黑客利用Windows远程管理功能隐秘渗透Active Directory网络

摘要：威胁行为者正越来越多地利用Windows远程管理(WinRM)功能在Active Directory(AD)环境中隐秘移动，既能绕过传统检测机制，又能提升权限并部署恶意载荷。

威胁行为者正越来越多地利用Windows远程管理(WinRM)功能在Active Directory(AD)环境中隐秘移动，既能绕过传统检测机制，又能提升权限并部署恶意载荷。

WinRM是微软对WS-Management协议的实现，作为Windows系统的核心组件，允许管理员执行远程命令、管理配置以及通过网络运行PowerShell脚本。该服务默认监听HTTP 5985端口和HTTPS 5986端口，经身份验证的用户可建立会话并执行远程管理任务。

攻击者为何青睐WinRM虽然WinRM设计初衷是用于合法远程管理，但其普遍性和与PowerShell的深度集成，使其成为攻击者实施横向移动的理想目标。攻击者通过钓鱼攻击、凭证转储或暴力破解等手段获取有效凭证后，就能利用WinRM在AD域内的其他系统上执行任意命令或脚本。

基于WinRM的攻击链条

根据Practical Security Analytics博客分析，此类攻击通常遵循以下流程：

1. 初始入侵：攻击者首先攻陷单个终端设备，通常以普通域用户身份获得立足点

2. 侦查探测：通过WinRM启用的PowerShell命令(如Invoke-Command、Enter-PSSession)，扫描5985/5986开放端口以枚举可访问系统

3. 凭证滥用：使用有效凭证向远程系统认证，生成新的PowerShell会话。这些会话由wsmprovhost.exe进程在用户上下文下处理，可伪装成正常管理活动

4. 载荷部署：采用PowerShell托管代码或反射式.NET模块加载器等高级技术部署恶意载荷。这些方法能混淆载荷、绕过反恶意软件扫描接口(AMSI)并禁用事件日志以规避检测

5. 持久化与横向移动：通过重复上述过程，攻击者在网络中横向移动，逐步提升权限并最终锁定域控制器等高价值目标

攻击者会生成经过混淆的PowerShell脚本（称为"托管代码"），用于下载内存中执行的附加载荷。远程执行采用如下方式：

这种多阶段攻击能绕过AMSI、禁用日志记录，并完全在内存中加载最终植入程序("Specter")，极大减少取证痕迹。

在反射式.NET模块加载技术中，攻击者将编译好的.NET程序集作为参数传递给看似无害的PowerShell脚本，由脚本反射加载执行：

这种方法将恶意代码隐藏在合法管理脚本中，大幅增加检测难度。

安全专家警告称，基于WinRM的横向移动难以检测，因其利用Windows原生功能且常使用加密通道。防御者可监控以下异常行为特征：

1. 异常的wsmprovhost.exe进程

2. 非常规的远程PowerShell活动

3. 非管理员账户发起的认证尝试

4. 5985/5986端口上的异常流量激增

建议企业严格限制WinRM访问权限，强化凭证管理规范，并部署能够关联分析全网横向移动迹象的高级监控方案。

来源：FreeBuf

标签： windows directory activedirect

免责声明：本站系转载，并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请在30日内与本站联系，我们将在第一时间删除内容!

360影视