偵測與調查橫向移動:網路流量分析框架
技術指南:透過被動式網路偵測與應變(NDR)識別惡意跳板、遭濫用的管理協定及事件分流工作流
管理常態的幻覺
隔離橫向移動的核心挑戰,在於所涉及之協定的本質。SMB、RDP 和 PSExec 等服務構成了 Windows 企業每日基礎設施的維運基石。由於這些管道無所不在,威脅份子會刻意將其武器化,用以對映內部子網、定位高價值的 Active Directory,並在外洩暫存資產時不觸發傳統的周界防禦警報。
為了揭露 these 隱藏的威脅層,資安分析師必須將焦點從單一的檔案掃描控制,轉向全面的網路後設資料(Metadata)分析,檢查連線建立前的歷史脈絡,並追蹤主機在連線後瞬間轉向到了何處。
分析橫向移動的四種主要協定向量
對手偏愛原生的作業系統工具,因為這能確保執行的成功率,同時繞過傳統的軟體黑名單。資安團隊必須監控四種常見的協定架構,以查找維運濫用的跡象:
1. SMB 與 Windows 管理分享(ADMIN$)
伺服器訊息區塊(SMB)負責 Windows 網路中的標準檔案分發與印表機對映。然而,其內建的管理分享功能——特別是會暴露遠端主機系統根目錄的 ADMIN$ ——帶來了重大的惡意利用風險。取得此分享庫的存取權,允許攻擊者投放二進位檔案、佈署執行指令碼,並在環境中橫向移動工具。
網路流量偵測指標
被動式 NDR 引擎會監控 SMB 工作階段的應用層,以追蹤三個關鍵變數:使用中的 SMB 協定版本、被呼叫的明確分享路徑,以及相關的檔案寫入/讀取指標。雖然常規的管理員連線極少觸發異常的應用程式二進位檔案,但對手的橫向轉向頻繁將分享存取與即時工具編譯配對。例如,偵測到作用中的 ADMIN$ 工作階段後,緊接著發生涉及未經核准執行層(如在地 python.exe 佈署)的檔案操作,即為高保真度的入侵指標。
調查檢核表
- 發起端驗證: 將來源 IP 位址與受信任的管理員跳板主機(Jump hosts)及作用中的變更管理記錄進行關聯比對。
- 存取後觸發機制: 審計連線承載資料,以檢查分享存取後是否立即伴隨著二進位檔案投放或未授權的指令碼預備。
2. PSExec 服務衍生執行
PSExec 是來自 Microsoft Sysinternals 工具包的輕量級命令列遠端管理公用程式。它允許 IT 團隊在遠端端點上執行指令,而無需初始化完整的互動式桌面工作階段。攻擊者正是槓桿這項完全相同的能力,在目標子網中實現遠端 Shell 執行。
網路流量偵測指標
由於其底層機制,PSExec 在網路流量中留下了清晰的特徵碼。每次執行皆始於透過 TCP 上的 SMB 連連接埠 445 與目標的 IPC$ 分享建立連線,隨後立即在目標機器上安裝並啟動名為 PSEXESVC 的臨時 Windows 服務。由於此流量在網路上是以明文傳輸,NDR 平台可以直接讀取傳遞給遠端主機的明確指令字串,為對手的惡意圖謀提供直接證據。
調查檢核表
- 操作員身分核實: 對所有在標準維運維護時間外執行、或在毫無遠端管理歷史記錄之端點上初始化的
PSEXESVC實例進行標記。 - 指令字串提取: 檢查解析後的應用程式後設資料以分析由該服務執行的精確指令字串,優先處理任何經模糊化(Obfuscated)的字串或未對映的二進位呼叫。
3. 遠端桌面協定(RDP)工作階段
遠端桌面協定(RDP)提供了對遠端目標機器的完整圖形化介面存取。如果對手透過網路釣魚或在地憑證傾印(Credential dumping)收割了合法的企業憑證,他們便能初始化經身分驗證的 RDP 工作階段,直接與內部檔案網路進行互動,進而繞過端點惡意軟體偵測層。
網路流量偵測指標
由於 RDP 工作階段的流量是原生加密的,資安分析師無法單憑網路串流直接檢查工作階段內部的鍵盤敲擊或檔案操作。因此,調查必須轉向分析連線後設資料,追蹤諸如來源-目的地 IP 對、工作階段持續時間及地理來源指標等變數。
