御界NDR「横移检测版」保卫内网安全，全面检测域渗透攻击

长按二维码关注

腾讯安全威胁情报中心

一直以来，大量企业饱受域渗透攻击困扰。

由于企业内部资产及用户量庞大，大多数企业选择 AD 域作为用户和主机统一管理的方案，然而由于防护体系不完善，攻击者往往通过攻击域控进而攻击企业内部核心设备，获取企业机密数据。

域渗透不需要经过 ISP 防火墙、出口网关防火墙的审查，而大多数企业往往在网络出口处布置重兵把守，而内网域环境的防护相对薄弱，传统的安全防护体系（防火墙、IDS）已经不足以抵挡目前的域渗透威胁。

腾讯安全玄武实验室作为顶尖前沿研究团队，多年深耕于Windows内网安全和域渗透安全研究。2016年玄武实验室发现了目前为止Windows环境中影响最广泛的漏洞“BadTunnel”，从Win95到Win10均受波及，并在全球顶级安全会议BlackHat上分享了该成果。2018年在ZeroNights国际网络安全峰会和HITB安全大会上分享了NTLM Relay攻击服务器的新方法。2021年在知名国际安全会议DEFCON上分享了远程攻破Exchange邮件服务器的严重漏洞。

除此之外，玄武实验室更是在2021年发现了堪比永恒之蓝的研究成果——打印机漏洞（CVE-2021-1675），该漏洞能够实现通过普通的域用户攻破包括域控在内的几乎所有域内Windows主机。对于攻破主机之后如何建立C2隐蔽控制信道，玄武实验室也曾在BlackHat Asia 2021会议中提出了全新的方案。

在近几年的攻防演习中，玄武实验室发现，大部分企业并没有对域渗透中的常见手法做出有效的防护，较容易被突破。

从常见威胁事件的入侵路径看，入侵者利用漏洞、钓鱼或爆破弱口令等方式首先攻陷一个节点作为入侵落脚点，一般来讲，首个失陷的设备在全网中的作用往往有限，攻击者获得的访问权限也有限。此时，攻击者一般不会很快暴露其目的（比如勒索、挖矿或窃取大量数据），过早暴露的攻击者无法获得他所期望的高收益。

攻击者一般会利用当前落脚点在内网展开横向移动，使用更多黑客工具去尝试探测、攻击其他主机，以控制更高权限的帐户、更有价值的系统，甚至试图控制域控制器。若攻陷域控制器，攻击者就能为所欲为，比如遍历文件，窃取该组织最有价值的信息。释放勒索软件，彻底瘫痪目标网络等。

LockBit勒索软件家族采用的就是上述攻击手法，该勒索软件家族曾重创国内某知名IT公司。2021年，全球知名资讯巨头埃森哲被LockBit勒索软件团伙攻击，导致超过6TB数据被盗，勒索赎金高达5000万美元。2022年，LockBit勒索软件升级到3.0，该团伙发布百万美元悬赏计划，面向全球收购最新的安全漏洞，这是首个恶意软件团伙公开发布漏洞悬赏计划。

面对上述威胁，腾讯安全高级威胁检测系统（御界NDR）的解决之道是强化对异常网络流量的检测，快速发现恶意软件横向移动迹象，在攻击者突破网络单点进入内网展开下一步行动之前，提前感知快速响应，从而避免灾难事件发生。

腾讯高级威胁检测系统（御界NDR）与玄武实验室围绕内网域渗透场景展开深度合作，共建攻防靶场，联合推动安全能力提升，目前已经覆盖支持100多种域渗透攻击、攻击手法，50多种内网域渗透攻击工具的检测，覆盖域信息收集、权限提升、横向移动、权限维持检测，通过对域内流量、日志、行为数据的即时分析，识别域内安全风险。旨在协助企业构建应对域渗透威胁活动的能力，

目前御界NDR针对域渗透的内置检测策略包括但不限于：

• 域内高危远程方法调用检测。

• 匿名网络共享、未知网络共享检测。

• 组策略远程操作行为监控和记录。

• 域账户爆破检测。

• 重要权限授予滥用检测。

• 域内敏感配置远程操作检测。

• 风险端口暴露检测与具有低版本风险协议的资产进行检测。

• 攻击武器指纹检测。

御界NDR团队结合腾讯玄武实验室多年攻防经验，从攻击者视角出发，可感知到攻击者在各个阶段的流量信息，检测面更广，从多个维度的数据进行分析判断，漏检的可能性更低。

在和国内某头部金融企业的攻防演练合作中，攻击队通过钓鱼邮件进入内网后，通过BloodHound、Certity等工具收集域内组织架构、ACL、ADCS服务、证书模板等信息，发现了ADCS服务中存在配置错误的证书模板，使低权限用户具有 WriteDacl权限，所以攻击队利用ESC4进行提权，使低权限用户通过ESC1伪造身份申请高权限证书进行身份验证，以此打下域控。

腾讯高级威胁检测系统（御界NDR）通过域渗透防御能力成功检测出了攻击者在整个事件的钓鱼阶段、域信息收集阶段、提权阶段产生的恶意文件和异常SMB、LDAP、Kerberos东西向恶意流量，准确定位到攻击队跳板机及失陷资产，有效还原事件全貌，及时采取针对性的应急加固措施，防止了攻击范围的扩大。

在企业实际应用场景，当黑客攻陷单一节点后，在内网横移过程中，会加强内网信息的收集获取，以判断已攻陷系统的价值。在此过程中，腾讯御界NDR可以准确检测到威胁横移以及失陷系统向黑客控制的C2上传企业涉密信息的活动。及时向管理员告警，提醒安全运维团队及时采取措施阻止黑客的进一步行动。

腾讯高级威胁检测系统（御界NDR）与玄武实验室围绕内网域渗透场景联合推动安全能力提升，结合腾讯多年积累的海量安全数据与多年攻防演练经验，运用数据模型、安全模型、感知算法模型识别网络攻击及高级威胁(APT) ，目前，腾讯高级威胁检测系统（御界NDR）已服务政府、金融、互联网等行业客户，针对性地为多家头部企业提供内网防护策略。

腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑，帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

长按二维码关注

腾讯安全威胁情报中心

原文始发于微信公众号（腾讯安全威胁情报中心）：御界NDR「横移检测版」保卫内网安全，全面检测域渗透攻击