1. 电子邮件掠夺

1.1. 关于组织的很大一部分敏感信息存储在员工之间的电子邮件通信中

1.2. 黑客很希望能够访问单个用户的电子邮件收件箱

1.3. 可以从电子邮件中收集个人用户的信息，用于鱼叉式网络钓鱼

• 1.3.1. 鱼叉式网络钓鱼攻击是针对特定人群的定制网络钓鱼攻击

1.4. 对电子邮件的访问也允许黑客修改他们的攻击策略

• 1.4.1. 如果出现告警，系统管理员通常会向用户发送电子邮件，告知事件响应流程和应采取的预防措施
• 1.4.2. 黑客需要这些信息来调整他们的攻击

2. 活动目录

2.1. 对于连接到域网络的设备来说，活动目录(Active Directory，AD)是最丰富的信息源

2.2. 系统管理员通过AD控制这些连接设备

2.3. 它可以被称为任何网络的电话簿，存储了黑客可能在网络中寻找的所有有价值的信

2.4. 网络扫描器、内部威胁和远程访问工具可被黑客用来访问AD

2.5. 黑客可以从AD中做很多事情，因此它是攻击的主要目标，也是组织努力保护承担这一角色的服务器的原因

2.6. 默认情况下，属于AD域的Windows系统中的身份验证过程将使用Kerberos进行

• 2.6.1. 攻击AD的第一步是对环境进行侦察，这可以从域中收集基本信息开始

2.7. 要做到这一点而不制造噪声，一种方法是使用PyroTek3中的PowerShell脚本

2.8. 另一种方法是利用漏洞MS14-068攻击AD

• 2.8.1. 此漏洞早在2014年11月就存在，但它是非常强大的，因为它允许一个拥有有效域账户的用户通过在发送到密钥分发中心(Key Distribution Center，KDC)的票证请求(TG_REQ)中创建包含管理员账户成员身份的伪造权限账户证书(Privilege Account Certificate，PAC)来获得管理员权限

3. 管理共享

3.1. 管理共享是Windows操作系统中的高级文件管理功能，允许管理员与网络上的其他管理员共享文件

3.2. 管理共享通常用于访问根文件夹，并授予对远程计算机驱动器的读/写访问权限

3.3. 黑客可以使用管理员权限连接到远程计算机

• 3.3.1. 这使得他们可以在网络中自由漫游，同时发现有用的数据或敏感的系统，从而进行窃取

4. 票据传递

4.1. 用户可以使用Kerberos票据通过Windows系统的身份验证，而无须重新输入账户密码

4.2. 盗取账户的有效票据

4.3. 凭据转储是从操作系统获取登录信息的各种方法的统称

• 4.3.1. 为了窃取Kerberos票据，黑客必须操控域控制器的API来模拟远程域控制器提取密码数据的过程

4.4. 管理员通常运行DCSync从AD获取凭据

• 4.4.1. 这些凭据以散列的方式进行传递
• 4.4.2. 黑客可以运行DCSync来获取散列凭据，这些凭据可用于创建服务于Pass the Ticket攻击的黄金票据(Golden Ticket)
• 4.4.3. 通过使用黄金票据，黑客可以为AD中列出的账户生成票据
• 4.4.4. 票据可用于授予攻击者访问受危害用户通常有权访问的任何资源的权限

