移动技术在信息被盗之前找到并访问这些信息。

一旦成功,威胁行为者就可以复制这些敏感数据,包括知识产权、客户身份或财务信息,并用它来破坏组织或持有它以索取赎金。

间谍

尽管网络攻击通常与数据和身份盗窃或勒索软件攻击有关,但它们也可用于间谍活动或网络间谍活动。

与典型的攻击不同,参与间谍活动的威胁参与者希望在整个网络中游荡时尽可能长时间不被发现。

横向移动允许这些人观察用户在网络上的行为,并收集有关系统随时间在做什么的重要信息。

僵尸网络感染

横向移动可以有效地增加网络攻击者在僵尸网络感染中可以控制的设备数量。

在僵尸网络攻击期间,威胁行为者接管系统内的多个设备,并使用恶意软件将它们置于自己的控制之下。

通常称为分布式拒绝服务 (DDoS) 攻击,这些违规行为导致合法个人无法通过网络中断使用设备。

停止横向移动

通过采用有效的安全控制措施来打击横向移动,组织可以在横向移动活动影响其网络或系统之前停止横向移动活动。

以下是这样做的关键行动:

  • 使用双因素身份验证 (2FA):此安全方法要求用户提供两种形式的身份验证以访问数据,帮助企业监控和保护敏感数据和关键网络。

  • 实施最小权限:确保所有用户只能访问其工作所需的数据和资源级别,不能超过。严密保护管理和系统访问。

  • 适当地分割网络:监控信任边界并确保网络被分割以防止横向移动。

  • 最大限度地利用现有的安全工具:许多组织利用安全基础设施附带的大量安全设备和工具来检测异常登录。例如,利用云服务中的条件访问策略。

  • 主动寻找威胁:不要因安全警报而超载。投资安全解决方案,提供可操作的威胁情报和搜寻,以最大限度地减少误报并解决关键问题。

  • 与专业合作:专业安全服务商为公司提供多年的网络安全管理经验和威胁防御。对于尚未准备好的企业,采用是很好的解决方案。

理想情况下,您的安全团队的横向移动检测和响应将遵守 1-10-60 规则。

简而言之,当您的网络基础设施受到攻击时,应该需要 1 分钟的检测时间、10 分钟的调查时间和 60 分钟的时间来解决威胁。

对横向移动网络安全的思考

尽管横向移动对于当今的威胁行为者来说是一种常见且有效的策略,但经验丰富的安全专家可以帮助组织减轻他们可能造成的损害。

来自专业的网络安全服务包括横向移动检测,使组织能够在攻击者有机会在其网络中站稳脚跟之前定位并消灭他们,让他们高枕无忧。

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mfbz.cn/a/2249.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Spark - 继承 FileOutputFormat 实现向 HDFS 地址追加文件

目录 一.引言 二.源码浅析 1.RDD.saveAsTextFile 2.TextOutputFormat 3.FileOutputFormat 三.源码修改 1.修改文件生成逻辑 - getRecordWriter 2.允许目录存在 - checkoutputSpecs 3.全部代码 - TextOutputFormatV2 四.追加存储代码实战 五.总结 一.引言 Output d…

关于STM32用DMA传输UART空闲中断中接收的数据时无法接收数据问题以及解决办法

一、stm32 cube ide 配置 1、DMA串口接收数据的ide配置如下图所示 串口1相关的设置及printf函数的使用,这里没放,建议先实现串口打印功能 2、相关的知识点 普通模式和循环模式的区别在于,普通模式下,DMA只会接收一次数据&#x…

微前端(无界)

前言:微前端已经是一个非常成熟的领域了,但开发者不管采用哪个现有方案,在适配成本、样式隔离、运行性能、页面白屏、子应用通信、子应用保活、多应用激活、vite 框架支持、应用共享等用户核心诉求都或存在问题,或无法提供支持。本…

DS18B20温度传感器简介和1-Wire驱动程序

目录DS18B20简介DS18B20的两种供电方式64位ROM温度传感器1-Wire Bus简介DS18B20通信时序初始化ROM相关命令(后续包含任何数据交换的操作)功能相关命令(后续包含任何数据交换的操作)单个DS18B20读取温度值驱动多个DS18B20读取温度值驱动DS18B20简介 DS18B20数字温度计提供9位到…

学习系统编程No.7【进程替换】

引言: 北京时间:2023/3/21/7:17,这篇博客本来昨天晚上就能开始写的,但是由于笔试强训的原因,导致时间用在了做题上,通过快2个小时的垂死挣扎,我充分意识到了自己做题能力的缺陷和运用新知识的缺…

致远OA敏感信息泄露漏洞合集(含批量检测POC)

文章目录前言敏感信息泄露A6 status.jsp 信息泄露漏洞漏洞描述漏洞影响网络测绘漏洞复现POC 批量检测getSessionList.jsp Session泄漏漏洞漏洞描述网络测绘批量检测POC致远OA 帆软组件 ReportServer 目录遍历漏洞漏洞描述漏洞影响网络测绘POC(批量检测)A6 createMysql.jsp 数据…

