横向移动
攻击者试图在目标网络中移动。
技术: 23
| 编号 | 名字 | 描述 |
|---|---|---|
| T1021 | 远程服务 | 对手可能会使用有效账户登录接受远程连接的服务,例如telnet、SSH和VNC。然后,对手可能会以登录用户的身份执行操作。 在企业环境中,服务器和工作站可以组织成域。域提供集中身份管理,允许用户使用一组凭据登录整个网络。如果对手能够获得一组有效的域凭据,他们可以使用远程访问协议(如安全外壳(SSH)或远程桌面协议(RDP))登录到许多不同的机器。(引用: SSH Secure Shell)(引用: TechNet Remote Desktop Services) 他们还可以登录到可访问的SaaS或IaaS服务,例如那些将其身份联合到域的服务。 合法应用程序(如软件部署工具和其他管理程序)可能会利用远程服务访问远程主机。例如,macOS上的Apple Remote Desktop(ARD)是用于远程管理的本机软件。ARD利用混合协议,包括VNC发送屏幕和控制缓冲区,以及SSH进行安全文件传输。(引用: Remote Management MDM macOS)(引用: Kickstart Apple Remote Desktop commands)(引用: Apple Remote Desktop Admin Guide 3.3) 对手可以滥用ARD等应用程序以获得远程代码执行并进行横向移动。在macOS 10.14之前的版本中,对手可以将SSH会话升级为ARD会话,从而使对手能够在无需用户交互的情况下接受TCC(透明度、同意和控制)提示并访问数据。(引用: FireEye 2019 Apple Remote Desktop)(引用: Lockboxx ARD 2019)(引用: Kickstart Apple Remote Desktop commands) |
| T1021.001 | 远程桌面协议 | 攻击者可能使用有效帐户通过远程桌面协议(RDP)登录计算机。攻击者随后可以以登录用户的身份执行操作。 远程桌面是操作系统中的常见功能。它允许用户登录到远程系统的桌面图形用户界面的交互会话。Microsoft将其远程桌面协议(RDP)的实现称为远程桌面服务(RDS)。(引用: TechNet远程桌面服务) 如果服务已启用并允许使用已知凭据的帐户访问,攻击者可能通过RDP/RDS连接到远程系统以扩展访问权限。攻击者可能会使用凭据访问技术来获取用于RDP的凭据。攻击者还可能将RDP与辅助功能或终端服务DLL结合使用以实现持久性。(引用: Alperovitch恶意软件) |
| T1021.002 | SMB/Windows管理员共享 | 对手可能会使用有效帐户与远程网络共享进行交互,使用服务器消息块(SMB)。然后,对手可能会以登录用户的身份执行操作。 SMB是Windows机器在同一网络或域上共享文件、打印机和串行端口的协议。对手可能会使用SMB与文件共享进行交互,允许他们在网络中横向移动。Linux和macOS的SMB实现通常使用Samba。 Windows系统具有仅管理员可访问的隐藏网络共享,提供远程文件复制和其他管理功能。例如网络共享包括C$、ADMIN$和IPC$。对手可能会结合管理员级别的有效帐户使用此技术,通过SMB远程访问网络系统,(引用: Wikipedia Server Message Block) 与系统进行远程过程调用(RPC)交互,(引用: TechNet RPC) 传输文件,并通过远程执行运行传输的二进制文件。依赖于通过SMB/RPC进行身份验证会话的示例执行技术包括计划任务/作业、服务执行和Windows管理工具。对手还可以使用NTLM哈希访问系统上的管理员共享,使用传递哈希和某些配置和补丁级别。(引用: Microsoft Admin Shares) |
| T1021.003 | 分布式组件对象模型 | 对手可能会使用有效帐户通过分布式组件对象模型 (DCOM) 与远程计算机交互。然后,对手可能会以登录用户的身份执行操作。 Windows 组件对象模型 (COM) 是本机 Windows 应用程序编程接口 (API) 的一个组件,允许软件对象之间进行交互,或实现一个或多个接口的可执行代码。通过 COM,客户端对象可以调用服务器对象的方法,服务器对象通常是动态链接库 (DLL) 或可执行文件 (EXE)。分布式 COM (DCOM) 是一种透明的中间件,使用远程过程调用 (RPC) 技术扩展了 COM 的功能,使其超越本地计算机。