获课：97it.top/17618/

在网络安全攻防演练或真实的商业对抗中，攻陷企业边界的一台主机，仅仅只是拿到了“入场券”。对于攻击方而言，真正的商业价值并不在于这台边缘机器本身，而在于如何以它为跳板，向内网深处渗透，最终触达企业的核心资产（如数据库、财务系统或核心知识产权）。这一过程在内网渗透中被称为“横向移动”。从商业攻防与风险管理的视角来看，理解攻击者“快速扩大战果”的底层逻辑，是企业构建纵深防御体系、守住数字资产底线的关键。

第一阶段：凭证复用——利用企业管理的“隐形成本”
攻击者在拿下第一台主机（跳板机）后，首要任务并非盲目扫描，而是进行“凭证挖掘”。在商业环境中，为了降低运维复杂度和员工记忆负担，企业内网往往存在大量“多机同账号同密码”的现象。攻击者会利用这一管理上的隐形成本，通过抓取跳板机内存中的明文密码、NTLM哈希或Kerberos票据，获得在内网畅行无阻的“万能钥匙”。
这种“凭证复用”的策略极其高效且隐蔽。攻击者无需破解复杂的加密算法，只需拿着窃取的合法身份凭证，就能像正常员工一样访问内网的其他工作站、文件服务器甚至打印服务器。这警示企业：忽视本地管理员密码的差异化配置（如未部署LAPS解决方案）以及员工弱口令的泛滥，本质上是在为攻击者提供零成本的渗透捷径。

第二阶段：协议滥用——披着合法外衣的“内部漫游”
获取凭证后，攻击者会迅速展开横向扩散。为了规避防火墙和终端安全软件的查杀，现代攻击手法往往采用“寄生于合法工具”（Living off the Land）的策略。他们不会轻易上传容易被识别的恶意木马，而是直接滥用 Windows 系统原生的远程管理协议，如 SMB（文件共享）、WMI（系统管理）或 WinRM。
在防御者看来，这些协议产生的流量是日常运维的正常业务流量。攻击者正是利用这种“灯下黑”的心理，通过 SMB 协议远程执行命令、通过 WMI 无文件化地投递恶意载荷，在短短数小时内就能从一台边缘主机蔓延至数十台核心服务器。这种高度隐蔽的“内部漫游”，往往能让企业在遭受勒索病毒加密或核心数据被窃取后，才后知后觉地发现防线早已全面失守。

第三阶段：分层渗透与路径规划——直取核心资产的“商业掠夺”
成熟的攻击者（或高级红队）在横向移动时绝非盲目乱撞，而是具备极强的商业目的性。他们会基于前期收集的内网拓扑信息，规划出一条“最短提权路径”。通常采取分层渗透的策略：先控制同一网段的普通工作站以获取更多凭证，再渗透文件服务器等共用设备以捕获域账号权限，最终目标直指域控制器（Domain Controller）或核心数据库。
一旦拿下域控制器，攻击者便掌握了整个企业内网的最高统治权，可以随意篡改权限、窃取全量数据或下发勒索指令。这种从“单点突破”到“全网沦陷”的降维打击，往往能在极短时间内给企业带来毁灭性的商业损失。

商业启示：构建“零信任”的内网防御纵深
攻击者横向移动的高效性，深刻暴露了传统“边界强、内网弱”防御体系的脆弱。企业要想防范此类风险，必须打破“内网即安全”的旧思维。一方面，要严格落实最小权限原则，推行零信任架构，确保即便某台主机失陷，攻击者也无法轻易获取访问其他核心资产的权限；另一方面，需加强对内网东西向流量的监控与异常行为分析，及时识别并阻断非法的远程管理请求与异常的凭证调用。只有将安全防御的颗粒度细化到每一次身份验证和每一条内网连接，企业才能真正筑牢数字资产的护城河。