Remote Services 是什麼？

正規用途

Remote Services（遠端服務）是企業與 IT 部門日常必備的功能：

• 遠端管理：系統管理員不需要跑到機房或桌機前，就能進行維護。

• 資源共享：檔案伺服器、印表機伺服器，讓多個使用者能同時存取。

• 協作：不同部門或遠端工作人員能在同一平台上作業。

• 效率：減少差旅時間，集中管理，特別適合大型或分散式環境。

攻擊角度

一旦攻擊者獲得憑證（帳號密碼、hash、金鑰、Kerberos 票證），就能濫用 Remote Services 來：

• 橫向移動（Lateral Movement）：從一台主機跳到另一台主機，慢慢深入網路核心。

• 提權（Privilege Escalation）：找有管理員權限的服務或帳號，進一步拿到 SYSTEM/Domain Admin。

• 持久化（Persistence）：建立後門，維持在環境中的存在。

常見的 Remote Services 類型（MITRE ATT&CK T1021）

1. RDP（Remote Desktop Protocol）

• 微軟的圖形介面遠端桌面。

• 正規用途：遠端技術支援、伺服器管理。

• 攻擊用途：

  • 爆破密碼 / 使用憑證登入。

  • 若允許「網路等級驗證（NLA）」關閉，更容易被濫用。

  • 常見於橫向移動後，利用 RDP 建立穩定的 GUI 存取。

2. SMB / Windows Shares（Server Message Block）

• 用於檔案共享、印表機共享。

• 常見端口：445, 139。

• 攻擊用途：

  • Pass-the-Hash 登入。

  • 利用 psexec、smbexec 在遠端執行程式。

  • 存取 Admin$、C$ 等管理共享。

3. WMI（Windows Management Instrumentation）

• 微軟的管理介面，可遠端收集資訊、執行命令。

• 攻擊用途：

  • wmiexec.py（Impacket）可在遠端主機執行指令。

  • 無需開啟 RDP，且較不顯眼。

  • 可用來 dump process memory、搜尋憑證。

4. WinRM（Windows Remote Management）

• 基於 WS-Management，支援 PowerShell 遠端。

• 常見端口：5985 (HTTP)、5986 (HTTPS)。

• 攻擊用途：

  • 利用 evil-winrm 直接進入遠端 PowerShell。

  • 適合做 post-exploitation：dump 資料、建立帳號。

5. DCOM（Distributed COM）

• Windows 元件物件模型的分散式版本。

• 攻擊用途：

  • 利用 COM 物件呼叫來遠端執行程式。

  • 一般藍隊較少監控，隱蔽性高。

6. SSH（Secure Shell）

• 跨平台的安全遠端登入與命令執行協定。

• 常見端口：22。

• 攻擊用途：

  • Linux/Windows 皆可用，若啟用公鑰登入，竊取私鑰即可進入。

  • 可做 port forwarding/tunneling，進一步滲透內網。

如何發現 Remote Services（枚舉方法）

Port Scanning

工具：nmap、rustscan。

範例：

nmap -p 445,3389,5985,5986,22 <target>

Service Banner 抓取

連上服務看回應，確認版本與設定。

範例：

nc <target> 445

Active Directory 查詢

若已在域內，可用 LDAP 或 PowerView。

範例：

Get-NetComputer -Service "RDP"

網路拓撲探索

• Ping sweep (fping、masscan)

• NetBIOS / mDNS / Kerberos 請求分析。

可能用到的憑證類型

1. Passwords（密碼）

• 最傳統的登入方式。

• 攻擊手法：爆破、釣魚、憑證轉儲（mimikatz）。

2. NTLM Hash

• Windows 的認證雜湊。

• 可用於 Pass-the-Hash (PtH)：

  psexec.py <domain>/<user>@<target> -hashes :<NTLM_hash>
  

  psexec.py: https://github.com/milo2012/pentest_scripts/blob/master/impacket/psexec.py

3. NTLMv2 Hash

• 更安全的 NTLM，但仍可用於 Relay 攻擊。

• 工具：ntlmrelayx.py。

  ntlmrelayx.py: https://hausec.com/how-to-set-up-ntlmrelayx-py/

4. AES256 Keys（Kerberos 金鑰）

• Kerberos 認證中使用的金鑰。

• 工具：Rubeus、Mimikatz，可用來 forge TGT/TGS。

5. Kerberos Tickets

• TGT（Ticket Granting Ticket）、TGS（Service Ticket）。

• 攻擊用途：

  • Pass-the-Ticket (PtT)

  • Golden Ticket（偽造 TGT）

  • Silver Ticket（偽造 TGS）

總結

Remote Services 的概念其實就是：

1. 找到有開的遠端服務（RDP, SMB, WMI, WinRM, DCOM, SSH）。

2. 用掃描與枚舉方法確認能不能連。

3. 利用不同型態的憑證登入（密碼、hash ...）。

4. 成功登入後做橫向移動、提權、或持久化。

小結

# 有時候，Remote Services 就像工作裡的加班捷徑，平常幫人省事，
# 可是一旦用錯了場景，就會變成攻擊者中途插進比賽、打亂節奏的後門。
# 不小心斷賽了，真可惜 ＸＤ