工作階段的持續時間後設資料所能透露的訊息,遠比大多數分析師預期的更深。雖然短暫的內部 RDP 工作階段乍看之下可能無害,但必須將其與發起主機先前的行為基準線放在一起評估。如果該主機在開啟 RDP工作階段前夕展現出異常的系統查詢或未對映的資料庫存取,則該連線極可能是橫向鏈的一部分。分析師可以槓桿同儕圖表分析(Peer graphing),追蹤該主機在工作階段結束後立即與之互動的每個內部端點,以界定出完整的損害範圍。
調查檢核表
- 工作階段前的 host 基準線: 分析來源裝置歷史行為,以判斷工作階段前是否曾出現異常的通訊趨勢或掃描行為。
- 下游同儕圖表分析: 槓桿網路同儕關係圖,在 RDP 工作階段關閉後,對目標主機初始化的每一次後續內部連線進行追蹤與審計。
4. LLMNR 投毒(連結在地多點傳送名稱解析)
當標準的 DNS 查詢失敗時,連結在地多點傳送名稱解析(LLMNR)將充當備援的名稱解析協定。當 Windows 端點無法透過 DNS 定位目標主機名稱時,它會在在地網路區段上廣播一個多點傳送(Multicast)封包,詢問是否有任何同儕知曉該位址,這允許該子網上的任何裝置做出回應。
網路流量偵測指標
攻擊者可以透過運行 Responder 這類的工具來接聽 UDP 連接埠 5355 上的這些多點傳送查詢,藉此惡意利用此行為。發動攻擊的裝置會發送一個偽造的單點傳送(Unicast)回應,聲稱自己就是目標 host,從而迫使受害者機器嘗試進行驗證,並在網路上傳輸其 NTLM 憑證雜湊值。合法的 LLMNR 交換僅在用戶端與合法的資產持有者之間發生;偵測到源自異常 IP 位址且與發起請求之裝置毫無歷史通訊記錄的單點傳送回應,預示著存在活躍的投毒企圖。
調查檢核表
- Responder 驗證: 將單點傳送回應者的 IP 位址與權威主機名稱註冊表進行比對,並標記任何試圖為未對映網域回答查詢的節點。
統一並行偵測方法論
隔離高階的橫向移動,需要同時運行多個互補的分析引擎,以消除單一控制項的可視性盲區:
| 偵測向量 | 核心分析焦點 | 對橫向移動情資的貢獻 |
|---|---|---|
| 網路行為分析 (NBA) | 建立流量大小、連線時長及同儕配對的動態基準線。 | 標記結構性異常,例如工作站突然對高價值的資料庫區段發起未對映的連線。 |
| 入侵偵測系統 (IDS) | 針對已知的威脅份子手法套用確定性的特徵碼比對。 | 無論基準趨勢為何,皆能瞬間識別特定的漏洞利用字串與已知的攻擊框架模式。 |
| 日誌關聯與處理 | 聚合來自端點、目錄和內部服務的應用程式與事件日誌。 | 利用明確的系統詳細資訊(包括 Windows 事件 ID 與作用中的處理程序建立)來富集網路流指標。 |
當這些偵測層在一個統一的 NDR 主控台內協同運作時,零散的警報就會轉化為清晰的攻擊時間軸。例如,如果 IDS 特徵碼標記了一個異常的 ADMIN$ 連線,而行為分析引擎同時記錄了該裝置內部同儕連結的異常激增,分析師面對的就不再是隨機的雜訊——而是正在追蹤一條活躍的侵害連鎖鏈。
從實時分流到事後追溯取證
橫跨多個協定、裝置和子網,橫向移動是一個隨著時間推移而逐步展開的漸進式序列。由於威脅份子利用標準的管理工具來隱匿行蹤,將其逮獲需要深度且持續性的網路可視性,以對映出警報觸發前的行為以及下游的活動軌跡。
此可視性在活躍事件受控後很久依然具備極高價值。維持長期的網路後設資料儲存庫,允許資安團隊在事件發生數月後執行追溯性分析。此歷史記錄確保您的企業能夠滿懷信心地執行深度的威脅獵捕、滿足法規遵循審計,並驗證外洩破口已被完全封殺。
關於 runZero
runZero 是一種網路發現和資產庫存解決方案,由 Metasploit 的創建者 HD Moore 於 2018 年創立。 HD 設想了一種現代主動發現解決方案,無需憑證即可找到和識別網路上的所有內容。 作為一名安全研究員和滲透測試人員,他經常採用良性的方式來獲取資訊洩漏並將它們拼湊起來以建立設備配置文件。 最終,這項工作促使他利用應用研究和為安全和滲透測試開發的發現技術來創建 runZero。
關於Version 2
Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

