1.背景

一直以来，大量企业饱受域渗透攻击困扰。

由于企业内部资产及用户量庞大，大多数企业选择 AD 域作为用户和主机统一管理的方案，然而由于防护体系不完善，攻击者往往通过攻击域控进而攻击企业内部核心设备，获取企业机密数据。

域渗透不需要经过 ISP 防火墙、出口网关防火墙的审查，而大多数企业往往在网络出口处布置重兵把守，而内网域环境的防护相对来说千疮百孔，传统的安全防护体系（防火墙、IDS）已经不足以抵挡目前的域渗透威胁。

腾讯安全玄武实验室作为顶尖前沿研究团队，多年深耕于 Windows 内网安全和域渗透安全研究。2016 年玄武实验室发现了目前为止 Windows 环境中影响最广泛的漏洞“BadTunnel”，从 Win95 到 Win10 均受波及，并在全球顶级安全会议 BlackHat 上分享了该成果。2018 年在 ZeroNights 国际网络安全峰会和 HITB 安全大会上分享了 NTLM Relay 攻击服务器的新方法。2021 年在知名国际安全会议 DEFCON 上分享了远程攻破 Exchange 邮件服务器的严重漏洞。除此之外，玄武实验室更是在 2021 年发现了堪比永恒之蓝的研究成果——打印机漏洞（CVE-2021-1675），该漏洞能够实现通过普通的域用户攻破包括域控在内的几乎所有域内 Windows 主机。对于攻破主机之后如何建立 C2 隐蔽控制信道，玄武实验室也曾在 BlackHat Asia 2021 会议中提出了全新的方案。

在近几年的攻防演习中，玄武实验室发现，大部分企业并没有对域渗透中的常见手法做出有效的防护，较容易被突破。

基于此，腾讯高级威胁检测系统（御界 NDR）与玄武实验室围绕内网域渗透场景共建攻防靶场，联合推动安全能力提升，包括域信息收集、域账户权限提升、横向移动、权限维持、攻击目标达成五个域渗透攻击阶段，针对常见的攻击方法，提出了对应的检测方法，旨在协助企业构建应对域渗透威胁活动的能力，通过对域内流量、日志、行为数据的即时分析，识别域内安全风险。

2.域内横向渗透剖析

作为企业网络安全运营人员和系统风险管理人员必须关注 Windows 域环境渗透攻击的五个主要阶段：

a) 域信息收集

攻击者进行本机信息收集、域内组织架构信息收集、登录凭证窃取、存活主机探测、内网端口扫描，探查可能保存机密文件和敏感信息的主机位置，确定横向移动的目标。

b) 权限提升

攻击者通过获取凭证，借用某个拥有特权的应用或者服务，以及利用程序漏洞等方法提高自身对系统和资源的访问权限。

c) 横向移动

攻击者在内网中通过配置不当或易受攻击的远程协议，以被攻陷的主机为跳板，继续访问或控制其他内网机器，扩大战果。

d) 权限维持

攻击者获取服务器权限后，建立后门来维持对目标的控制权并且降低被发现的概率。

e) 攻击目标达成

攻击者通过窃取敏感数据、控制关键性系统服务等手段完从中牟取金钱利益或达成破坏目的。

2.1 域信息收集

在攻击者进入内网进行后，会首先进行信息收集，尽可能获取各种信息以初步了解内网情况，对于目标网络的工作人员信息、系统资产的服务信息、组件信息都会进行详尽的搜集，方便进行下一步攻击。例如攻击者会在内网中进行端口扫描，NBNS 扫描，匿名 SMB 共享扫描，远程主机网卡信息扫描，内网域名信息搜集，使用 BloodHound 等工具收集域内组织架构和 ACL 等信息。

这个阶段的所有操作往往都是攻击者以被入侵的部分主机为跳板，与其他内网目标资产建立网络连接完成扫描探测，并产生大量异常的 SMB、MS-RPC、LDAP、Kerberos 等东西向流量。

2.2 权限提升

攻击者通过系统内核溢出漏洞提权、错误的系统配置提权、数据库提权、组策略首选项(GPP)提权等方法绕过系统中的所有安全限制，获得 Administrator，甚至 System、TrustedInstaller 等高权限。