5. Sysinternals

5.1. Sysinternals是Sysinternals公司开发的一套工具，该公司后来被微软收购

5.2. 这套工具允许管理员从远程终端控制基于Windows的计算机

5.3. 攻击者使用Sysinternals在远程主机上上传、执行可执行文件并与之交互。整个工具通过命令行界面工作，并可以编写脚本

5.4. 它的隐蔽性优势明显，因为在运行时不会向远程系统上的用户发出告警

5.5. 这套工具也被Windows归类为合法的系统管理工具，因此会被反病毒程序忽略

5.6. Sysinternals使外部人员能够连接到远程计算机并运行命令，这些命令可以获取正在运行的进程的信息，并在需要时终止它们或停止服务

5.7. Sysinternals工具可以在远程计算机的后台执行许多任务，这使得它们比远程桌面程序(Remote Desktop Program，RDP)更适用于黑客

5.8. 常用的工具

• 5.8.1. PsExec：用于执行进程
• 5.8.1.1. 最强大
• 5.8.1.2. 可以在远程计算机上执行任何可以在本地计算机的命令提示符下运行的程序
• 5.8.1.3. 可以改变远程计算机的注册表值，执行脚本和实用程序，并将远程计算机连接到另一台计算机
• 5.8.1.4. 优点是命令的输出显示在本地计算机上，而不是远程计算机上
• 5.8.1.5. 即使远程计算机上有活动的用户，也无法检测到任何可疑活动
• 5.8.1.6. PsExec工具通过网络连接到远程计算机，执行一些代码，并将输出发送回本地计算机，而不会引起远程计算机用户的警觉
• 5.8.1.7. 一个独特功能是它可以将程序直接复制到远程计算机上
• 5.8.1.8. 如果远程计算机上的黑客需要某个程序，可以命令PsExec将其临时复制到远程计算机上，并在连接停止后将其删除
• 5.8.1.9. PsExec工具能够编辑注册表值，使应用程序能以系统权限运行，并访问通常被锁定的数据
• 5.8.2. PsFile：显示打开的文件
• 5.8.3. PsGetSid：显示用户的安全标识符
• 5.8.4. PsInfo：给出计算机的详细信息
• 5.8.5. PsKill：结束进程
• 5.8.6. PsList：列出关于进程的信息
• 5.8.7. PsLoggedOn：列出已登录的账户
• 5.8.8. PsLogList：提取事件日志
• 5.8.9. logsPsPassword：改变密码
• 5.8.10. PsPing：启动ping请求
• 5.8.11. PsService：对Windows服务进行更改
• 5.8.12. PsShutdown：关机
• 5.8.13. PsSuspend：挂起进程

6. PowerShell

6.1. 是另一个合法的Windows操作系统工具，黑客也在利用它进行恶意攻击

6.2. 在攻击过程中使用这些合法工具的总趋势是避免被安全软件捕获

• 6.2.1. 黑客会尽可能多地使用已知对操作系统安全合法的工具

6.3. PowerShell是一个内置的、面向对象的脚本工具，在现代版本的Windows中也可以使用

• 6.3.1. 非常强大，可以用来窃取内存中的敏感信息，修改系统配置，还可以自动从一个设备移动到另一个设备

6.4. 常用工具

• 6.4.1. PowerSploit
• 6.4.1.1. 是Microsoft PowerShell模块的集合，可用于在评估的所有阶段为渗透测试人员提供帮助
• 6.4.2. Nishang

7. Windows DCOM

7.1. Windows分布式组件对象模型(Distributed Component Object Model，DCOM)是一个中间件，它使用远程过程调用在远程系统上扩展组件对象模型(Component Object Model，COM)的功能

7.2. 攻击者可以利用DCOM进行横向移动，通过窃取高权限通过Microsoft Office应用程序使其shellcode执行，或者在恶意文档中执行宏

8. Windows管理规范

8.1. Windows管理规范(Windows Management Instrumentation，WMI)是微软的内置框架，用于管理Windows系统的配置方式

8.2. 是Windows环境中的合法框架，因此黑客可以使用它而不用担心安全软件的检测

• 8.2.1. 唯一的问题是他们必须已经有访问这台机器的权限

8.3. 该框架可用于远程启动进程，进行系统信息查询，还可以存储持久性恶意软件

8.4. 通常被黑客用作快速枚举系统的工具，对目标进行快速分类

8.5. 可以给黑客提供信息，如机器的用户、机器连接的本地和网络驱动器、IP地址和安装的程序

8.6. WMImplant是利用WMI框架在目标机器上执行恶意操作的黑客工具

• 8.6.1. 有专门为远程机器横向移动设计的特定命令
• 8.6.2. 它使黑客能够发出cmd命令、获取输出、修改注册表、运行PowerShell脚本，并最终创建和删除服务

9. TeamViewer

9.1. 第三方远程访问工具正越来越多地在入侵后使用，以便黑客搜索整个系统

9.2. TeamViewer为连接方提供了对远程计算机的未经过滤的控制

9.3. 是常用的横向移动工具之一

9.4. 几乎总是可以保证数据通过TeamViewer从受害者的系统中泄露而不会受到阻碍

9.5. TeamViewer并不是唯一可以被滥用于横向移动的远程访问应用程序

9.6. 只是它在组织中最受欢迎，因此许多黑客将其作为攻击目标

10. AppleScript和IPC(OS X)

10.1. OS X应用程序为进程间通信(Inter-Process Communication，IPC)发送Apple事件信息

10.2. 可以使用AppleScript为本地或远程IPC编写这些信息的脚本

10.3. 该脚本将允许攻击者定位打开的窗口，发送击键，并在本地或远程与任何打开的应用程序进行交互

10.4. 攻击者可以使用这种技术与OpenSSH连接进行交互，移动到远程机器等

11. 散列传递

11.1. 散列传递(Pass-the-Hash，PtH)是一种在Windows系统中使用的横向移动技术，黑客利用口令散列对目录或资源进行身份验证

• 11.1.1. PtH并不新鲜，它是自1997年以来使用的一种攻击手段，不仅在微软环境中使用，在苹果环境中也是如此
• 11.1.2. PtH不仅仅是Microsoft的问题，UNIX和Linux系统也可能会遇到同样的问题

