detecting-lateral-movement-in-network

通过分析身份验证日志、网络流量、SMB 流量和 RDP 会话,使用 Zeek、Velociraptor 和 SIEM 关联规则,识别企业网络中的横向移动技术,检测攻击者在系统间的移动行为。

9 stars

Best use case

detecting-lateral-movement-in-network is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

通过分析身份验证日志、网络流量、SMB 流量和 RDP 会话,使用 Zeek、Velociraptor 和 SIEM 关联规则,识别企业网络中的横向移动技术,检测攻击者在系统间的移动行为。

Teams using detecting-lateral-movement-in-network should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/detecting-lateral-movement-in-network/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/detecting-lateral-movement-in-network/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/detecting-lateral-movement-in-network/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How detecting-lateral-movement-in-network Compares

Feature / Agentdetecting-lateral-movement-in-networkStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

通过分析身份验证日志、网络流量、SMB 流量和 RDP 会话,使用 Zeek、Velociraptor 和 SIEM 关联规则,识别企业网络中的横向移动技术,检测攻击者在系统间的移动行为。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 检测网络中的横向移动

## 适用场景

- 监控企业网络中的入侵后横向移动(lateral movement)模式(哈希传递(pass-the-hash)、RDP 跳转、PSExec)
- 为 MITRE ATT&CK 横向移动技术(T1021、T1570)构建 SIEM 检测规则和告警
- 通过分析身份验证模式和内部主机间的网络连接,调查疑似入侵事件
- 狩猎异常的东西向流量(east-west traffic)模式,识别攻击者在网络中的横穿行为
- 验证网络分段和访问控制是否有效限制横向移动路径

**不适用场景**:替代终端检测与响应(EDR)工具;仅监控南北向流量而忽略内部流量;在没有正常内部通信模式基线的情况下使用。

## 前置条件

- 在内部关键节点部署了网络安全监控(Zeek、Suricata 或网络 TAP)
- SIEM 平台(Splunk、Elastic、Microsoft Sentinel)收集 Windows 安全事件日志、DNS 和流量数据
- 配置了 Windows 事件日志转发,收集安全事件(4624、4625、4648、4672、4768、4769)
- 建立了正常内部身份验证和连接模式的基线
- 了解 MITRE ATT&CK 横向移动战术(TA0008)

## 工作流程

### 步骤 1:配置横向移动检测的日志收集

```bash
# 需收集的 Windows 事件日志(通过 WEF 或代理):
# 安全日志:
#   4624 - 成功登录(类型 3=网络,类型 10=远程交互)
#   4625 - 登录失败
#   4648 - 使用显式凭据登录(RunAs、PsExec)
#   4672 - 分配了特殊权限(管理员登录)
#   4768 - Kerberos TGT 请求
#   4769 - Kerberos 服务票证请求
#   4776 - NTLM 身份验证(凭据验证)
# 系统日志:
#   7045 - 安装了新服务(PsExec 指标)
#   7036 - 服务启动/停止

# 配置 Windows 事件转发(WEF)订阅
# 在收集服务器上(PowerShell):
# wecutil cs lateral-movement-subscription.xml

# 用于 Windows 事件日志传输的 Filebeat 配置
cat > /etc/filebeat/modules.d/security.yml << 'EOF'
- module: system
  auth:
    enabled: true
    var.paths: ["/var/log/auth.log"]
  syslog:
    enabled: true

- module: zeek
  connection:
    enabled: true
    var.paths: ["/opt/zeek/logs/current/conn.log"]
  dns:
    enabled: true
    var.paths: ["/opt/zeek/logs/current/dns.log"]
  smb_mapping:
    enabled: true
    var.paths: ["/opt/zeek/logs/current/smb_mapping.log"]
  dce_rpc:
    enabled: true
    var.paths: ["/opt/zeek/logs/current/dce_rpc.log"]
EOF

# Zeek 横向移动检测配置
# 启用 SMB、DCE-RPC 和 Kerberos 日志
cat >> /opt/zeek/share/zeek/site/local.zeek << 'EOF'
@load policy/protocols/smb
@load policy/protocols/conn/known-hosts
@load policy/protocols/conn/known-services
@load frameworks/intel/seen
EOF

sudo zeekctl deploy
```

