騰訊安全推出御界NDR「橫移檢測版」，全面檢測域滲透攻擊

1.背景
一直以來，大量企業飽受域滲透攻擊困擾。

由於企業內部資產及使用者量龐大，大多數企業選擇 AD 域作為使用者和主機統一管理的方案，然而由於防護體系不完善，攻擊者往往透過攻擊域控進而攻擊企業內部核心裝置，獲取企業機密資料。

域滲透不需要經過 ISP 防火牆、出口閘道器防火牆的審查，而大多數企業往往在網路出口處佈置重兵把守，而內網域環境的防護相對來說千瘡百孔，傳統的安全防護體系（防火牆、IDS）已經不足以抵擋目前的域滲透威脅。

騰訊安全玄武實驗室作為頂尖前沿研究團隊，多年深耕於Windows內網安全和域滲透安全研究。2016年玄武實驗室發現了目前為止Windows環境中影響最廣泛的漏洞“BadTunnel”，從Win95到Win10均受波及，並在全球頂級安全會議BlackHat上分享了該成果。2018年在ZeroNights國際網路安全峰會和HITB安全大會上分享了NTLM Relay攻擊伺服器的新方法。2021年在知名國際安全會議DEFCON上分享了遠端攻破Exchange郵件伺服器的嚴重漏洞。除此之外，玄武實驗室更是在2021年發現了堪比永恆之藍的研究成果——印表機漏洞（CVE-2021-1675），該漏洞能夠實現透過普通的域使用者攻破包括域控在內的幾乎所有域內Windows主機。對於攻破主機之後如何建立C2隱蔽控制通道，玄武實驗室也曾在BlackHat Asia 2021會議中提出了全新的方案。

在近幾年的攻防演習中，玄武實驗室發現，大部分企業並沒有對域滲透中的常見手法做出有效的防護，較容易被突破。

基於此，騰訊高階威脅檢測系統（御界NDR）與玄武實驗室圍繞內網域滲透場景共建攻防靶場，聯合推動安全能力提升，包括域資訊收集、域賬戶許可權提升、橫向移動、許可權維持、攻擊目標達成五個域滲透攻擊階段，針對常見的攻擊方法，提出了對應的檢測方法，旨在協助企業構建應對域滲透威脅活動的能力，透過對域內流量、日誌、行為資料的即時分析，識別域內安全風險。

2.域內橫向滲透剖析
作為企業網路安全運營人員和系統風險管理人員必須關注Windows域環境滲透攻擊的五個主要階段：

a) 域資訊收集

攻擊者進行本機資訊收集、域內組織架構資訊收集、登入憑證竊取、存活主機探測、內網埠掃描，探查可能儲存機密檔案和敏感資訊的主機位置，確定橫向移動的目標。

b) 許可權提升

攻擊者透過獲取憑證，借用某個擁有特權的應用或者服務，以及利用程式漏洞等方法提高自身對系統和資源的訪問許可權。

c) 橫向移動

攻擊者在內網中透過配置不當或易受攻擊的遠端協議，以被攻陷的主機為跳板，繼續訪問或控制其他內網機器，擴大戰果。

d) 許可權維持

攻擊者獲取伺服器許可權後，建立後門來維持對目標的控制權並且降低被發現的機率。

e) 攻擊目標達成

攻擊者透過竊取敏感資料、控制關鍵性系統服務等手段完從中牟取金錢利益或達成破壞目的。

2.1域資訊收集

在攻擊者進入內網進行後，會首先進行資訊收集，儘可能獲取各種資訊以初步瞭解內網情況，對於目標網路的工作人員資訊、系統資產的服務資訊、元件資訊都會進行詳盡的蒐集，方便進行下一步攻擊。例如攻擊者會在內網中進行埠掃描，NBNS掃描，匿名SMB共享掃描，遠端主機網路卡資訊掃描，內網域名資訊蒐集，使用BloodHound等工具收集域內組織架構和ACL等資訊。

這個階段的所有操作往往都是攻擊者以被入侵的部分主機為跳板，與其他內網目標資產建立網路連線完成掃描探測，併產生大量異常的SMB、MS-RPC、LDAP、Kerberos等東西向流量。

2.2許可權提升
攻擊者透過系統核心溢位漏洞提權、錯誤的系統配置提權、資料庫提權、組策略首選項(GPP)提權等方法繞過系統中的所有安全限制，獲得Administrator，甚至System、TrustedInstaller等高許可權。

