【HW系列】—内网被渗透的解决方案

一、如何判断内网被渗透？（检测阶段）

1. 关键异常行为监控

• 横向移动痕迹
  • 内网主机间异常SMB/LDAP/Kerberos流量（如Pass-the-Hash攻击）
  • 域控日志中出现异常账号登录（事件ID 4768：Kerberos黄金票据利用）
  • ARP表或NetBIOS记录中突然出现未知主机
• 权限提升活动
  • Windows事件日志中的可疑进程创建（如Mimikatz调用）
  • Linux系统/var/log/auth.log频繁失败登录后成功（暴力破解）
  • 计划任务或服务新增异常项（如schtasks /create）
• 数据外泄迹象
  • 内网主机向外部IP高频传输数据（尤其是非80/443端口）
  • 压缩工具（如7z、rar）突然调用并打包敏感目录文件

2. 安全设备告警聚焦

• EDR/IDS告警：检测到横向移动工具（Cobalt Strike、Empire）或漏洞利用（如EternalBlue）
• 防火墙日志：内网IP异常访问核心系统（如数据库服务器被非业务IP连接）
• 全流量分析：DNS隧道流量（长域名请求）、ICMP隐蔽通道

3. 日志关键证据链

---

二、内网渗透解决方案（响应阶段）

1. 立即遏制攻击扩散

• 隔离失陷主机
  • 物理断网或通过防火墙策略阻断可疑IP的所有出入站流量
  • 核心系统（域控、数据库）临时关闭远程访问端口（如RDP、SSH）
• 紧急凭证重置
  • 修改所有管理员账号密码（包括域管理员、本地管理员）
  • 撤销Kerberos票据（klist purge）并重置KRBTGT账户密码

2. 深度取证分析

• 主机取证
  • 使用Volatility提取内存中的恶意进程、网络连接
  • 检查%AppData%、/tmp等目录的隐藏文件（如WebShell、挖矿程序）
• 网络取证
  • 通过Wireshark分析pcap包，定位C2服务器IP和通信协议
  • 提取NetFlow数据，绘制攻击路径图（如跳板机→数据库服务器）

3. 彻底清除后门

• 恶意文件清除
  • 使用clamav全盘扫描，删除后门文件（注意避免误删系统文件）
  • 清理持久化手段：注册表Run键值、systemd恶意服务、WMI事件订阅
• 系统重建
  • 对确认被控的主机重装系统，优先从干净备份恢复
  • 修复漏洞（如未打补丁的Web应用、弱密码服务）

---

三、防御体系加固（长期防护）

1. 网络层控制

• 微隔离：使用软件定义网络（SDN）按业务划分安全域，禁止VLAN间任意互通
• 协议白名单：内网仅允许业务必要的协议（如HTTP/MySQL），禁用SMBv1、WMI等高风险协议

2. 主机层防护

• 终端安全加固
  • 部署EDR（如Elastic Endpoint）实时拦截恶意行为
  • 启用Windows LAPS（本地管理员密码解决方案）
• 权限最小化
  • 域用户默认禁止本地登录（通过GPO限制）
  • Linux系统配置sudoers精细授权

3. 主动防御手段

• 蜜罐诱捕
  • 部署高交互蜜罐（如伪装成数据库服务器），记录攻击者横向移动行为
  • 使用CanaryTokens生成敏感文件诱饵（如credentials.txt），触发告警
• 威胁狩猎
  • 定期搜索内网主机的异常计划任务（schtasks /query /fo list）
  • 分析DNS查询日志，定位隐蔽隧道（如*.dns.attacker.com）

---

四、后续改进流程

1. 暴露面收敛：定期扫描内网资产，清理僵尸主机和测试环境
2. 自动化响应：集成SIEM+SOAR实现告警自动封禁（如EDR检测到Mimikatz→自动隔离主机）
3. 威胁情报联动：订阅IOC（如C2服务器IP），实时阻断已知攻击源

---

总结回答模板

判断阶段：通过异常登录、横向移动流量、安全设备告警三位一体确认渗透。
解决步骤：
1. 立即隔离失陷主机，阻断横向扩散；
2. 取证分析攻击路径（内存/日志/流量），清除持久化后门；
3. 长期通过网络微隔离和主机加固压缩攻击面。
亮点补充：提及实际案例（如"曾通过DNS隧道检测定位挖矿程序"）会显著加分。
通过以上方法，蓝队可将被动响应转化为主动防御能力提升的契机。