### 步骤 2:为常见横向移动技术构建检测规则

```yaml
# 横向移动检测的 Splunk SPL 查询

# 1. 检测 PsExec 使用(在远程主机上创建新服务)
# index=wineventlog EventCode=7045 ServiceName="PSEXESVC" OR ServiceName="*psexec*"
# | stats count by ComputerName, ServiceName, ImagePath
# | where count > 0

# 2. 检测哈希传递(NTLM 类型 3 登录)
# index=wineventlog EventCode=4624 LogonType=3 AuthenticationPackageName="NTLM"
# | where TargetUserName!="ANONYMOUS LOGON" AND TargetUserName!="$"
# | stats count dc(ComputerName) as unique_hosts by TargetUserName, IpAddress
# | where unique_hosts > 3

# 3. 检测 RDP 横向移动(内网 IP 的类型 10 登录)
# index=wineventlog EventCode=4624 LogonType=10
# | where cidrmatch("10.0.0.0/8", IpAddress) OR cidrmatch("192.168.0.0/16", IpAddress)
# | stats count dc(ComputerName) as rdp_hosts by TargetUserName, IpAddress
# | where rdp_hosts > 2

# Elastic SIEM 检测规则(KQL)
# event.code: "4624" and winlog.event_data.LogonType: "3"
#   and winlog.event_data.AuthenticationPackageName: "NTLM"
#   and not winlog.event_data.TargetUserName: *$
#   and source.ip: (10.0.0.0/8 or 172.16.0.0/12 or 192.168.0.0/16)
```

```bash
# 横向移动检测的 Sigma 规则
# 安装 sigma-cli 并转换为目标 SIEM 格式
pip3 install sigma-cli

cat > lateral_movement_pth.yml << 'EOF'
title: Pass-the-Hash Lateral Movement Detection
id: f8d98d6c-7a07-4d74-b064-dd4a3c244528
status: experimental
description: Detects network logon with NTLM authentication to multiple hosts
logsource:
    product: windows
    service: security
detection:
    selection:
        EventID: 4624
        LogonType: 3
        AuthenticationPackageName: NTLM
    filter:
        TargetUserName|endswith: '$'
    condition: selection and not filter
    timeframe: 15m
    count:
        field: ComputerName
        min: 3
        group-by: TargetUserName
level: high
tags:
    - attack.lateral_movement
    - attack.t1550.002
EOF

# 将 Sigma 规则转换为 Splunk SPL
sigma convert -t splunk lateral_movement_pth.yml

# 转换为 Elastic 查询
sigma convert -t elasticsearch lateral_movement_pth.yml
```

### 步骤 3:使用 Zeek 进行网络层检测

```bash
# 检测 SMB 横向移动(访问 admin$ 和 c$ 共享)
cat /opt/zeek/logs/current/smb_mapping.log | \
  zeek-cut ts id.orig_h id.resp_h path | \
  grep -iE "(admin\$|c\$|ipc\$)" | \
  sort -t$'\t' -k2 | uniq -c | sort -rn

# 检测在端口 445 上连接大量内部主机的主机(SMB 扩散)
cat /opt/zeek/logs/current/conn.log | \
  zeek-cut ts id.orig_h id.resp_h id.resp_p | \
  awk '$4 == 445' | \
  awk '{print $2}' | sort | uniq -c | sort -rn | head -10

# 检测 WMI 横向移动(DCE-RPC 到 IWbemServices)
cat /opt/zeek/logs/current/dce_rpc.log | \
  zeek-cut ts id.orig_h id.resp_h operation | \
  grep -i "wbem\|wmi" | sort | uniq -c | sort -rn

# 检测内部主机间的 RDP 连接
cat /opt/zeek/logs/current/conn.log | \
  zeek-cut ts id.orig_h id.resp_h id.resp_p duration | \
  awk '$4 == 3389 && $5 > 60' | \
  sort -t$'\t' -k2 | head -20

# 检测 Kerberos 票证授予异常
cat /opt/zeek/logs/current/kerberos.log | \
  zeek-cut ts id.orig_h id.resp_h client service success error_msg | \
  grep -v "true" | head -20

# 用于横向移动检测的自定义 Zeek 脚本
sudo tee /opt/zeek/share/zeek/site/custom-detections/lateral-movement.zeek << 'ZEEKEOF'
@load base/frameworks/notice
@load base/frameworks/sumstats

module LateralMovement;

export {
    redef enum Notice::Type += {
        SMB_Lateral_Spread,
        RDP_Lateral_Chain
    };
    const smb_host_threshold: count = 5 &redef;
    const smb_time_window: interval = 15min &redef;
}

event zeek_init()
{
    local r1 = SumStats::Reducer(
        $stream="lateral.smb",
        $apply=set(SumStats::UNIQUE)
    );

    SumStats::create([
        $name="detect-smb-lateral",
        $epoch=smb_time_window,
        $reducers=set(r1),
        $threshold_val(key: SumStats::Key, result: SumStats::Result) = {
            return result["lateral.smb"]$unique + 0.0;
        },
        $threshold=smb_host_threshold + 0.0,
        $threshold_crossed(key: SumStats::Key, result: SumStats::Result) = {
            NOTICE([
                $note=SMB_Lateral_Spread,
                $msg=fmt("Host %s connected to %d SMB hosts in %s",
                         key$str, result["lateral.smb"]$unique, smb_time_window),
                $identifier=key$str
            ]);
        }
    ]);
}

event connection_state_remove(c: connection)
{
    if ( c$id$resp_p == 445/tcp && c$id$resp_h in Site::local_nets )
    {
        SumStats::observe("lateral.smb",
            [$str=cat(c$id$orig_h)],
            [$str=cat(c$id$resp_h)]
        );
    }
}
ZEEKEOF

sudo zeekctl deploy
```

