來源：https://resources.infosecinstitute.com/topic/advance-persistent-threat-lateral-movement-detection-windows-infrastructure-part/

https://media.cert.europa.eu/static/WhitePapers/CERT-EU_SWP_17-002_Lateral_Movements.pdf

https://www.manageengine.com/products/active-directory-audit/kb/windows-security-log-event-id-4625.html

（1）相關(guān)攻擊工具整理：https://jpcertcc.github.io/ToolAnalysisResultSheet/（產(chǎn)生攻擊）

（2）Sysmon的安裝和審計策略的配置：https://www.jpcert.or.jp/english/pub/sr/DetectingLateralMovementThroughTrackingEventLogs_version2.pdf（收集數(shù)據(jù)）

https://baijiahao.baidu.com/s?id=1672182836305846957&wfr=spider&for=pc

https://github.com/SwiftOnSecurity/sysmon-config

（3）導(dǎo)出事件：https://www.cnblogs.com/0day-li/p/14675584.html漱牵，可以使用wevtutil工具導(dǎo)出日志文件。（收集數(shù)據(jù)）

https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/wevtutil

（4）APT-Hunter：https://github.com/ahmedkhlief/APT-Hunter（APT-Hunter是windows事件日志的威脅搜索工具怠蹂，它由purple team mindset制作蓝晒，提供隱藏在windows事件日志海洋中的APT運動，以減少發(fā)現(xiàn)可疑活動的時間）（檢測攻擊）

注意：本文中圖幻妓，是增補的圖蹦误，原文圖缺失

對手從一個系統(tǒng)跳轉(zhuǎn)到另一個系統(tǒng)，他們經(jīng)常試圖獲取諸如當(dāng)前與哪個用戶一起運行肉津、擁有什么級別的訪問權(quán)强胰、系統(tǒng)上運行什么服務(wù)以及周圍的其他系統(tǒng)是什么等信息。為了實現(xiàn)這一點妹沙，他們通常使用合法的windows二進制文件;這些工具可能因攻擊而異偶洋，但策略是相同的。

考慮到以上的橫向運動策略距糖，我們可以說玄窝，會發(fā)生以下情況：

（1）衍生進程Spawned Processes

（2）認(rèn)證和特權(quán)用戶帳戶

它也被證明，工具將通過網(wǎng)絡(luò)移動肾筐，以促進偵察哆料，特權(quán)升級，數(shù)據(jù)打包吗铐，和外泄recon, privilege escalation, data packaging, and exfiltration东亦。

一、衍生進程:

按照維基百科的說法，進程衍生:計算中的衍生指的是一個加載并執(zhí)行新子進程的函數(shù)典阵。當(dāng)前進程可以等待子進程終止奋渔，也可以繼續(xù)執(zhí)行并發(fā)計算。創(chuàng)建新的子進程需要足夠的內(nèi)存壮啊，子進程和當(dāng)前程序都可以在其中執(zhí)行嫉鲸。

a)進程執(zhí)行(.exe)

正如我們在本文前面討論的，從一臺機器移動到另一臺機器時歹啼，威脅行為者收集情報玄渗，他們通常通過使用合法的windows二進制文件來確定這一點。

下面是對手可能使用的一些標(biāo)準(zhǔn)程序

net.exe

ipconfig.exe

whoami.exe

nbtstat.exe

powershell.exe

wmic.exe

為了利用這些windows程序狸眼，威脅行為者從他們已經(jīng)利用并可以控制的另一個應(yīng)用程序啟動這些程序藤树，如Internet Explorer、宏加載的word文檔拓萌。不管他們是使用腳本還是在命令行上輸入命令微王，他們通常會在幾分鐘或幾小時內(nèi)完成這項工作。

所以炕倘，問題是我們?nèi)绾螜z測這些活動?這里有Windows事件日志來拯救組織從這些高級持續(xù)威脅罩旋。

1拓型、Event ID – 4688:已創(chuàng)建新進程

Event 4688記錄了程序作為其運行時所執(zhí)行的每個程序以及啟動該進程的進程。默認(rèn)情況下，進程跟蹤的審計策略在窗口中是禁用的;我們必須從Windows本地安全策略中啟用它靠闭，以充分利用這個過程跟蹤審計愧膀，同時檢測跨網(wǎng)絡(luò)的橫向移動。（https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/component-updates/command-line-process-auditing）描述了啟用審計過程跟蹤的本地安全策略蟀悦。