Java stream性能比较

环境 Ubuntu 22.04IntelliJ IDEA 2022.1.3JDK 17CPU:8核 ➜ ~ cat /proc/cpuinfo | egrep -ie physical id|cpu cores physical id : 0 cpu cores : 1 physical id : 2 cpu cores : 1 physical id : 4 cpu cores : 1 physical id : 6 cpu cores : 1 physical id …

浏览器工作原理

一、JavaScript 的历史 JavaScript(简称JS)Web前端开发的脚本语言。 它诞生1995年,由网景公司的 Brendan Eich 开发。最初,JavaScript 被设计用于在网页上嵌入动态内容和交互式功能。 1996年,JavaScript 1.1 成为国…

C++虚函数与多态

C虚函数与多态虚函数抽象类纯虚函数虚析构函数多态虚函数的几个问题纯虚函数和ADT虚函数 virtual修饰的成员函数就是虚函数, 1.虚函数对类的内存影响:增加一个指针类型大小(32位和64位) 2.无论有多少个虚函数,只增加一…

【ansible】模块介绍超详解(下)

目录 六,软件包管理 1,yum_repository模块 (1)yum_repository模块常用选项 (2)yum_repository模块案例 2,mount模块 (1)mount模块选项 (2)mount模…

大数据简介

大数据概论和职业规划Linux服务器系统Hadoop概论HDFS分布式文件系统Hive数据仓库SparSQL指令Zepplin框架Sqoop框架Superset数据可视化大数据数仓实战-didi出行大数据概念大数据特点大数据应用场景大数据分析业务步骤大数据职业规划大数据学习路线。大数据概念数据:世…

基于YOLOv5的舰船检测与识别系统(Python+清新界面+数据集)

摘要:基于YOLOv5的舰船检测与识别系统用于识别包括渔船、游轮等多种海上船只类型,检测船舰目标并进行识别计数,以提供海洋船只的自动化监测和管理。本文详细介绍船舰类型识别系统,在介绍算法原理的同时,给出Python的实…

【系统开发】WebSocket + SpringBoot + Vue 搭建简易网页聊天室

文章目录一、数据库搭建二、后端搭建2.1 引入关键依赖2.2 WebSocket配置类2.3 配置跨域2.4 发送消息的控制类三、前端搭建3.1 自定义文件websocket.js3.2 main.js中全局引入websocket3.3 App.vue中声明websocket对象3.4 聊天室界面.vue3.5 最终效果一、数据库搭建 很简单的一个…

数据结构与算法——二叉树+带你实现表达式树(附源码)

📖作者介绍:22级树莓人(计算机专业),热爱编程<目前在c++阶段,因为最近参加新星计划算法赛道(白佬),所以加快了脚步,果然急迫感会增加动力>——…

ThreadLocal详解

一、什么是ThreadLocal 1、什么是ThreadLocal&为什么用ThreadLocal ThreadLocal,即线程本地变量,在类定义中的注释如此写This class provides thread-local variables。如果创建了一个ThreadLocal变量,那么访问这个变量的每个线程都会有…

C++基础算法④——排序算法(插入、桶附完整代码)

排序算法 1.插入排序 2.桶排序 1.插入排序 基本思想:将初始数据分为有序部分和无序部分;每一步将无序部分的第一个值插入到前面已经排好序的有序部分中,直到插完所有元素为止。步骤如下: 每次从无序部分中取出第一个值&#x…

图像分类卷积神经网络模型综述

图像分类卷积神经网络模型综述遇到问题 图像分类:核心任务是从给定的分类集合中给图像分配一个标签任务。 输入:图片 输出:类别。 数据集MNIST数据集 MNIST数据集是用来识别手写数字,由0~9共10类别组成。 从MNIST数据集的SD-1和…

在Clion开发工具上使用NDK编译可以在安卓上执行的程序

1. 前言 因为工作需要,我要将一份C语言代码编译成可执行文件传送到某安卓系统里执行。 众所周知,使用ndk编译代码有三种使用方式,分别是基于 Make 的 ndk-build、CMake以及独立工具链。以前进行ndk编程都是使用ndk-build进行的,新…

RocketMQ的基本概念、系统架构、单机安装与启动

RocketMQ的基本概念、系统架构、单机安装与启动 文章目录RocketMQ的基本概念、系统架构、单机安装与启动一、基本概念1、消息(Message)2、主题(Topic)3、标签(Tag)4、队列(Queue)5、…

C# 教你如何终止Task线程

我们在多线程中通常使用一个bool IsExit类似的代码来控制是否线程的运行与终止,其实使用CancellationTokenSource来进行控制更为好用,下面我们将介绍CancellationTokenSource相关用法。C# 使用 CancellationTokenSource 终止线程使用CancellationTokenSo…
最新文章