什么是横向移动？

发布时间：2024 年 6 月 17 日
撰稿人：Gregg Lindemulder、Amber Forrest

什么是横向移动？

横向移动是网络犯罪分子在获得未经授权的访问后用来深入组织网络的一种策略。在横向移动期间，威胁参与者可能会部署恶意软件、入侵用户帐户并逃避安全控制，以寻找敏感数据或知识产权等高价值目标。

横向移动并不是每一次网络攻击的特征，但它可能是最具破坏性的网络安全威胁之一。这是因为横向移动依赖于用户凭据盗窃来逐渐深入被入侵的网络。这种类型的入侵需要安全团队进行更复杂的事件响应，并且其响应生命周期通常比任何其他感染媒介都要长。

《数据泄露的代价》报告

获取重要见解，帮助您的安全和 IT 团队更好地管理风险并限制潜在损失。

横向移动的工作原理

从广义上讲，横向移动攻击分为两部分：初始突破，然后是内部移动。黑客必须首先通过规避端点安全来获得对网络的访问权限。他们可能会使用网络钓鱼攻击或恶意软件来破坏设备或应用程序，或通过开放的服务器端口获得初始访问权限。攻击者进入网络后，可以通过以下横向移动阶段开始扩展到网络的其他区域：

侦察
在站稳脚跟后，攻击者就会绘制网络图并规划到达目标的路线。他们查找有关网络层次结构、操作系统、用户帐户、设备、数据库和应用程序的信息，以了解这些资产是如何连接的。他们还可能勘察网络安全控制，然后利用所学到的知识来躲避安全团队。

权限提升
当黑客了解网络布局时，他们可以使用各种横向移动技术来接触更多的设备和帐户。通过渗透更多资源，黑客不仅更接近他们的目标，而且还使移除自身变得更加困难。即使安全操作将他们从一台或两台机器上移除，他们仍然可以访问其他资产。

当黑客横向移动时，他们试图以越来越高的权限捕获资产和帐户。这种行为被称为“权限升级”。攻击者拥有的权限越多，他们在网络中能做的就越多。最终，黑客的目标是获得管理权限，这使他们几乎可以去任何地方，做几乎任何事情。

达成目标
黑客会根据需要组合并重复横向移动技术，直到到达目标。通常，他们会寻找敏感信息来收集、加密和压缩，以便将数据渗漏到外部服务器。或者，他们可能希望通过删除数据或使用恶意软件感染关键系统来破坏网络。根据其最终目标，黑客可能会尽可能长时间地保留后门和远程访问点，以尽量提升破坏程度。

横向移动技术

凭据转储：黑客会窃取合法用户的用户名和密码，然后将这些凭据“转储”到自己的机器上。他们还可能窃取最近登录过设备的管理员的凭据。

传递哈希攻击：一些系统在传输和存储密码之前将其转换或“哈希化”为难以辨认的数据。黑客可以窃取这些密码哈希值，并使用它们欺骗身份验证协议，获取受保护的系统和服务的权限。

传递票据：黑客使用窃取的 Kerberos 票据来访问网络上的设备和服务。（Kerberos 是 Microsoft Active Directory 使用的默认身份验证协议。）

暴力攻击：黑客通过使用脚本或机器人来侵入帐户，生成和测试潜在的密码，直到密码生效为止。

社会工程：黑客可以使用被入侵的员工电子邮件帐户发起网络钓鱼攻击，旨在获取特权帐户的登录凭据。

劫持共享资源：黑客可以通过共享资源、数据库和文件系统传播恶意软件。例如，它们可能会劫持跨 macOS 和 Linux 操作系统连接系统的 Secure Shell (SSH) 功能。

PowerShell 攻击：黑客可以使用 Windows 命令行界面 (CLI) 和脚本编制工具 PowerShell 更改配置、窃取密码或运行恶意脚本。

离地攻击：在横向移动的后期阶段，黑客可以依靠他们已经入侵的内部资产，而不是外部恶意软件。这种方法使他们的活动看起来合法，并使他们更难被发现。

利用横向移动的网络攻击

高级持续性威胁 (APT)：横向移动是 APT 攻击团伙的基本策略，其目的是在较长时间内渗透、探索和扩大他们在网络中的访问权限。他们经常使用横向移动来保持不被发现，同时进行数月甚至数年的多次网络攻击。

网络间谍：由于网络间谍活动的本质是定位和监控敏感数据或程序，因此横向移动是网络间谍的一项关键能力。民族国家经常雇用老练的网络罪犯，因为他们能够在目标网络内自由移动，并在不被发现的情况下对受保护的资产进行侦察。

勒索软件：勒索软件攻击者进行横向移动，以访问和控制许多不同的系统、域、应用程序和设备。他们可以捕获的越多，这些资产对组织的运营就越重要，他们在要求支付回报时的筹码价值就越大。

僵尸网络感染：随着横向移动的进展，黑客会控制被入侵网络中越来越多的设备。他们可以连接这些设备来创建机器人网络或僵尸网络。成功的僵尸网络感染可被用于发起其他网络攻击、分发垃圾邮件或欺骗一大批目标用户。

检测横向移动攻击

由于横向移动可以在网络中迅速升级，因此早期检测对于减轻损害和损失至关重要。安全专家建议采取措施，帮助区分正常的网络进程与可疑活动，例如：

分析用户行为：异常大量的用户登录、深夜登录、用户访问意外的设备或应用程序或者登录失败次数激增都可能是横向移动的迹象。借助机器学习的行为分析可以识别异常用户行为并向安全团队发出警报。

保护端点：个人工作站、智能手机、平板电脑和服务器等易受攻击的联网设备是网络威胁的主要目标。端点检测和响应 (EDR) 和 Web 应用程序防火墙等安全解决方案对于实时监控端点和防止网络漏洞至关重要。

创建网络分区：网络分段可以帮助阻止横向移动。对网络的不同区域要求单独的访问协议会限制黑客拓展控制范围的能力。它还使检测异常网络流量变得更加容易。

监控数据传输：数据库操作突然加速或向异常位置大量传输数据，都可能是横向移动正在进行的信号。监控和分析来自数据源的事件日志的工具，例如安全信息和事件管理 (SIEM) 或网络检测和响应 (NDR)，可以帮助识别可疑的数据传输模式。

使用多重身份验证 (MFA)：如果黑客成功窃取了用户凭据，多重身份验证可以通过添加另一层安全性来帮助防止泄露。有了 MFA，仅凭被盗密码无法访问受保护系统。

调查潜在威胁：自动安全系统可能会提供误报，而遗漏之前未知或未修复的网络威胁。人工威胁搜索在最新的威胁情报的辅助下，可以帮助企业调查潜在威胁并准备有效的事件响应。

积极主动：修补和更新软件、实施最低权限系统访问、对员工进行安全措施培训以及执行渗透测试有助于防止横向移动。持续修补给黑客带来机会的漏洞至关重要。