攻防演练中红队的内网横向扩展

内网横向拓展，通常是指攻击者攻破某台内网终端或主机设备后，以此为基础，对相同网络环境中的其他设备发起的攻击活动；但也常常被用来泛指攻击者进入内网后的各种攻击活动。不同于外网纵向突破阶段由外到内的渗透过程，红队的内网横向拓展主要是指在突破进入目标网络内网以后，在内网主机、系统应用、服务器和网络设备等网络资产之间的跳转、控制、渗透过程。

在内网横向拓展阶段的主要工作就是围绕靶标等内网核心目标，在内网快速横向渗透拓展，实现控制权限最大化，最终达到攻击目标，主要的工作内容如下：

1. 内网信息搜集

内网信息搜集的重点主要有以下几方面：

• 内网存活的 IP 以及存活 IP 开放的端口和服务；

• 主机和服务器性质，判断设备所在区域是 DMZ 区、办公区还是服务器区，作用是文件服务器、Web 服务器、代理服务器、DNS 服务器、邮件服务器、病毒服务器、日志服务器、数据库服务器等之中的哪一个；

• 内网的网络拓扑、VLAN 划分、各网络节点和网段间的连通性；

• 内网通用的杀毒软件、防火墙、终端操作系统、OA 办公软件、即时通信软件或其他应用系统。

目标网情搜集中有关目标组织架构、网络建设、设备部署以及网络管理部门与关键管理人员的信息都会在内网拓展中起到相应的作用。

2. 重要目标定位

在内网横向拓展过程中对重要目标进行快速定位有两个好处：一是这些内网重要目标大多有网络部署、安全认证、核心业务等的重要信息，获取这些重要信息将对内网横向拓展具有极大帮助；二是这些重要目标多具有非常好的内网通联性，借助其内网通联优势，可快速在目标内网实现横向拓展。

这些内网重要目标包含内网关键服务器和内网重要主机。

• 内网关键服务器：云管平台、文件服务器、邮件服务器、堡垒机、域控服务器、综管平台或核心网关。

• 内网重要主机：核心业务部门主机、网络管理员主机、部门领导主机。

3. 内网渗透拓展

不同于外网纵向突破侧重于薄弱点的寻找和利用，内网渗透拓展的重点是安全认证信息和控制权限的获取。在内网渗透拓展过程中，攻击方会利用各种渗透手段，对内网各类重要目标进行渗透控制，尝试突破核心系统权限、控制核心业务、获取核心数据，最终实现对攻防演练靶标的控制。网渗透拓展的主要实现手段有内网漏洞利用、口令复用或弱口令、仿冒认证登录、内网水坑钓鱼等。

4. 内网控制维持

为保证攻击的顺利进行，需要从内网控制维持方面采取措施进行应对，主要工作包括渗透工具存活、隐蔽通信、隧道技术出网和控制驻留四方面。

• 针对内网杀毒软件可能导致的渗透工具被查杀的情况，对渗透工具针对性地进行免杀修改或利用白名单机制进行规避。

• 针对目标网络安全防护对异常流量、危险动作的监控可能导致攻击被拦截的情况，采用通信数据加密、合法进程注入等隐蔽通信进行隐藏。

• 针对内外网隔离，内网不能直接出网的情况，采用端口映射或隧道技术进行网络代理穿透。

• 针对目标主机或设备工作时间开机限制导致无法持续的情况，采用对远控工具进行控制驻留维持的措施，主要通过注册表、服务、系统计划任务、常用软件捆绑替代实现自启动驻留。

5. 内网持续提权

在攻击过程中，通过渗透拓展获取的应用系统、服务器、个人终端主机等目标的控制权限不一定是最大的，可能只是普通应用或用户权限，后续的一些攻击动作常常会因为权限不足而受到限制或无法开展，这就需要通过提权操作来将初步获取的普通权限提升到较高权限，以方便进行下一步的操作。用到的提权操作主要有以下四类：

• 系统账户提权。主要是将操作系统普通账户权限提升为管理员权限，主要通过一些系统提权漏洞实现

• 数据库提权。主要是通过获取的数据库管理权限，进一步操作本地配置文件写入或执行命令来获取本地服务器权限。

• Web Server 应用提权。主要是通过获取的 Web 应用管理权限，利用 Web 应用可能存在的缺陷来执行一些系统命令，达到获取本地服务器系统控制权限的目的。

• 虚拟机逃逸。虚拟机逃逸是指通过虚拟应用权限获取宿主物理机控制权限，主要通过虚拟机软件或者虚拟机中运行的软件的漏洞利用，达到攻击或控制虚拟机宿主操作系统的目的。