以Netlogon許可權提升漏洞(CVE-2020-1472)為例，Netlogon遠端協議是一個遠端過程呼叫（RPC）介面，用於完成Windows域中使用者和計算機身份驗證等操作，該漏洞主要是由於在使用Netlogon協議與域控進行連線時，認證協議加密演算法部分存在缺陷，攻擊者可以向域控發起域控計算機賬戶的身份認證請求, 使用8位元組全0的client challenge 不斷嘗試得到一個正確的8位元組全為0的client credential 透過認證，再透過相關呼叫進一步修改域控計算機賬戶口令。最終透過域控計算機賬戶的身份遠端獲取域控上儲存的域內使用者hash，進而獲得域管理員許可權，並進一步控制整個域。

2.3橫向移動
當攻擊者獲取到內網某臺機器的控制權後，會以被攻陷的主機為跳板，透過收集域內憑證等各種方法，訪問域內其他機器，進一步擴大攻擊範圍。透過SMB檔案共享、At/Schtasks計劃任務、PsExec遠端建立服務、WMI遠端執行命令、WinRM遠端執行Powershell命令等手段，攻擊者不斷橫向移動到域內其他主機，並不斷重複資訊蒐集和許可權提升等步驟，最終可能獲得域控制器的訪問許可權，進而控制域環境下的全部Windows主機。

由於SMB、WMI、DCOM、Task Scheduler計劃任務等服務提供的強大的遠端管理能力，他們常被攻擊者在橫向移動過程中濫用。攻擊者利用這些服務不僅可以System許可權來執行指定應用程式，而且還可以獲得對目標主機進行互動式命令控制的能力，只要攻擊者輸入想要執行的命令，就能在遠端主機上執行並返回執行結果。近幾年，透過呼叫WinRM來進行遠端命令執行的工具也屢見不鮮，WinRM是Powershell Remoting技術的基礎，透過它攻擊者可以在目標主機執行任意Powershell程式碼，訪問、配置、管理和控制幾乎所有計算機資源。攻擊者進行橫向移動使用的常見工具一般包括psexec、wmiexec、dcomexec、winrs、evil-winrm等。

2.4許可權維持
當攻擊者在滲透過程中透過各種手段終於獲取了目標主機許可權後，接下來要做的往往是在受害機器上建立一個後門來維持住所獲得的許可權，否則一旦密碼被改變或者漏洞被修補，那麼就會導致對伺服器許可權的丟失。Windows域內的許可權維持手法五花八門，比如攻擊者利用Golden Ticket技術偽造生成任意域使用者的TGT，進而達到偽造系統中的任意使用者身份的目的，或利用Silver ticket偽造Service Ticket，對域內主機進行持久化控制。

以Golden Ticket為例，在攻擊者獲取域管理員許可權後，可以使用DCSync技術匯出域控上儲存的所有域使用者的hash，其中有一個krbtgt的使用者hash是Kerberos域認證流程中使用的一個重要的加密金鑰，每個域使用者的TGT都是由krbtgt的hash計算生成，有了它攻擊者就可以隨意偽造任意域使用者的TGT（Golden Ticket）並增加TGT的有效時間，以達到長期控制Windows域的目的。

2.5攻擊目標達成
在此階段中，攻擊者將逐步實現其任務的終極目標，包括竊取企業商業機密、企業產品原始碼、客戶資料等資訊，造成企業嚴重資料洩露，攻擊者甚至可以破壞企業關鍵性任務系統的正常執行，導致企業業務運營全面中斷，或加密重要資料實施勒索給企業帶來巨大財務損失等。

若未能有效檢測和阻斷以上惡意攻擊行為，企業不僅會在最終階段中遭受重大的經濟損失，也會嚴重影響企業的聲譽和社會形象，甚至需要承擔資料洩露造成的法律責任。

3.御界NDR域滲透全覆蓋檢測方案
根據上述五個主要攻擊階段，可以看到內網域滲透跨越了多條攻擊鏈，在域滲透攻擊的檢測與響應中，目前的檢測難點主要有：

a) 單一的安全防護很難全面感知攻擊面。

構建有效的防禦以防止攻擊者進入內網可以將內網域滲透攻擊降到最低。但外部防禦的效果有沒有覆蓋攻擊者常用的攻擊手段常常無從得知。攻擊者在整個攻擊過程中橫跨了攻擊鏈的多個階段且攻擊手法豐富，單一防護很難全面感知到所有攻擊面並檢測。