### 步骤 4:威胁狩猎横向移动指标

```bash
# 狩猎 Windows 日志中的身份验证异常
# Splunk 查询:从异常源主机进行身份验证的用户
# index=wineventlog EventCode=4624 LogonType=3
# | stats values(IpAddress) as source_ips dc(IpAddress) as source_count by TargetUserName
# | where source_count > 5
# | sort -source_count

# 狩猎以交互方式使用的服务账户
# index=wineventlog EventCode=4624 (LogonType=2 OR LogonType=10)
# | where match(TargetUserName, "^svc-.*")
# | table _time ComputerName TargetUserName IpAddress LogonType

# 横向移动模式的网络流分析
# 查找突然与大量内部主机通信的主机
cat /opt/zeek/logs/current/conn.log | \
  zeek-cut ts id.orig_h id.resp_h | \
  awk '{
    key = $2
    targets[key][$3] = 1
  }
  END {
    for (src in targets) {
      count = 0
      for (dst in targets[src]) count++
      if (count > 20) print src, count
    }
  }' | sort -k2 -rn

# 检测凭据转储痕迹(大量 LSASS 读取)
# 查找突然横穿的主机的连接
cat /opt/zeek/logs/current/conn.log | \
  zeek-cut ts id.orig_h id.resp_h id.resp_p orig_bytes | \
  awk '$4 == 445 && $5 > 10000000' | sort -t$'\t' -k5 -rn

# 时间线分析:绘制攻击路径
# index=wineventlog (EventCode=4624 OR EventCode=7045)
# | eval stage=case(
#     EventCode=4624 AND LogonType=3, "Network Logon",
#     EventCode=4624 AND LogonType=10, "RDP Logon",
#     EventCode=7045, "Service Creation"
#   )
# | timechart span=5m count by stage
```

### 步骤 5:自动响应与遏制

```bash
# 横向移动响应的 SOAR 剧本(伪代码)
# 当横向移动告警触发时:

# 1. 用上下文信息丰富告警
# - 查询 AD 获取用户组成员资格和角色
# - 检查源 IP 是否为已知管理员工作站
# - 查找受影响主机的近期漏洞扫描结果

# 2. 自动遏制操作
# 选项 A:通过交换机端口关闭隔离主机
# ssh admin@switch "conf t; interface Gi1/0/5; shutdown"

# 选项 B:通过 VLAN 变更隔离(影响较小)
# ssh admin@switch "conf t; interface Gi1/0/5; switchport access vlan 999"

# 选项 C:在防火墙层面封锁
sudo iptables -I FORWARD -s 10.10.5.23 -j DROP

# 3. 禁用被入侵账户
# PowerShell: Disable-ADAccount -Identity compromised_user

# 4. 强制重置密码
# PowerShell: Set-ADAccountPassword -Identity compromised_user -Reset

# 5. 完全遏制前收集取证证据
# velociraptor artifact collect Windows.KapeFiles.Targets --target BasicCollection
```

