黑产入侵链路拆解与防御思路
打点踩点阶段
攻击者通过公开信息收集(如WHOIS、GitHub代码泄露)、漏洞扫描(如未修复的CVE漏洞)、或社会工程学(钓鱼邮件/电话)寻找突破口。
防御措施:
- 定期扫描并清理公开敏感信息,使用自动化工具监控代码泄露。
- 部署WAF和漏洞管理系统,及时修补已知漏洞。
- 员工安全意识培训,模拟钓鱼攻击测试,强化邮件过滤规则。
初始入侵阶段
攻击者利用漏洞或凭证(如弱密码、泄露的API密钥)获取初始访问权限,通常通过Web应用或远程桌面协议(RDP)。
防御措施:
- 强制多因素认证(MFA),限制高危协议(如RDP)的访问IP范围。
- 实施最小权限原则,定期轮换密钥和密码。
- 部署EDR/XDR工具监控异常登录行为。
权限提升与持久化
攻击者通过提权漏洞(如Windows本地提权)、滥用合法工具(如PsExec)或后门植入(Web Shell)扩大控制范围。
防御措施:
- 禁用不必要的系统权限,定期审计服务账户。
- 限制横向移动工具的使用,监控进程创建行为。
- 文件完整性监控(FIM)检测Web Shell,隔离受影响主机。
内网横向移动
攻击者利用网络共享、Pass-the-Hash攻击或漏洞(如永恒之蓝)在内网扩散,寻找高价值目标(如数据库、域控)。
防御措施:
- 网络分段,隔离核心业务区域,部署微隔离策略。
- 禁用NTLM认证,启用Kerberos强化,监控敏感账户的异常访问。
- 流量加密分析(如TLS解密),检测C2通信流量模式。
数据外泄阶段
攻击者通过隐蔽通道(DNS隧道、HTTPS加密传输)或合法云存储(如Google Drive)窃取数据。
防御措施:
- DLP系统监控敏感数据流出,限制大容量数据传输。
- 行为分析检测异常数据访问模式(如非工作时间批量下载)。
- 日志集中管理(SIEM),保留至少180天供溯源取证。
事件响应与溯源
建立自动化响应流程(SOAR),结合威胁情报(如攻击者IP、恶意哈希)快速封堵。取证需保留内存快照、磁盘镜像及网络流量记录。
关键点:防御需覆盖攻击链各环节,通过"预防-检测-响应"闭环降低驻留时间(MTTD/MTTR)。