11.2. 黑客只需获得网络上用户的口令散列

• 11.2.1. 获得散列值后，黑客将使用它来验证自己是否可以进入被入侵用户账户有权访问的其他连接的系统和资源

11.3. 一个常用的获取散列值的工具是Mimikatz

• 11.3.1. Mimikatz有一个sekurlsa:pass the hash命令，该命令使用NTLM散列来生成管理员账户的访问令牌

11.4. PtH仍然是攻击者最常用的攻击方法之一

• 11.4.1. 凭据：它们存放在哪里
• 11.4.1.1. 在Windows身份验证过程中使用的凭据可以被操作系统浏览器缓存，以供以后使用
• 11.4.1.2. 凭据是通过网络连接传输的，这一点也很重要
• 11.4.2. 口令散列
• 11.4.2.1. 散列只是将数据表示为唯一字符串的一种方式
• 11.4.2.2. 散列是安全的，因为是单向操作
• 11.4.2.2.1. 它们不可逆转
• 11.4.2.2.2. 有不同的散列方法，如SHA、MD5、SHA256等
• 11.4.2.3. 攻击者通常使用暴力破解攻击从散列中获取纯文本密码
• 11.4.2.4. 如今，攻击者甚至不需要花时间暴力破解密码，因为他们可以使用散列进行身份验证

11.5. 使用Pass-the-Hash的攻击者旨在

• 11.5.1. 在工作站和服务器上使用高权限域账户登录
• 11.5.2. 使用高权限账户运行服务
• 11.5.3. 使用高权限账户计划任务
• 11.5.4. 普通用户账户（本地或域）被授权给工作站上的本地管理员组成员
• 11.5.5. 高权限用户账户可用于从工作站、域控制器或服务器上直接浏览互联网
• 11.5.6. 为大多数或所有工作站和服务器上的内置本地管理员账户配置相同的密码

11.6. PtH缓解建议

• 11.6.1. 学会以最少的权限进行管理
• 11.6.2. 有专门的限制用途的工作站用于管理职责，不要使用日常工作站连接到互联网和数据中心
• 11.6.2.1. 强烈建议为敏感员工使用特权访问工作站(Privileged Access Workstation，PAW)，并与日常职责分开
• 11.6.3. 为管理员提供独立于其正常用户账户执行管理职责的账户
• 11.6.4. 监视特权账户使用情况，看是否有异常行为
• 11.6.5. 限制域管理员账户和其他特权账户向较低信任度的服务器和工作站进行身份验证
• 11.6.6. 不要将服务或计划任务配置为在较低信任度系统（如用户工作站）上使用特权域账户
• 11.6.7. 将所有现有和新的高权限账户添加到“受保护用户”组中，并确保对这些账户应用额外的强化
• 11.6.8. 使用“拒绝RDP和交互式登录”策略设置对所有特权账户强制执行此操作，并禁用对本地管理员账户的RDP访问
• 11.6.9. 对远程桌面连接应用受限管理模式
• 11.6.10. 对特权账户使用多因子身份验证或智能卡
• 11.6.11. 停止用列表思考，开始启用图思考

12. Winlogon

12.1. Winlogon是Windows的一个组件，负责处理安全警告序列(Secure Attention Sequence，SAS)并在登录时加载用户配置文件

12.2. 它有助于交互式登录过程

13. lsass.exe进程

13.1. lsass.exe进程用于存储非常重要和机密的信息，因此，你需要保证该进程的安全，限制/审核访问将极大地提高域控制器的安全性，然后提高整个IT系统的安全性

13.2. lsass.exe负责本地安全机构、Net Logon服务、安全账户管理器服务、LSA服务器服务、安全套接字层(Secure Sockets Layer，SSL)、Kerberos v5身份验证协议和NTLM身份验证协议

13.3. 安全账户管理器(SAM)数据库

• 13.3.1. SAM数据库作为文件存储在本地磁盘上，是每台Windows计算机上本地账户的权威凭据存储区
• 13.3.2. 该数据库包含计算机特有的所有本地凭据，包括内置的本地管理员账户和该计算机的其他本地账户
• 13.3.3. SAM数据库中从来不存储口令，只存储口令散列

13.4. 域活动目录数据库(NTDS.DIT)

• 13.4.1. 域活动目录数据库(NTDS.DIT)
• 13.4.2. 域中的每个域控制器都包含域的AD数据库的完整副本，包括域中所有账户的账户凭据
• 13.4.3. AD数据库存储每个账户的许多属性
• 13.4.3.1. 当前密码的NT散列
• 13.4.3.2. 密码历史记录的NT散列（如果已经配置）

13.5. 凭据管理器(CredMan)存储

• 13.5.1. 用户可以选择使用应用程序或通过凭据管理器控制面板小程序在Windows中保存密码