通過查看事件描述，我們可以收集相當(dāng)多的信息份氧，下面列出的是事件ID 4688的一些關(guān)鍵字段蜗帜。

安全ID Security ID:帳戶的SID。

帳號名 Account Name:帳號登錄名店归。

新進程ID New Process ID:標(biāo)識進程的半唯一數(shù)字。進程ID (PID)允許您關(guān)聯(lián)同一進程中記錄的其他事件秩伞。要確定程序何時結(jié)束，請查找具有相同進程ID的后續(xù)事件4689脸爱。

新進程名 New Process Name:可執(zhí)行文件的完整路徑

令牌提升類型 Token Elevation Type:這對于檢測用戶是否在用戶帳戶控制下運行具有管理權(quán)限的程序非常有用——查找Type 2。

創(chuàng)建者進程ID Creator Process ID:標(biāo)識啟動該進程的進程族檬。查找前面的事件4688，其新進程ID與這個Creator進程PID相匹配看尼。

Creator Process Name:這是一個有用的字段躏结，記錄了啟動這個新進程的程序的名稱媳拴。

Process Command Line:如果啟用該字段，則記錄進程啟動時傳入EXE的命令行參數(shù)(包括任何密碼)子巾。

微軟在其最新的Windows系統(tǒng)中發(fā)布了事件ID 4688的附加字段，即“創(chuàng)建者進程名”“Creator Process Name”仪搔，它顯示父進程名。這使得研究人員在識別父進程時很容易煮嫌，因為我們必須手動將4688事件id中的pid關(guān)聯(lián)起來。

在windows事件日志和事件ID 4688的幫助下好啰，我們可以查看進程信息并分析下面的數(shù)據(jù)任務(wù)框往，例如

（1）是否運行的進程是合法的和可執(zhí)行文件的路徑

（2）是否進程的所有者看起來是真實的并且應(yīng)該執(zhí)行該進程

（3）進程在其上執(zhí)行的機器的角色

（4）是否父進程/創(chuàng)建者進程名是合法的并且應(yīng)該執(zhí)行子進程

（5）同樣的進程會產(chǎn)生這些嗎

（6）是否所有派生進程和父進程都屬于同一用戶

我們可以利用它许溅，識別以下內(nèi)容茬祷，幫助我們在攻擊生命周期的早期檢測到威脅行為者:

（1）Net.exe、ipconfig.exe沃粗、whoami.exe、nbtstat.exe涡贱、pwershell.exe、wmic.exe戏售、Cscript.exe等。

（2）堆棧x在一個時間窗口內(nèi)執(zhí)行的進程數(shù)。

為了演示這一點嘿般，我創(chuàng)建了一個示例excel宏文件(你可以從這里得到它)，它打開命令提示符并點擊命令net.exe用戶瞻赶。運行此excel宏之后璧南，windows安全審計將生成下面的事件。

Sample Excel Macro to validate windows Event ID - 4688

Sub RunAndGetCmd()

Shell "cmd.exe /c net users"

End Sub

在上面的例子中，我們可以清楚地看到，名為“C:WindowsSystem32cmd.exe”的新進程已經(jīng)被創(chuàng)建拆讯，所有者帳戶名為“Suresh Khutale”，創(chuàng)建者進程名為“C:Program FilesMicrosoft OfficerootOffice16EXCEL.EXE”。

新創(chuàng)建的進程輪流調(diào)用另一個進程“C:WindowsSystem32net.exe”阔墩，這是我們在命令net.exe用戶中使用的。同樣忘苛，看看創(chuàng)建的PID，我們可以關(guān)聯(lián)這些東西。

從上面的插圖中狐榔，它證實了在Windows安全事件的幫助下，我們可以觀察生成的進程的真實性庵楷，調(diào)查它們并追蹤在系統(tǒng)上執(zhí)行的活動是由合法用戶或威脅參與者完成的。

b)本地賬戶和組:

此外，在最常見的橫向移動技術(shù)中差凹，威脅參與者經(jīng)常查看系統(tǒng)上的本地組是什么，以枚舉成員，所有其他用戶都在那里济欢，以及他們在系統(tǒng)上屬于哪些組粤铭，他們首先妥協(xié)酱鸭。普通用戶通常不會查看或嘗試枚舉這類信息。正如我們所知蔚舀，每個windows系統(tǒng)或服務(wù)器都有本地組狼牺，我們可以使用下面截圖所示的計算機管理查看這些組和組中的成員。

