红队视角:横向移动中 IPC 与IPC+AT/Schtasks 技术详 解

一、IPC$ 基础原理与机制

1.1 技术本质与架构

IPC$ (Internet Process Connection) 是 Windows 系统默认开启的隐藏共享，不指向具体磁盘或文件夹，而是提供”命名管道”(named pipe)通信通道。该通道基于 SMB 协议，复用 445 端口，支持客户端与服务器端建立信任连接，实现远程管理操作。

技术特性：

默认共享包括所有逻辑盘符（C$, D$, E$…）和系统目录（ADMIN$）

基于 SMB 协议实现，提供进程间通信机制

支持空会话（Null session）连接，无需有效凭证

1.2 攻击面分析

信息收集价值：

用户与组信息枚举：通过 
net user 和 
net group 命令获取目标系统信息

共享资源发现：使用 
net view 命令探查目标共享资源

系统信息收集：获取操作系统版本、补丁安装情况等关键信息

密码策略分析：评估目标密码复杂度、过期时间等安全策略

身份验证作用：

凭证有效性验证：连接成功即证明凭据有效

密码喷洒攻击：利用已知用户名尝试密码组合

暴力破解入口：作为自动化攻击的初始入口点

二、IPC$+AT/Schtasks 技术实战详解

2.1 文件上传技术

基本操作：

cmd

copy C:payload.exe \目标IPC$WindowsTemppayload.exe

高级规避技术：

Alternate Data Streams (ADS)：利用 NTFS 数据流隐藏恶意代码

文件类型伪装：将可执行文件伪装为文档或图像格式

分块上传：降低单次传输被检测概率

路径选择策略：

系统临时目录（C:WindowsTemp）

用户公共目录（C:UsersPublic）

应用程序目录（利用合法位置规避检测）

2.2 计划任务执行技术

AT 命令应用：

cmd

at \目标IP 15:30 "C:WindowsTemppayload.exe"

Schtasks 高级用法：

cmd

schtasks /create /s 目标IP /u 用户名 /p 密码 /tn "UpdateTask" /sc once /st 00:00 /tr "C:WindowsTemppayload.exe" /ru SYSTEM /f
schtasks /run /s 目标IP /u 用户名 /p 密码 /tn "UpdateTask"

技术对比：

2.3 完整攻击流程

建立IPC$连接：
net use \目标IPIPC$ "密码" /user:用户名

上传攻击载荷：通过SMB共享复制文件到目标系统

创建计划任务：根据环境选择AT或Schtasks

触发任务执行：立即或定时执行攻击载荷

验证执行结果：检查网络连接、进程列表等

清理攻击痕迹：删除文件、任务和日志记录

2.4 现代防御绕过技术

EDR规避技术：

进程注入：将代码注入合法进程执行

反射式DLL注入：内存中直接加载执行DLL

API调用混淆：修改调用方式和顺序

无文件技术：完全避免磁盘写入操作

防火墙绕过策略：

端口隧道：封装SMB流量于合法端口中

DNS隧道：通过53端口进行通信

HTTP/S隧道：利用80/443端口广泛开放性

SMB over QUIC：通过UDP 443端口通信（Win Server 2025）

日志规避方法：

选择性日志清除：针对特定事件ID操作

日志记录临时禁用：攻击期间暂停记录

日志伪造：保持日志表面完整性

LSASS内存注入：直接修改内存中的日志记录

三、攻击痕迹清理与隐蔽性增强

3.1 恶意文件清理

基础方法：

cmd

del \目标IPC$WindowsTemppayload.exe

高级清理技术：

文件内容覆写：使用随机数据破坏文件恢复可能性

多次覆写：按照安全标准（如DoD 5220.22-M）执行多次覆写

专用工具：使用sdelete等安全删除工具

3.2 计划任务清理

基本清理：

cmd

schtasks /delete /s 目标IP /u 用户名 /p 密码 /tn "任务名称" /f

深度清理技术：

注册表操作：直接删除计划任务相关键值

隐藏任务处理：清理特殊方法创建的隐藏任务

任务历史记录：清除执行历史记录

3.3 日志清理策略

清理方法：

cmd

wevtutil cl "日志名称"

高级技术：

选择性清除：只删除与攻击相关的特定条目

日志伪造：添加伪造记录保持日志连续性

内存注入：直接修改内存中的日志数据

最佳实践：

按照安全日志→系统日志→应用程序日志的顺序清理

攻击成功后立即执行清理操作

保留大部分正常日志，只删除关键条目

四、现代防御体系下的技术演进

4.1 防御技术影响

EDR系统挑战：

进程行为监控检测异常IPC$连接

内存监控发现恶意代码加载

异常行为识别非交互式登录模式

网络防护措施：

端口过滤阻止TCP 139/445端口访问

网络分段限制横向移动范围

精细ACL控制减少攻击面

4.2 新一代利用技术

SMB over QUIC技术：

UDP 443端口通信绕过传统封锁

TLS 1.3加密提高通信隐蔽性

更好网络适应性提升攻击可靠性

无文件攻击技术：

内存中直接执行避免文件痕迹

进程注入利用合法进程环境

反射式DLL加载规避传统检测

合法工具利用：

PowerShell执行恶意脚本

CertUtil远程下载代码

Msiexec安装程序执行载荷

五、红队实战建议

5.1 信息收集阶段

目标探测：

端口扫描确认SMB服务状态

空会话尝试获取基本信息

凭证验证和密码喷洒攻击

隐蔽性策略：

非工作时间进行操作

控制活动频率避免检测

分散查询来源降低风险

5.2 攻击执行阶段

载荷优化：

根据环境选择合适载荷类型

减小载荷大小提高上传效率

采用多阶段载荷降低风险

隐蔽执行：

进程注入技术规避检测

无文件执行避免磁盘痕迹

API调用混淆绕过行为分析

5.3 清理撤离阶段

系统清理：

彻底删除上传的恶意文件

清除计划任务和相关注册表项

选择性清理日志记录

撤离策略：

按照攻击路径反向逐步撤离

保持正常活动模式避免怀疑

多路径撤离增加溯源难度

六、技术总结与展望

IPC$技术作为Windows系统基础功能，在红队横向移动中具有不可替代的价值。随着防御技术的不断发展，攻击方法也需要相应演进，从传统的文件上传执行向无文件、内存驻留、合法工具利用等方向发展。未来的攻击技术将更加注重隐蔽性、持久性和规避检测能力，同时保持对现有防御体系的穿透能力。

核心价值： 提供可靠的远程管理通道，支持多种攻击场景，是内网横向移动的基础技术之一。

发展趋势： 向更隐蔽、更高效、更难检测的方向发展，与防御技术的博弈将持续升级。