Question

与任何红队活动一样，我们一直在寻找富有创造性的方式，在环境中横向移动或长期控制。通常情况下，如果掌握凭证，我们就会尝试使用 WMI 或 PsExec 在远程系统上执行静荷。有时，我们需要采用富有创造性的方式，在一个环境中移动而不被轻易跟踪。

作为红队，在行动中被发现，可能并不是最糟糕的事情。最糟糕的事情是被发现，并且蓝队发现行动中的域名、IP 地址和突破的主机。蓝队通过查看 WMI/PsExec 连接，识别横向移动，因为这些流量看起来不是正常的流量。那么，我们可以做些什么来隐藏横向移动呢？

这是我们发挥创造力的地方，并且没有正确的答案（如果有效，那么对我来说已经足够了）。我最喜欢做的事情就是在环境中发现共享目录和主动共享/执行的文件。我们可以尝试在 Office 文件中添加宏，但这可能太明显了。将定制恶意软件嵌入可执行二进制文件，这种攻击方式被发现的概率较低，成功率高。这可以是类似 PuTTY 的共享二进制文件，一个常见的内部胖客户端，甚至是数据库工具。

执行这些攻击的一个简单工具是 Backdoor Factory，虽然它不再维护。Backdoor Factory 在真实程序中查找代码洞或空块，攻击者可以在其中注入自己的恶意 shellcode。本书第 2 版介绍了这项技术。