如上面的截圖所示，通過查看本地組和用戶帳戶，我們可以收集關(guān)于組成員的大量信息，他們擁有的特權(quán)以及哪些組是重要的宋舷，這有助于威脅行動者進一步移動。在這里，我們使用計算機管理(也就是微軟管理控制臺)來查看這些信息儡嘶，但在真實的攻擊場景中，威脅參與者可能使用腳本、PowerShell命令或窗口api來收集這些信息摆屯。

Windows已經(jīng)發(fā)布了一些新的事件准验，并在最新版本中添加了一些新的字段，這些字段有助于識別攻擊生命周期早期威脅行動者正在執(zhí)行的活動矫废。如果有人試圖枚舉本地組信息唉铜，Windows通常會生成安全事件，無論是使用Microsoft管理控制臺(MMC)還是使用命令行PowerShell腳本。

2讼撒、Event ID - 4798:用戶的本地組成員枚舉

這與我們在上述場景中看到的情況相反;在這里物蝙，威脅行動者將查看用戶的本地組成員身份册赛，并試圖找出該用戶所屬的所有組。讓我們看看下面的插圖并理解柜砾。

正如我們在上圖中看到的担映，當(dāng)有人試圖訪問用戶的屬性(如成員資格)時 someone tries to access the user’s properties such as membership官硝，窗口會生成安全事件ID 4798。第二張截圖顯示登錄用戶“Suresh Khutale”已經(jīng)枚舉了用戶名“Administrators”的組成員，使用進程mmc.exe。

我們可以說生成的這些活動或事件是合法的拓售，因為用來枚舉本地組信息的進程是mmc.exe。在一個真實的場景中，威脅行動者使用遠程訪問木馬(RAT)，它利用windows實用程序或工具來收集這種情報使碾，如PowerShell腳本。因此，如果我們發(fā)現(xiàn)任何事件ID 4798或4799與進程名看起來可疑隔躲，如“C:WindowsSystem32WindowsPowerShellv1.0powershell.exe”，然后我們需要提高警報和進一步調(diào)查。

這就是本文的內(nèi)容买置，在下一篇文章中城舞，我們將研究第二種技術(shù)，即分析身份驗證和特權(quán)用戶帳戶活動窗口中的安全事件日志，以檢測橫向移動煌茴。我們還將報道威脅行為者在目標(biāo)網(wǎng)絡(luò)中傳播所使用的標(biāo)準(zhǔn)工具龄句。

二傀蓉、身份驗證和特權(quán)用戶帳戶活動

在這里，我們需要記住靶草，在穿越網(wǎng)絡(luò)時浩蓉，網(wǎng)絡(luò)攻擊者永遠不會試圖識別和利用每個系統(tǒng)中的漏洞來獲得shell訪問權(quán)限驾窟。相反，他們利用合法憑證登錄這些系統(tǒng)。他們使用各種技術(shù)和工具來提取或轉(zhuǎn)儲特權(quán)帳戶的憑證。

在攻擊生命周期的早期檢測可疑的身份驗證活動對于阻止目標(biāo)攻擊的橫向移動非常重要。我們可以跟蹤使用特權(quán)用戶帳戶(域或本地管理員帳戶)進行的未經(jīng)授權(quán)的活動窗看。

網(wǎng)絡(luò)攻擊者傾向于以域帳戶而不是本地特權(quán)用戶帳戶為目標(biāo)析校，因為他們可以訪問整個網(wǎng)絡(luò)來執(zhí)行特權(quán)活動。網(wǎng)絡(luò)攻擊者通過使用下列技術(shù)之一訪問這些帳戶:

（1）域控制器或活動目錄中的漏洞;

（2）本地系統(tǒng)的密碼散列盖彭。

那么，我們?nèi)绾巫R別對手是否已獲得訪問權(quán)或試圖連接網(wǎng)絡(luò)中的任何系統(tǒng)?在這里召边，再次使用windows安全事件日志铺呵，因為它們跟蹤所有與身份驗證相關(guān)的活動。

對于活動目錄基礎(chǔ)結(jié)構(gòu)隧熙，您可能需要在域控制器級別配置審計策略。以下是一些我們可以監(jiān)控的重要事件id:

4624:賬號登錄成功;