(引用: Fireeye Hunting COM June 2019)(引用: Microsoft COM) 与本地和远程服务器 COM 对象交互的权限由注册表中的访问控制列表 (ACL) 指定。(引用: Microsoft Process Wide Com Keys) 默认情况下,只有管理员可以通过 DCOM 远程激活和启动 COM 对象。(引用: Microsoft COM ACL) 通过 DCOM,在适当权限用户的上下文中操作的对手可以通过 Office 应用程序(引用: Enigma Outlook DCOM Lateral Movement Nov 2017) 以及包含不安全方法的其他 Windows 对象(引用: Enigma MMC20 COM Jan 2017)(引用: Enigma DCOM Lateral Movement Jan 2017) 远程获取任意甚至直接的 shellcode 执行。DCOM 还可以在现有文档中执行宏(引用: Enigma Excel DCOM Sept 2017),并且还可以通过 COM 创建的 Microsoft Office 应用程序实例直接调用动态数据交换 (DDE) 执行(引用: Cyberreason DCOM DDE Lateral Movement Nov 2017),无需恶意文档。DCOM 可以用作远程与Windows 管理工具 交互的方法。(引用: MSDN WMI) |
| T1021.004 | SSH | 对手可能使用有效帐户通过安全外壳 (SSH) 登录远程计算机,然后以登录用户的身份执行操作。 SSH 是一种允许授权用户在其他计算机上打开远程 shell 的协议。许多 Linux 和 macOS 版本默认安装了 SSH,但通常在用户启用之前是禁用的。SSH 服务器可以配置为使用标准密码身份验证或公钥-私钥对代替或作为密码的补充。在这种身份验证场景中,用户的公钥必须位于运行服务器的计算机上的一个特殊文件中,该文件列出了允许以该用户身份登录的密钥对。 |
| T1021.005 | VNC | 对手可能会使用有效帐户通过虚拟网络计算(VNC)远程控制计算机。VNC是一种跨平台的桌面共享系统,使用RFB(“远程帧缓冲”)协议,通过网络中继屏幕、鼠标和键盘输入,使用户能够远程控制另一台计算机的显示。(引用: The Remote Framebuffer Protocol) VNC与远程桌面协议不同,VNC是屏幕共享软件,而不是资源共享软件。默认情况下,VNC使用系统的身份验证,但可以配置为使用特定于VNC的凭据。(引用: MacOS VNC software for Remote Desktop)(引用: VNC Authentication) 对手可能会滥用VNC以登录用户的身份执行恶意操作,例如打开文档、下载文件和运行任意命令。对手可以使用VNC远程控制和监视系统,以收集数据和信息,并在网络内的其他系统之间进行横向移动。特定的VNC库/实现也容易受到暴力攻击和内存使用漏洞的影响。(引用: Hijacking VNC)(引用: macOS root VNC login without authentication)(引用: VNC Vulnerabilities)(引用: Offensive Security VNC Authentication Check)(引用: Attacking VNC Servers PentestLab)(引用: Havana authentication bug) |
| T1021.006 | Windows 远程管理 | 对手可能会使用 有效帐户 通过 Windows 远程管理 (WinRM) 与远程系统交互。然后,对手可能会以登录用户的身份执行操作。 WinRM 是一个 Windows 服务和协议的名称,允许用户与远程系统交互(例如,运行可执行文件、修改注册表、修改服务)。(引用:Microsoft WinRM)可以使用 winrm 命令或任何数量的程序(如 PowerShell)调用它。(引用:Jacobsen 2014)WinRM 可以用作远程交互 Windows 管理工具 的方法。(引用:MSDN WMI) |
| T1021.007 | 云服务 | 对手可能会使用与本地用户身份同步或联合的有效帐户登录到受损环境中的可访问云服务。然后,对手可能会执行管理操作或以登录用户的身份访问云托管资源。 许多企业将集中管理的用户身份联合到云服务,允许用户使用其域凭据登录以访问云控制平面。同样,对手可能通过 Web 控制台或云命令行界面 (CLI) 连接到可用的云服务,例如使用 Connect-AZAccount 进行 Azure PowerShell,Connect-MgGraph 进行 Microsoft Graph PowerShell,以及 gcloud auth login 进行 Google Cloud CLI。 在某些情况下,对手可能能够通过应用程序访问令牌而不是用户名和密码进行身份验证。 |