以 Netlogon 权限提升漏洞(CVE-2020-1472)为例，Netlogon 远程协议是一个远程过程调用（RPC）接口，用于完成 Windows 域中用户和计算机身份验证等操作，该漏洞主要是由于在使用 Netlogon 协议与域控进行连接时，认证协议加密算法部分存在缺陷，攻击者可以向域控发起域控计算机账户的身份认证请求, 使用 8 字节全 0 的 client challenge 不断尝试得到一个正确的 8 字节全为 0 的 client credential 通过认证，再通过相关调用进一步修改域控计算机账户口令。最终通过域控计算机账户的身份远程获取域控上保存的域内用户 hash，进而获得域管理员权限，并进一步控制整个域。

2.3 横向移动

当攻击者获取到内网某台机器的控制权后，会以被攻陷的主机为跳板，通过收集域内凭证等各种方法，访问域内其他机器，进一步扩大攻击范围。通过 SMB 文件共享、At/Schtasks 计划任务、PsExec 远程创建服务、WMI 远程执行命令、WinRM 远程执行 Powershell 命令等手段，攻击者不断横向移动到域内其他主机，并不断重复信息搜集和权限提升等步骤，最终可能获得域控制器的访问权限，进而控制域环境下的全部 Windows 主机。

由于 SMB、WMI、DCOM、Task Scheduler 计划任务等服务提供的强大的远程管理能力，他们常被攻击者在横向移动过程中滥用。攻击者利用这些服务不仅可以 System 权限来运行指定应用程序，而且还可以获得对目标主机进行交互式命令控制的能力，只要攻击者输入想要执行的命令，就能在远程主机上执行并返回执行结果。近几年，通过调用 WinRM 来进行远程命令执行的工具也屡见不鲜，WinRM 是 Powershell Remoting 技术的基础，通过它攻击者可以在目标主机执行任意 Powershell 代码，访问、配置、管理和控制几乎所有计算机资源。攻击者进行横向移动使用的常见工具一般包括 psexec、wmiexec、dcomexec、winrs、evil-winrm 等。

2.4 权限维持

当攻击者在渗透过程中通过各种手段终于获取了目标主机权限后，接下来要做的往往是在受害机器上创建一个后门来维持住所获得的权限，否则一旦密码被改变或者漏洞被修补，那么就会导致对服务器权限的丢失。Windows 域内的权限维持手法五花八门，比如攻击者利用 Golden Ticket 技术伪造生成任意域用户的 TGT，进而达到伪造系统中的任意用户身份的目的，或利用 Silver ticket 伪造 Service Ticket，对域内主机进行持久化控制。

以 Golden Ticket 为例，在攻击者获取域管理员权限后，可以使用 DCSync 技术导出域控上保存的所有域用户的 hash，其中有一个 krbtgt 的用户 hash 是 Kerberos 域认证流程中使用的一个重要的加密密钥，每个域用户的 TGT 都是由 krbtgt 的 hash 计算生成，有了它攻击者就可以随意伪造任意域用户的 TGT（Golden Ticket）并增加 TGT 的有效时间，以达到长期控制 Windows 域的目的。

2.5 攻击目标达成

在此阶段中，攻击者将逐步实现其任务的终极目标，包括窃取企业商业机密、企业产品源码、客户数据等信息，造成企业严重数据泄露，攻击者甚至可以破坏企业关键性任务系统的正常运行，导致企业业务运营全面中断，或加密重要数据实施勒索给企业带来巨大财务损失等。

若未能有效检测和阻断以上恶意攻击行为，企业不仅会在最终阶段中遭受重大的经济损失，也会严重影响企业的声誉和社会形象，甚至需要承担数据泄露造成的法律责任。

3.御界 NDR 域渗透全覆盖检测方案

根据上述五个主要攻击阶段，可以看到内网域渗透跨越了多条攻击链，在域渗透攻击的检测与响应中，目前的检测难点主要有：

a) 单一的安全防护很难全面感知攻击面。

构建有效的防御以防止攻击者进入内网可以将内网域渗透攻击降到最低。但外部防御的效果有没有覆盖攻击者常用的攻击手段常常无从得知。攻击者在整个攻击过程中横跨了攻击链的多个阶段且攻击手法丰富，单一防护很难全面感知到所有攻击面并检测。