?登錄類型Logon Type:該字段顯示發(fā)生的登錄類型贞盯。換句話說音念，它指出用戶是如何登錄的□锔遥總共有9種不同的登錄類型闷愤，最常見的登錄類型是:登錄類型2(交互式)和登錄類型3(網(wǎng)絡(luò))。除了5(表示服務(wù)啟動)之外的任何登錄類型都是一個危險標(biāo)志件余。

?新登錄New Logon:此部分顯示為其創(chuàng)建新登錄的用戶的帳戶名和登錄ID讥脐，一個有助于將此事件與其他事件關(guān)聯(lián)起來的十六進制值。

4625:賬號登錄失敗;

?登錄類型:該字段顯示嘗試登錄的類型啼器。換句話說旬渠，它指出用戶嘗試登錄的方式《剖祝總共有9種不同類型的登錄。最常見的登錄類型是:登錄類型2(交互式)和登錄類型3(網(wǎng)絡(luò))鼠次。除了5(表示服務(wù)啟動)之外的任何登錄類型都是一個危險標(biāo)志更哄。有關(guān)不同登錄類型的說明，請參見事件ID 4624腥寇。

?登錄失敗的帳號:此部分顯示試圖登錄的用戶的帳號名成翩。

?失敗信息:登錄失敗的原因。失敗原因字段包括一個簡短的解釋赦役，而狀態(tài)和子狀態(tài)字段列出了十六進制代碼麻敌，下面將對最常見的代碼進行解釋。

4627:組成員信息;

4648:試圖使用顯式憑據(jù)登錄;

4672:分配給新登錄的特權(quán)掂摔。

跨各種windows版本的附加事件id

529:未知的用戶名或密碼

530:登錄失敗-賬戶登錄時間限制違反

531:當(dāng)前禁用的帳戶

532:用戶帳號已過期

533:用戶不允許登錄到計算機

534:沒有授予所請求的用戶登錄類型

535:賬號密碼已經(jīng)過期

536: NetLogon組件未激活

537:登錄嘗試失敗的其他原因

539:帳戶鎖定

4768: Kerberos身份驗證

4776: Kerberos服務(wù)票據(jù)

1102:清除審計日志

這不是一個全面的列表术羔，而是您可以在監(jiān)視和分析中包含的關(guān)鍵事件。我們將重點關(guān)注上面列出的一些重要事件id乙漓，用于橫向移動檢測分析中使用的身份驗證活動级历。其中一些事件在windows系統(tǒng)中默認(rèn)是禁用的，所以我們必須從審計策略中啟用這些事件.

1叭披、登錄類型

在轉(zhuǎn)到事件ID之前寥殖，我們需要檢查針對身份驗證活動生成的每個事件ID中遇到的登錄類型。這是一個方便的信息，因為它告訴您用戶是如何登錄或試圖登錄到系統(tǒng)的嚼贡。https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4624

2熏纯、Event ID 4624:賬號登錄成功

當(dāng)使用前面描述的登錄類型之一成功登錄到系統(tǒng)時，將出現(xiàn)Windows日志事件ID 4624粤策。Windows根據(jù)此事件ID跟蹤每個成功的登錄活動樟澜，而不管帳戶類型、位置或登錄類型掐场。下圖顯示了在這個事件ID下記錄的信息:

本事件的主題部分沒有提供任何重要信息往扔，因此可以忽略。以下是幫助我們分析認(rèn)證活動的一些重要字段:

登錄類型Logon type:該字段提供有關(guān)用戶如何登錄到系統(tǒng)的信息熊户，這在識別異常時非常有用萍膛。在上面的示例中，我們可以看到登錄類型為2嚷堡，這意味著用戶已經(jīng)在本地登錄到系統(tǒng)蝗罗。

安全ID Security ID:這是登錄到系統(tǒng)的帳戶的SID。

賬號名 Account Name:這是用戶登錄系統(tǒng)時的賬號名蝌戒，我們可以在上面的截圖中看到串塑，賬號名為“Suresh Khutale”。

帳戶域 Account Domain:這是帳戶所屬的域名北苟，對于域系統(tǒng)桩匪，它將是相應(yīng)的域名。

登錄GUID Logon GUID: GUID幫助將計算機上的身份驗證與域控制器上的相應(yīng)身份驗證事件關(guān)聯(lián)起來友鼻。

工作站名 Workstation Name:這是用戶登錄的工作站名傻昙。

源網(wǎng)絡(luò)地址Source Network Address:這是用戶登錄到目標(biāo)系統(tǒng)的系統(tǒng)的IP地址。如果登錄是在本地初始化的彩扔，有時IP地址將是127.0.0.1而不是實際的IP地址妆档。