| T1021.008 | 直接云虚拟机连接 | 对手可能会利用有效账户通过云原生方法直接登录到可访问的云托管计算基础设施。许多云提供商提供与虚拟基础设施的交互连接,可以通过云 API访问,例如 Azure Serial Console (引用: Azure Serial Console)、AWS EC2 Instance Connect (引用: EC2 Instance Connect)(引用: lucr-3: Getting SaaS-y in the cloud) 和 AWS System Manager。(引用: AWS System Manager)。 这些连接的身份验证方法可以包括密码、应用程序访问令牌或 SSH 密钥。这些云原生方法可能默认允许对主机的特权访问,具有 SYSTEM 或 root 级别的访问权限。 对手可能会利用这些云原生方法直接访问虚拟基础设施并在环境中进行枢纽。(引用: SIM Swapping and Abuse of the Microsoft Azure Serial Console) 这些连接通常提供对虚拟机的直接控制台访问,而不是执行脚本(即,云管理命令)。 |
| T1072 | 软件部署工具 | 对手可能会访问并使用企业内安装的集中软件套件来执行命令并在网络中横向移动。配置管理和软件部署应用程序可能用于企业网络或云环境中的常规管理目的。这些系统也可能集成到 CI/CD 管道中。此类解决方案的示例包括:SCCM、HBSS、Altiris、AWS 系统管理器、Microsoft Intune、Azure Arc 和 GCP 部署管理器。 访问网络范围或企业范围的端点管理软件可能使对手能够在所有连接的系统上实现远程代码执行。访问可能用于横向移动到其他系统、收集信息或造成特定影响,例如擦除所有端点上的硬盘。 基于 SaaS 的配置管理服务可能允许对云托管实例进行广泛的 云管理命令,以及在本地端点上执行任意命令。例如,Microsoft 配置管理器允许全局或 Intune 管理员以 SYSTEM 身份在加入 Entra ID 的本地设备上运行脚本。(引用: SpecterOps Lateral Movement from Azure to On-Prem AD 2020) 此类服务还可能利用 Web 协议 与对手拥有的基础设施通信。(引用: Mitiga Security Advisory: SSM Agent as Remote Access Trojan) 网络基础设施设备也可能具有配置管理工具,对手可以类似地滥用这些工具。(引用: Fortinet Zero-Day and Custom Malware Used by Suspected Chinese Actor in Espionage Operation) 此操作所需的权限因系统配置而异;本地凭据可能足以直接访问第三方系统,或者可能需要特定的域凭据。然而,系统可能需要管理员账户才能登录或访问特定功能。 |
| T1080 | 污染共享内容 | 对手可能通过向共享存储位置(如网络驱动器或内部代码库)添加内容来将有效负载传递到远程系统。存储在网络驱动器或其他共享位置的内容可能会通过向有效文件添加恶意程序、脚本或漏洞利用代码而被污染。一旦用户打开共享的污染内容,恶意部分可以执行以在远程系统上运行对手的代码。对手可能会使用污染的共享内容进行横向移动。 目录共享枢纽是此技术的一种变体,它使用几种其他技术在用户访问共享网络目录时传播恶意软件。它使用目录 .LNK 文件的快捷方式修改,这些文件使用伪装看起来像真实目录,通过隐藏文件和目录隐藏真实目录。恶意的基于 .LNK 的目录具有嵌入的命令,该命令在目录中执行隐藏的恶意软件文件,然后打开真实的预期目录,以便用户的预期操作仍然发生。当与经常使用的网络目录一起使用时,该技术可能导致频繁的重新感染和广泛访问系统以及可能的新和更高权限的帐户。(引用: Retwin Directory Share Pivot) 对手还可能通过二进制感染来破坏共享网络目录,通过将其代码附加或前置到共享网络目录上的健康二进制文件中。恶意软件可能会修改健康二进制文件的原始入口点(OEP),以确保在合法代码之前执行。感染可能会通过新感染的文件在远程系统执行时继续传播。这些感染可能针对以 .EXE、.DLL、.SCR、.BAT 和/或 .VBS 等扩展名结尾的二进制和非二进制格式。 |