### 步骤 6:构建检测仪表板

```bash
# Elastic Kibana 横向移动监控仪表板查询

# 面板 1:身份验证热图(源与目标)
# 聚合:源 IP(行)和目标 IP(列)的 Terms 聚合
# 指标:event.code:4624 的计数

# 面板 2:内部主机间的 SMB 连接
# 过滤:destination.port:445 and source.ip:10.0.0.0/8
# 聚合:按唯一目标数排序的前 20 个源 IP

# 面板 3:RDP 会话时间线
# 过滤:destination.port:3389 and event.code:4624 and winlog.event_data.LogonType:10
# 可视化:按 source.ip 的时间线

# 面板 4:新服务安装
# 过滤:event.code:7045
# 聚合:winlog.event_data.ServiceName 的 Terms 聚合

# 面板 5:登录失败峰值检测
# 过滤:event.code:4625
# 聚合:带异常检测的日期直方图

# 导出 Kibana 仪表板
# curl -X GET "elastic-siem:5601/api/saved_objects/_export" \
#   -H "kbn-xsrf: true" \
#   -d '{"type":"dashboard","objects":[{"id":"lateral-movement-dashboard","type":"dashboard"}]}' \
#   > lateral_movement_dashboard.ndjson
```

## 核心概念

| 术语 | 定义 |
|------|------------|
| **横向移动(Lateral Movement)** | MITRE ATT&CK 战术(TA0008),描述攻击者在网络中从一个被入侵系统移动到另一个系统的技术 |
| **哈希传递(Pass-the-Hash,T1550.002)** | 使用捕获的 NTLM 密码哈希向远程系统进行身份验证,无需知道明文密码 |
| **PsExec(T1569.002)** | 远程服务执行工具,在目标系统上创建临时服务,可通过事件 ID 7045 检测 |
| **东西向流量(East-West Traffic)** | 内部系统间的网络通信(相对于内外部网络间的南北向流量) |
| **身份验证异常** | 偏离基线身份验证模式的行为,例如用户登录到以前从未访问过的系统 |
| **Kerberoasting(T1558.003)** | 请求服务账户的 Kerberos 服务票证并离线破解,可通过事件 ID 4769 异常检测 |

## 工具与系统

- **Zeek**:网络安全监控器,生成 SMB、Kerberos、DCE-RPC 和连接日志,用于横向移动分析
- **Splunk/Elastic SIEM**:日志聚合平台,用于关联企业内的身份验证事件、网络流量和服务创建
- **Sigma**:厂商无关的检测规则格式,用于编写可跨 SIEM 平台移植的横向移动检测规则
- **Velociraptor**:终端取证工具,用于从横向移动链中涉及的主机收集证据
- **BloodHound**:活动目录攻击路径分析工具,在攻击者利用前识别潜在的横向移动路径

## 常见场景

### 场景:检测勒索软件操作员的横向移动

**背景**:SOC 在凌晨 2:00 收到文件服务器(10.10.20.15)上创建 PsExec 服务的告警。该告警触发了横向移动调查。组织部署了 Zeek 网络监控和 Windows 事件日志转发至 Splunk。

**方法**:
1. 在 Splunk 中查询 10.10.20.15 上的事件 ID 7045(服务创建),确认 PsExec 执行并识别源 IP(10.10.5.23)
2. 追踪 10.10.5.23 的身份验证历史:查找事件 ID 4624 类型 3 登录,发现该主机在过去一小时内使用 NTLM 向 8 台服务器进行了身份验证(哈希传递模式)
3. 检查 10.10.5.23 的 Zeek conn.log:识别出到 12 台内部主机的 SMB 连接(端口 445)以及到外部 IP 的大量文件传输
4. 构建攻击时间线:凌晨 1:15 通过网络钓鱼完成初始入侵,1:25 转储凭据,1:30-2:00 横向移动到 8 台服务器
5. 通过追踪身份验证链识别所有被入侵主机:10.10.5.23 -> 10.10.20.15 -> 10.10.20.16 -> 10.10.20.17
6. 将所有识别出的主机隔离到 VLAN 999、禁用被入侵账户、封锁外部 C2 IP
7. 报告完整的攻击链,包括时间线、受影响主机和检测盲点

**常见陷阱**:
- 只调查单一告警,而不追踪所有主机上完整的横向移动链
- 在宣布遏制完成前,不检查每台被入侵主机上的持久化机制
- 仅依赖 Windows 事件日志,不关联网络流数据,导致遗漏通过不产生 Windows 事件的工具进行的横向移动
- 未建立正常内部身份验证模式的基线,导致无法进行异常检测