b) 无法识别和分析域内特有的通信协议。

在内网中端与端之间存在一些特定的认证协议和通信流量，只有把这部分的协议和相关的流量采集并解析出来才能够发现安全问题和风险。传统安全设备缺乏对 KERBEROS、 DCERPC、SMB、 NetBIOS、LLMNR 等协议的解析能力，所以在检测过程中尽管采集到了攻击流量，但难以发现其中的攻击行为。

c) 横向渗透影响范围难以量化评估，无法快速响应。

攻击发生后，政企安全运维人员难以可视化内网渗透攻击的全部过程，攻击者初始从哪台机器出现，横向渗透了哪些机器，又以哪些机器作为跳板进行了二次攻击，这些问题难以可视化和量化导致政企安全运维只能救火式地应急响应。

面对日益严峻的内网安全形势，腾讯高级威胁检测系统（御界 NDR）与玄武实验室围绕内网域渗透场景展开深度合作，联合推动产品安全能力的提升，目前已经覆盖支持 100 多种域渗透攻击、攻击手法的检测，覆盖域信息收集、权限提升、横向移动、权限维持检测，包含 50 多种内网域渗透攻击工具。目前御界 NDR 内置检测策略包括但不限于：

• 域内高危远程方法调用检测。

• 匿名网络共享、未知网络共享检测。

• 组策略远程操作行为监控和记录。

• 域账户爆破检测。

• 重要权限授予滥用检测。

• 域内敏感配置远程操作检测。

• 风险端口暴露检测与具有低版本风险协议的资产进行检测。

• 攻击武器指纹检测。

4.产品优势及效果

a) 检测手段多样，支持已知与未知域渗透攻击的检测

结合大数据处理、加密流量检测等能力，提供全流量溯源分析与取证，支持多种复杂内网域内协议的解析识别，既包含已知内网域渗透攻击的检测，也能覆盖未知攻击的检测。对未知攻击的检测主要基于未知文件共享、异常认证协议等方法进行，不强依赖于武器指纹特征库，具有更强的泛化能力。在某物流企业的应用案例中，腾讯高级威胁检测系统（御界 NDR）实时监控来自外部黑客及内部运维人员的数据窃取、高危操作、误操作等行为，成功检测出来自攻击者的近千起域渗透攻击。

b) 资产风险披露，感知内网域渗透影响面

支持对于暴露敏感端口以及遭受可疑扫描爆破行为资产的披露，向客户展示可能的攻击影响面，有助于主动排查并防护攻击者的域渗透攻击。在和国内某企业的攻防演练中，腾讯高级威胁检测系统（御界 NDR）成功检测出来自攻击者的数千条内网可疑端口扫描及爆破流量，保护 2000 多个办公机器不被攻击者利用，为企业内网安全保驾护航。

c) 域渗透检测覆盖面广

结合腾讯玄武实验室多年攻防经验，共建攻防靶场，从攻击者视角出发，可感知到攻击者在各个阶段的流量信息，检测面更广，漏检的可能性更低，目前已经覆盖支持上百种攻击手法的检测，从多个维度的数据进行分析判断，确保攻击者无法绕过检测。在和国内某头部企业的合作中，腾讯高级威胁检测系统（御界 NDR）通过域渗透防御等能力成功检测出来自攻击者的变形域渗透攻击，帮助其成功守护了 3000 多个云服务器和 160 个公共服务和网站。

d) 一键处置内网域渗透攻击告警

能够宏观感知到攻击过程中系统里受影响的资产，可以做到有迹可循，有证可查，对于内网域渗透在流量引擎侧、威胁情报侧以及沙箱侧检出的告警，腾讯高级威胁检测系统（御界 NDR）由腾讯天幕 PaaS 提供底层安全算力算法支撑，提供一键处理误报与一键阻断资产连接策略的响应功能，显著提高安全运维人员调查事件和处理警报的效率，形成检测响应闭环，在内网攻防中为运营人员争分夺秒保护系统资产。

5.总结

腾讯高级威胁检测系统（御界 NDR）与玄武实验室围绕内网域渗透场景联合推动安全能力提升，结合腾讯多年积累的海量安全数据与多年攻防演练经验，运用数据模型、安全模型、感知算法模型识别网络攻击及高级威胁(APT) ，目前，腾讯高级威胁检测系统（御界 NDR）已服务政府、金融、互联网等行业客户，针对性地为多家头部企业提供内网防护策略。