| T1091 | 通过可移动媒体复制 | 对手可能会通过将恶意软件复制到可移动媒体并利用插入系统时自动运行功能来移动到系统,可能是那些断开连接或隔离网络的系统。在横向移动的情况下,这可能通过修改存储在可移动媒体上的可执行文件或通过复制恶意软件并将其重命名为看起来像合法文件来欺骗用户在另一系统上执行它。在初始访问的情况下,这可能通过手动操作媒体、修改用于最初格式化媒体的系统或修改媒体本身的固件来实现。 如果通过USB连接移动设备,也可能用于感染PC。(引用: Exploiting Smartphone USB ) 这种感染可能通过设备(Android、iOS等)和在某些情况下通过USB充电线缆实现。(引用: Windows Malware Infecting Android)(引用: iPhone Charging Cable Hack) 例如,当智能手机连接到系统时,它可能类似于USB连接的磁盘驱动器。如果移动设备上有与连接系统兼容的恶意软件,恶意软件可能会感染机器(特别是如果启用了自动运行功能)。 |
| T1210 | 远程服务利用 | 对手可能利用远程服务在网络内部系统中获得未经授权的访问权限。利用软件漏洞是指对手利用程序、服务或操作系统软件或内核本身中的编程错误来执行对手控制的代码。远程服务利用的一个常见目标是横向移动,以便访问远程系统。 对手可能需要确定远程系统是否处于易受攻击状态,这可以通过网络服务发现或其他发现方法来查找网络中可能部署的常见漏洞软件、缺少的某些补丁或可能用于检测或包含远程利用的安全软件。服务器可能是横向移动利用的高价值目标,但如果它们提供优势或访问其他资源,端点系统也可能面临风险。 有几个众所周知的漏洞存在于常见服务中,例如SMB(引用: CIS Multiple SMB Vulnerabilities)和RDP(引用: NVD CVE-2017-0176),以及可能在内部网络中使用的应用程序,例如MySQL(引用: NVD CVE-2016-6662)和Web服务器服务。(引用: NVD CVE-2014-7169) 根据易受攻击的远程服务的权限级别,对手可能通过横向移动利用获得权限提升。 |
| T1534 | 内部鱼叉式网络钓鱼 | 在已经访问账户或系统后,对手可能使用内部鱼叉式网络钓鱼来获取额外信息或妥协同一组织内的其他用户。内部鱼叉式网络钓鱼是一个多阶段的活动,其中合法账户最初被妥协,可能通过控制用户的设备或妥协用户的账户凭证。对手可能会利用受信任的内部账户来增加更多受害者上钩的可能性,通常结合模仿。(引用: Trend Micro - Int SP) 例如,对手可能利用鱼叉式网络钓鱼附件或鱼叉式网络钓鱼链接作为内部鱼叉式网络钓鱼的一部分,以传递有效载荷或重定向到外部站点,通过输入捕获在模拟登录界面的站点上捕获凭证。 对手还可能利用内部聊天应用程序,例如Microsoft Teams,传播恶意内容或与用户互动,试图捕获敏感信息和/或凭证。(引用: Int SP - chat apps) |
| T1550 | 使用替代身份验证材料 | 对手可能会使用替代身份验证材料,例如密码哈希、Kerberos 票证和应用程序访问令牌,以在环境中横向移动并绕过正常的系统访问控制。 身份验证过程通常需要有效的身份(例如,用户名)以及一个或多个身份验证因素(例如,密码、PIN、物理智能卡、令牌生成器等)。替代身份验证材料是系统在用户或应用程序通过提供有效身份和所需的身份验证因素成功进行身份验证后合法生成的。替代身份验证材料也可能在身份创建过程中生成。(引用: NIST Authentication)(引用: NIST MFA) 缓存替代身份验证材料允许系统验证身份已成功进行身份验证,而无需用户重新输入身份验证因素。由于系统必须维护替代身份验证材料——无论是在内存中还是在磁盘上——它可能面临通过凭据访问技术被盗的风险。通过窃取替代身份验证材料,对手能够绕过系统访问控制并在不知道明文密码或任何其他身份验证因素的情况下对系统进行身份验证。 |