通過查看上面截圖中的字段，我們可以開發(fā)場景并微調(diào)規(guī)則集虫碉，以監(jiān)控可疑活動贾惦。重要的是:

查找多個用戶在相對較短的時間內(nèi)同時登錄到終端用戶工作站的實例;

同一用戶帳戶登錄到多個主機;

其中，網(wǎng)絡(luò)登錄引用目標(biāo)系統(tǒng)上的無域帳戶敦捧。

重要的是要跟蹤管理嘗試的總數(shù)嫉髓，并分析這些活動钠四，以尋找任何偏差，如:

嘗試的總數(shù);

涉及這些企圖的賬戶或發(fā)生這些企圖的電腦。

正如我們之前討論過的提供重要信息的登錄類型骗村，我們可以在這些事件的幫助下追蹤任何異常浪默，并檢測整個網(wǎng)絡(luò)的橫向移動疾就。

3、Event? ID 4625:賬號登錄失敗

Windows在事件ID 4625下跟蹤失敗活動的帳戶日志菠发。它提供關(guān)于系統(tǒng)上發(fā)生的每次失敗登錄嘗試的有用信息。下圖顯示了Event ID 4625中的重要字段:

上面截圖中的一些字段與事件ID 4624的字段相同贺嫂。失敗信息部分提供了關(guān)于帳戶登錄失敗事件的重要信息滓鸠。下表給出了故障狀態(tài)的描述，https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4625其來源如下:

我們現(xiàn)在可以查找連續(xù)失敗的登錄失敗的嘗試事件ID 4625第喳，然后是成功登錄到系統(tǒng)事件ID 4624糜俗。這將提供對遠程系統(tǒng)上發(fā)生的任何惡意活動的洞察。

4曲饱、Event? ID 4627:組成員信息

這是微軟在最新版本的windows系統(tǒng)中引入的新的事件ID悠抹。它記錄了用戶所屬的所有嵌套組的組成員關(guān)系。該事件ID在windows中默認(rèn)是禁用的扩淀。因此楔敌，我們必須在windows審計策略中啟用“審計組策略”和“審計登錄”特性。

下圖顯示了在這個事件ID下記錄的信息:

我們可以看到驻谆，除了Group Membership部分之外卵凑，所有其他字段對于前面描述的其他安全事件都是通用的。帳戶名account name 是用戶最近登錄的帳戶名胜臊，對應(yīng)于Event ID 4624勺卢。

組成員Group Membership:本節(jié)記錄用戶登錄時所屬的所有組，具體如下:

用戶所屬的Local和Domain組;

具有特殊權(quán)利的用戶;

所有組和嵌套的組成員關(guān)系象对。

在這里黑忱，帳戶名account name“Suresh Khutale”已用于登錄系統(tǒng)，是各種組的成員勒魔，如上面截圖突出顯示的“Administrators”甫煞。

我們知道，當(dāng)網(wǎng)絡(luò)攻擊者發(fā)起憑據(jù)偽攻擊credential artifact attacks時沥邻，他們通常會使用特權(quán)帳戶登錄危虱。通過將事件ID 4627與事件ID 4624關(guān)聯(lián)起來羊娃，我們可能會看到一些有趣的事實唐全，比如使用特權(quán)帳戶登錄到正常系統(tǒng)。

在Event ID 4627的幫助下蕊玷，我們現(xiàn)在可以微調(diào)規(guī)則集并可視化可疑活動邮利。例如，如果登錄的帳戶屬于一個特權(quán)組垃帅，如Domain_Administators或Administrators延届，這將引起嚴(yán)重的關(guān)注。

5贸诚、4648:試圖使用顯式憑據(jù)登錄

這是一個非常有用的事件方庭，通過顯式地提供一組單獨的憑據(jù)來跟蹤幾個特權(quán)活動厕吉。每當(dāng)用戶嘗試使用替代憑據(jù)在本地運行程序時，Windows都會記錄此事件ID械念。事件ID 4648的一個典型示例是头朱，當(dāng)用戶通過指定其他人的憑證映射遠程服務(wù)器的共享驅(qū)動器時。