## 输出格式

```
## 横向移动调查报告

**案例 ID**:IR-2024-0312
**初始告警**:10.10.20.15 上的 PsExec,时间 02:00 UTC
**调查周期**:2024-03-15 01:00 至 03:00 UTC

### 攻击时间线

| 时间(UTC) | 来源 | 目标 | 技术 | 证据 |
|------------|--------|-------------|-----------|----------|
| 01:15 | 外部 | 10.10.5.23 | 初始访问(网络钓鱼) | 邮件日志 + HTTP 下载 |
| 01:25 | 10.10.5.23 | 本地 | 凭据转储 | LSASS 访问(Sysmon EID 10) |
| 01:32 | 10.10.5.23 | 10.10.20.15 | 哈希传递(SMB) | EID 4624 类型 3 NTLM |
| 01:38 | 10.10.5.23 | 10.10.20.16 | PsExec | EID 7045 + Zeek SMB |
| 01:45 | 10.10.20.16 | 10.10.20.17 | RDP | EID 4624 类型 10 |
| 02:00 | 10.10.20.17 | 10.10.20.15 | PsExec(触发告警) | EID 7045 |
| 02:10 | 10.10.5.23 | 203.0.113.50 | 数据渗出 | Zeek conn.log 2.3 GB |

### 受影响系统
- 10.10.5.23(workstation-045)- 初始入侵
- 10.10.20.15(file-server-01)- 数据被访问
- 10.10.20.16(app-server-02)- 横穿节点
- 10.10.20.17(db-server-01)- 最终目标

### 检测盲点
1. 初始网络钓鱼邮件未被邮件网关拦截
2. 凭据转储未被检测(无 LSASS 监控)
3. 首次横向移动到告警之间存在 30 分钟间隔
```

Related Skills

scanning-network-with-nmap-advanced

9
from killvxk/cybersecurity-skills-zh

使用 Nmap 的脚本引擎、时序控制、规避技术和输出解析,对授权目标网络执行高级网络侦察, 发现主机、枚举服务、检测漏洞并识别操作系统。

performing-wireless-network-penetration-test

9
from killvxk/cybersecurity-skills-zh

执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。

performing-ot-network-security-assessment

9
from killvxk/cybersecurity-skills-zh

本技能涵盖对运营技术(OT)网络(包括SCADA系统、DCS架构和工业控制系统通信路径)进行全面安全评估。内容涉及Purdue参考模型各层、识别IT/OT融合风险、评估区域间防火墙规则,以及映射工业协议流量(Modbus、DNP3、OPC UA、EtherNet/IP),以检测关键基础设施中的错误配置、未授权连接和攻击面。

performing-network-traffic-analysis-with-zeek

9
from killvxk/cybersecurity-skills-zh

部署 Zeek 网络安全监控器,捕获、解析和分析网络流量元数据,用于威胁检测、异常识别和取证调查。

performing-network-traffic-analysis-with-tshark

9
from killvxk/cybersecurity-skills-zh

使用 tshark 和 pyshark 自动化网络流量分析,进行协议统计、可疑流量检测、DNS 异常识别以及从 PCAP 文件中提取威胁指标(IOC)

performing-network-packet-capture-analysis

9
from killvxk/cybersecurity-skills-zh

使用 Wireshark、tshark 和 tcpdump 对网络数据包捕获(PCAP/PCAPNG)进行取证分析,重建网络通信、提取传输文件、识别恶意流量,并建立数据渗出或命令与控制活动的证据。

performing-network-forensics-with-wireshark

9
from killvxk/cybersecurity-skills-zh

使用 Wireshark 和 tshark 捕获并分析网络流量,重建网络事件、提取制品并识别恶意通信。

performing-lateral-movement-with-wmiexec

9
from killvxk/cybersecurity-skills-zh

在红队演练中,使用基于 WMI 的远程执行技术(包括 Impacket wmiexec.py、CrackMapExec 和原生 WMI 命令)在 Windows 网络中执行横向移动,实现隐蔽的后渗透操作。

performing-lateral-movement-detection

9
from killvxk/cybersecurity-skills-zh

检测横向移动(Lateral Movement)技术,包括哈希传递(Pass-the-Hash)、PsExec、WMI 执行、 RDP 转移和基于 SMB 的传播,使用 SIEM 关联 Windows 事件日志、网络流数据和终端遥测, 映射到 MITRE ATT&CK 横向移动战术(TA0008)技术。

performing-external-network-penetration-test

9
from killvxk/cybersecurity-skills-zh

依照 PTES 方法论,通过侦察、扫描、漏洞利用和报告等阶段,对面向互联网的基础设施执行全面的外部网络渗透测试,识别可利用漏洞。

implementing-zero-trust-network-access

9
from killvxk/cybersecurity-skills-zh

通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。

implementing-zero-trust-network-access-with-zscaler

9
from killvxk/cybersecurity-skills-zh

使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构