| T1550.001 | 应用程序访问令牌 | 攻击者可能使用窃取的应用程序访问令牌来绕过典型的身份验证过程,并访问远程系统上的受限账户、信息或服务。这些令牌通常从用户或服务中窃取,并用于替代登录凭证。 应用程序访问令牌用于代表用户或服务进行授权的API请求,通常用于访问云、基于容器的应用程序和软件即服务(SaaS)中的资源。(Citation: Auth0 - Why You Should Always Use Access Tokens to Secure APIs Sept 2019) OAuth 是一种常见的框架,用于向用户发放访问系统的令牌。这些框架协同工作以验证用户身份并确定用户允许执行的操作。一旦身份验证完成,令牌允许授权操作,而无需传递用户的实际凭证。因此,令牌的泄露可能使攻击者通过恶意应用程序访问其他站点的资源。(Citation: okta) 例如,对于基于云的电子邮件服务,一旦OAuth访问令牌被授予恶意应用程序,如果授予了启用后台访问的“刷新”令牌,它可能会长期访问用户账户的功能。(Citation: Microsoft Identity Platform Access 2019) 通过OAuth访问令牌,攻击者可以使用用户授予的REST API执行诸如电子邮件搜索和联系人枚举等功能。(Citation: Staaldraad Phishing with OAuth 2017) 泄露的访问令牌可能被用作入侵其他服务的初始步骤。例如,如果令牌授予了对受害者主要电子邮件的访问权限,攻击者可能能够通过触发忘记密码流程扩展到目标订阅的所有其他服务。在AWS和GCP环境中,攻击者可以触发请求具有另一个用户账户权限的短期访问令牌。(Citation: Google Cloud Service Account Credentials)(Citation: AWS Temporary Security Credentials) 攻击者随后可以使用此令牌请求数据或执行原始账户无法执行的操作。如果此功能的权限配置错误——例如,允许所有用户请求特定账户的令牌——攻击者可能能够获得对云账户的初始访问权限或提升其权限。(Citation: Rhino Security Labs Enumerating AWS Roles) 通过令牌直接访问API会削弱第二重身份验证的有效性,并且可能对直观的防御措施(如更改密码)免疫。例如,在AWS环境中,攻击者如果泄露了用户的AWS API凭证,可能能够使用sts:GetFederationToken API调用创建联合用户会话,该会话将具有与原始用户相同的权限,但即使原始用户凭证被停用,该会话也可能持续存在。(Citation: Crowdstrike AWS User Federation Persistence) 此外,通过API通道的滥用访问可能难以从服务提供商端检测到,因为访问仍然可能与合法的工作流程很好地吻合。 |
| T1550.002 | 哈希传递 | 攻击者可能会使用被盗的密码哈希在环境中横向移动,绕过正常的系统访问控制。哈希传递(PtH)是一种无需访问用户明文密码即可验证用户身份的方法。此方法绕过需要明文密码的标准验证步骤,直接进入使用密码哈希的验证部分。 在执行PtH时,使用凭据访问技术捕获用于该帐户的有效密码哈希。捕获的哈希与PtH一起用于验证该用户身份。一旦验证通过,PtH可用于在本地或远程系统上执行操作。 攻击者还可能使用被盗的密码哈希进行“超哈希传递”。类似于PtH,这涉及使用密码哈希验证用户身份,但还使用密码哈希创建有效的Kerberos票证。然后,此票证可用于执行票证传递攻击。(引用: Stealthbits超哈希传递) |
| T1550.003 | 传递票证 | 对手可能会使用被盗的Kerberos票证“传递票证”在环境中横向移动,绕过正常的系统访问控制。传递票证(PtT)是一种使用Kerberos票证进行系统身份验证的方法,而无需访问账户的密码。Kerberos身份验证可以用作横向移动到远程系统的第一步。 在执行PtT时,通过操作系统凭据转储捕获有效账户的有效Kerberos票证。根据访问级别,可能会获得用户的服务票证或票证授予票证(TGT)。服务票证允许访问特定资源,而TGT可以用于从票证授予服务(TGS)请求服务票证,以访问用户有权限访问的任何资源。(引用: ADSecurity AD Kerberos Attacks)(引用: GentilKiwi Pass the Ticket) 可以为使用Kerberos作为身份验证机制的服务获取银票,并用于生成访问特定资源和托管该资源的系统的票证(例如,SharePoint)。(引用: ADSecurity AD Kerberos Attacks) 可以使用密钥分发服务账户KRBTGT账户NTLM哈希为域获取金票,这使得可以为Active Directory中的任何账户生成TGT。(引用: Campbell 2014) 对手还可以使用其他用户信息(例如被盗的密码哈希或AES密钥)创建有效的Kerberos票证。例如,“覆盖哈希”涉及使用NTLM密码哈希进行用户身份验证(即传递哈希),同时使用密码哈希创建有效的Kerberos票证。(引用: Stealthbits Overpass-the-Hash) |