b) 無法識別和分析域內特有的通訊協議。

在內網中端與端之間存在一些特定的認證協議和通訊流量，只有把這部分的協議和相關的流量採集並解析出來才能夠發現安全問題和風險。傳統安全裝置缺乏對KERBEROS、 DCERPC、SMB、 NetBIOS、LLMNR等協議的解析能力，所以在檢測過程中儘管採集到了攻擊流量，但難以發現其中的攻擊行為。

c) 橫向滲透影響範圍難以量化評估，無法快速響應。

攻擊發生後，政企安全運維人員難以視覺化內網滲透攻擊的全部過程，攻擊者初始從哪臺機器出現，橫向滲透了哪些機器，又以哪些機器作為跳板進行了二次攻擊，這些問題難以視覺化和量化導致政企安全運維只能救火式地應急響應。

面對日益嚴峻的內網安全形勢，騰訊高階威脅檢測系統（御界NDR）與玄武實驗室圍繞內網域滲透場景展開深度合作，聯合推動產品安全能力的提升，目前已經覆蓋支援100多種域滲透攻擊、攻擊手法的檢測，覆蓋域資訊收集、許可權提升、橫向移動、許可權維持檢測，包含50多種內網域滲透攻擊工具。目前御界NDR內建檢測策略包括但不限於：

域內高危遠端方法呼叫檢測。

匿名網路共享、未知網路共享檢測。

組策略遠端操作行為監控和記錄。

域賬戶爆破檢測。

重要許可權授予濫用檢測。

域內敏感配置遠端操作檢測。

風險埠暴露檢測與具有低版本風險協議的資產進行檢測。

攻擊武器指紋檢測。

4.產品優勢及效果
a) 檢測手段多樣，支援已知與未知域滲透攻擊的檢測

結合大資料處理、加密流量檢測等能力，提供全流量溯源分析與取證，支援多種複雜內網域內協議的解析識別，既包含已知內網域滲透攻擊的檢測，也能覆蓋未知攻擊的檢測。對未知攻擊的檢測主要基於未知檔案共享、異常認證協議等方法進行，不強依賴於武器指紋特徵庫，具有更強的泛化能力。在某物流企業的應用案例中，騰訊高階威脅檢測系統（御界NDR）實時監控來自外部駭客及內部運維人員的資料竊取、高危操作、誤操作等行為，成功檢測出來自攻擊者的近千起域滲透攻擊。

b) 資產風險披露，感知內網域滲透影響面

支援對於暴露敏感埠以及遭受可疑掃描爆破行為資產的披露，向客戶展示可能的攻擊影響面，有助於主動排查並防護攻擊者的域滲透攻擊。在和國內某企業的攻防演練中，騰訊高階威脅檢測系統（御界NDR）成功檢測出來自攻擊者的數千條內網可疑埠掃描及爆破流量，保護2000多個辦公機器不被攻擊者利用，為企業內網安全保駕護航。

c) 域滲透檢測覆蓋面廣

結合騰訊玄武實驗室多年攻防經驗，共建攻防靶場，從攻擊者視角出發，可感知到攻擊者在各個階段的流量資訊，檢測面更廣，漏檢的可能性更低，目前已經覆蓋支援上百種攻擊手法的檢測，從多個維度的資料進行分析判斷，確保攻擊者無法繞過檢測。在和國內某頭部企業的合作中，騰訊高階威脅檢測系統（御界NDR）透過域滲透防禦等能力成功檢測出來自攻擊者的變形域滲透攻擊，幫助其成功守護了3000多個雲伺服器和160個公共服務和網站。

d) 一鍵處置內網域滲透攻擊告警

能夠宏觀感知到攻擊過程中系統裡受影響的資產，可以做到有跡可循，有證可查，對於內網域滲透在流量引擎側、威脅情報側以及沙箱側檢出的告警，騰訊高階威脅檢測系統（御界NDR）由騰訊天幕PaaS提供底層安全算力演算法支撐，提供一鍵處理誤報與一鍵阻斷資產連線策略的響應功能，顯著提高安全運維人員調查事件和處理警報的效率，形成檢測響應閉環，在內網攻防中為運營人員爭分奪秒保護系統資產。

5.總結
騰訊高階威脅檢測系統（御界NDR）與玄武實驗室圍繞內網域滲透場景聯合推動安全能力提升，結合騰訊多年積累的海量安全資料與多年攻防演練經驗，運用資料模型、安全模型、感知演算法模型識別網路攻擊及高階威脅(APT) ，目前，騰訊高階威脅檢測系統（御界NDR）已服務政府、金融、網際網路等行業客戶，針對性地為多家頭部企業提供內網防護策略。