為了演示這一點龄减，我創(chuàng)建了一個具有管理員組權(quán)限的本地用戶“test”项钮。我將啟動一個名為Chrome.exe的程序，以不同的用戶運行希停。如下面的截圖所示:

在上述憑據(jù)成功登錄后烁巫，windows將記錄事件ID 4648。下面的截圖顯示了在事件ID 4648下為上述顯式登錄活動記錄的信息宠能。

正如我們在上面的截圖中看到的亚隙，名為“test”的帳戶 account被用于顯式登錄。進程名DpHostW.exe是與HP ProtectTools安全管理器關(guān)聯(lián)的文件棍潘。https://frsecure.com/blog/rdp-connection-event-logs/

此外恃鞋，通過查看事件ID 4638，我們可以收集更多信息亦歉，如發(fā)起該活動的個人信息恤浪。

每當(dāng)記錄事件ID 4648時，它后面都跟著事件ID 4624和4627肴楷。下面的截圖顯示了針對用戶“test”的4648事件ID記錄的這些事件的詳細(xì)信息水由。

現(xiàn)在，我們將查找使用顯式憑證啟動的確切流程赛蔫。這是Chrome.exe砂客。我們將看到事件ID 4688后面跟著事件ID 4648，如下面的截圖所示:

現(xiàn)在我們將簡要回顧一些網(wǎng)絡(luò)攻擊者使用的常用工具呵恢。他們經(jīng)常將這些工具轉(zhuǎn)移到管理共享中鞠值，比如(ADMIN$， IPC$渗钉， C$)彤恶。要查看它們，我們可以使用事件ID 5145鳄橘。

PsExec.exe:這是由Sysinternals開發(fā)的声离。它能夠執(zhí)行管理活動，如上傳瘫怜、執(zhí)行和與遠程主機上的可執(zhí)行文件交互术徊。這個程序可以從命令行腳本使用，殺毒軟件不會標(biāo)記它鲸湃。網(wǎng)絡(luò)攻擊者專門使用這個程序來避免被發(fā)現(xiàn)赠涮。

我們還可以通過探測事件日志來查找PsExec.exe執(zhí)行的實例子寓，并根據(jù)事件ID 5145堆疊審計日志。

PowerShell.exe:這是微軟的面向?qū)ο竽_本程序;所有最新版本的Windows都有這個功能笋除。它是一個非常強大的工具别瞭，Cyber攻擊者經(jīng)常使用它來捕獲內(nèi)存中的憑證、修改配置和從一個系統(tǒng)橫向移動到下一個系統(tǒng)株憾。

通過查看Event ID 4688(在第1部分中討論)蝙寨，可以識別生成的進程安全日志并分析PowerShell調(diào)用的合法性。PowerShell審計是檢測惡意PowerShell活動的另一種方法嗤瞎。

WMI和WinRM: Windows Management Instrumentation也是Windows中的一個內(nèi)置程序墙歪。它是WMI的一個衍生進程，可以用于:

啟動遠程進程;

查詢系統(tǒng)信息;

存儲在傳統(tǒng)意義上不接觸磁盤的持久惡意軟件贝奇。

網(wǎng)絡(luò)攻擊者利用WinRM枚舉系統(tǒng)情報來識別要攻擊的目標(biāo)虹菲。

At Jobs:與WMI類似，At作業(yè)用于調(diào)度和啟動具有本地管理權(quán)限的遠程系統(tǒng)上的進程掉瞳。網(wǎng)絡(luò)攻擊者使用此程序通過任務(wù)調(diào)度程序遠程執(zhí)行腳本毕源、啟動工具、刪除已執(zhí)行的工具等陕习。

這還伴隨著TaskScheduler/Operational事件日志特性霎褐，可以用于遠程檢測可疑的At作業(yè)。

遠程桌面(RDP):

遠程桌面用于在不中斷用戶會話的情況下連接到遠程系統(tǒng)该镣。RDP連接很容易被網(wǎng)絡(luò)攻擊者檢測到冻璃。

常用密碼散列轉(zhuǎn)儲工具:

以下是Cyber攻擊者用來轉(zhuǎn)儲密碼哈希值、授權(quán)令牌等的一些知名工具和腳本:

Mimikatz (steal password hash/pass the hash method)

Mimikatz (steal ticket/pass the ticket method)

Windows Credentials Editor (WCE)

PWDump7

PWDumpX

Quarks PwDump