| T1550.004 | Web会话Cookie | 对手可以使用窃取的会话Cookie来验证Web应用程序和服务。此技术绕过了一些多因素认证协议,因为会话已经经过身份验证。(引用: Pass The Cookie) 身份验证Cookie通常用于Web应用程序,包括基于云的服务,在用户已验证服务后,以便不传递凭据并且不需要频繁重新验证。即使Web应用程序未被积极使用,Cookie通常也会在较长时间内有效。在通过窃取Web会话Cookie或Web Cookies获取Cookie后,对手可能会将Cookie导入他们控制的浏览器中,然后可以在会话Cookie有效的时间内以用户身份使用该站点或应用程序。一旦登录到站点,对手可以访问敏感信息、阅读电子邮件或执行受害者账户有权限执行的操作。 已经有恶意软件针对会话Cookie以绕过多因素认证系统的示例。(引用: Unit 42 Mac Crypto Cookies January 2019) |
| T1563 | 远程服务会话劫持 | 对手可能会控制与远程服务的现有会话,以在环境中横向移动。用户可能使用有效凭据登录到专门接受远程连接的服务,例如 telnet、SSH 和 RDP。当用户登录到服务时,将建立一个会话,允许他们与该服务保持连续交互。 对手可能会劫持这些会话在远程系统上执行操作。远程服务会话劫持 与使用远程服务不同,因为它劫持现有会话,而不是使用有效账户创建新会话。(引用: RDP Hijacking Medium)(引用: Breach Post-mortem SSH Hijack) |
| T1563.001 | SSH劫持 | 对手可能会劫持合法用户的SSH会话,在环境中横向移动。安全外壳(SSH)是Linux和macOS系统上的标准远程访问方式。它允许用户通过加密隧道连接到另一系统,通常通过密码、证书或使用非对称加密密钥对进行身份验证。 为了从受损主机横向移动,对手可能会利用通过公钥认证在活动SSH会话中与其他系统建立的信任关系,劫持到另一个系统的现有连接。这可能通过破坏SSH代理本身或访问代理的套接字来实现。如果对手能够获得root访问权限,那么劫持SSH会话可能很简单。(引用: Slideshare Abusing SSH)(引用: SSHjack Blackhat)(引用: Clockwork SSH Agent Hijacking)(引用: Breach Post-mortem SSH Hijack) SSH劫持不同于使用SSH,因为它劫持现有的SSH会话,而不是使用有效帐户创建新会话。 |
| T1563.002 | RDP劫持 | 对手可能会劫持合法用户的远程桌面会话,在环境中横向移动。远程桌面是操作系统中的常见功能。它允许用户登录到远程系统上的交互式会话,具有系统桌面图形用户界面。Microsoft将其远程桌面协议(RDP)的实现称为远程桌面服务(RDS)。(引用: TechNet Remote Desktop Services) 对手可能会执行RDP会话劫持,涉及窃取合法用户的远程会话。通常,当其他人试图窃取他们的会话时,用户会收到通知。使用系统权限和终端服务控制台,c:\windows\system32\tscon.exe [要被窃取的会话号],对手可以在不需要凭据或提示用户的情况下劫持会话。(引用: RDP Hijacking Korznikov) 这可以远程或本地完成,并且适用于活动或断开的会话。(引用: RDP Hijacking Medium) 它还可以通过窃取域管理员或更高权限账户会话导致远程系统发现和权限提升。所有这些都可以使用本机Windows命令完成,但它也已作为红队工具中的功能。(引用: Kali Redsnarf) |
| T1570 | 横向工具传输 | 对手可能会在被破坏的环境中在系统之间传输工具或其他文件。一旦进入受害者环境(即,入口工具传输),文件可能会在操作过程中从一个系统复制到另一个系统,以准备对手工具或其他文件。 对手可能会使用固有的文件共享协议(如通过SMB/Windows管理员共享进行文件共享)或通过远程桌面协议的认证连接在内部受害者系统之间复制文件。(引用: Unit42 LockerGoga 2019) 文件还可以使用受害者系统上本地或其他存在的工具传输,如scp、rsync、curl、sftp和ftp。在某些情况下,对手可能能够利用Web服务(如Dropbox或OneDrive)通过共享的、自动同步的文件夹从一台机器复制文件到另一台机器。(引用: Dropbox Malware Sync) |