【HW系列】—内网被渗透的解决方案
文章目录
- 一、如何判断内网被渗透?(检测阶段)
- 1. 关键异常行为监控
- 2. 安全设备告警聚焦
- 3. 日志关键证据链
- 二、内网渗透解决方案(响应阶段)
- 1. 立即遏制攻击扩散
- 2. 深度取证分析
- 3. 彻底清除后门
- 三、防御体系加固(长期防护)
- 1. 网络层控制
- 2. 主机层防护
- 3. 主动防御手段
- 四、后续改进流程
- 总结回答模板
一、如何判断内网被渗透?(检测阶段)
1. 关键异常行为监控
- 横向移动痕迹
- 内网主机间异常SMB/LDAP/Kerberos流量(如Pass-the-Hash攻击)
- 域控日志中出现异常账号登录(事件ID 4768:Kerberos黄金票据利用)
- ARP表或NetBIOS记录中突然出现未知主机
- 权限提升活动
- Windows事件日志中的可疑进程创建(如Mimikatz调用)
- Linux系统/var/log/auth.log频繁失败登录后成功(暴力破解)
- 计划任务或服务新增异常项(如schtasks /create)
- 数据外泄迹象
- 内网主机向外部IP高频传输数据(尤其是非80/443端口)
- 压缩工具(如7z、rar)突然调用并打包敏感目录文件
2. 安全设备告警聚焦
- EDR/IDS告警:检测到横向移动工具(Cobalt Strike、Empire)或漏洞利用(如EternalBlue)
- 防火墙日志:内网IP异常访问核心系统(如数据库服务器被非业务IP连接)
- 全流量分析:DNS隧道流量(长域名请求)、ICMP隐蔽通道
3. 日志关键证据链
二、内网渗透解决方案(响应阶段)
1. 立即遏制攻击扩散
- 隔离失陷主机
- 物理断网或通过防火墙策略阻断可疑IP的所有出入站流量
- 核心系统(域控、数据库)临时关闭远程访问端口(如RDP、SSH)
- 紧急凭证重置
- 修改所有管理员账号密码(包括域管理员、本地管理员)
- 撤销Kerberos票据(klist purge)并重置KRBTGT账户密码
2. 深度取证分析
- 主机取证
- 使用Volatility提取内存中的恶意进程、网络连接
- 检查%AppData%、/tmp等目录的隐藏文件(如WebShell、挖矿程序)
- 网络取证
- 通过Wireshark分析pcap包,定位C2服务器IP和通信协议
- 提取NetFlow数据,绘制攻击路径图(如跳板机→数据库服务器)
3. 彻底清除后门
- 恶意文件清除
- 使用clamav全盘扫描,删除后门文件(注意避免误删系统文件)
- 清理持久化手段:注册表Run键值、systemd恶意服务、WMI事件订阅
- 系统重建
- 对确认被控的主机重装系统,优先从干净备份恢复
- 修复漏洞(如未打补丁的Web应用、弱密码服务)
三、防御体系加固(长期防护)
1. 网络层控制
- 微隔离:使用软件定义网络(SDN)按业务划分安全域,禁止VLAN间任意互通
- 协议白名单:内网仅允许业务必要的协议(如HTTP/MySQL),禁用SMBv1、WMI等高风险协议
2. 主机层防护
- 终端安全加固
- 部署EDR(如Elastic Endpoint)实时拦截恶意行为
- 启用Windows LAPS(本地管理员密码解决方案)
- 权限最小化
- 域用户默认禁止本地登录(通过GPO限制)
- Linux系统配置sudoers精细授权
3. 主动防御手段
- 蜜罐诱捕
- 部署高交互蜜罐(如伪装成数据库服务器),记录攻击者横向移动行为
- 使用CanaryTokens生成敏感文件诱饵(如credentials.txt),触发告警
- 威胁狩猎
- 定期搜索内网主机的异常计划任务(schtasks /query /fo list)
- 分析DNS查询日志,定位隐蔽隧道(如*.dns.attacker.com)
四、后续改进流程
- 暴露面收敛:定期扫描内网资产,清理僵尸主机和测试环境
- 自动化响应:集成SIEM+SOAR实现告警自动封禁(如EDR检测到Mimikatz→自动隔离主机)
- 威胁情报联动:订阅IOC(如C2服务器IP),实时阻断已知攻击源
总结回答模板
判断阶段:通过异常登录、横向移动流量、安全设备告警三位一体确认渗透。
解决步骤:
1. 立即隔离失陷主机,阻断横向扩散;
2. 取证分析攻击路径(内存/日志/流量),清除持久化后门;
3. 长期通过网络微隔离和主机加固压缩攻击面。
亮点补充:提及实际案例(如"曾通过DNS隧道检测定位挖矿程序")会显著加分。
通过以上方法,蓝队可将被动响应转化为主动防御能力提升的契机。