应急响应——内网渗透基础&横向移动应急排查

本博客所有网络安全相关教程、漏洞原理、渗透实操、攻防技术等内容,仅用于合法安全学习、白帽技术交流、企业授权安全测试。
所有技术严禁用于未授权探测、非法入侵、数据窃取、网络攻击等任何违反《中华人民共和国网络安全法》的违法行为。
任何个人利用本文内容实施违规操作,所产生的一切法律责任与后果均由当事人自行承担,与本人无关。
倡导正向网络安全学习,坚守白帽底线,共建清朗网络环境。

一、基础概念

1.横向移动

攻击者拿下一台内网主机后,(跳板机),利用漏洞/弱口令,从这台机器访问内网其他服务器、终端,逐步控制整个内网。

2.重点危险端口

  • 135:RPC远程调用
  • 139/445:SMB/文件共享(永恒之蓝、IPC、横向重灾区)
  • 3389:RDP远程桌面

二、四种主流横向方式+痕迹识别

1.SMB横向+永恒之蓝MS17-010(445端口)

原理

永恒之蓝漏洞利用SMB协议远程代码执行,无密码直接植入木马、挖矿、勒索。

流量特征

单台主机短时间对内网大量IP445端口批量发包(SYN)

Wireshark过滤:tcp.port==445,大量内网跨IPSMB会话

系统日志痕迹

受害机Windows安全日志:异常匿名登录、服务创建(7045新增服务)

跳板机:外联恶意IP

应急排查命令
复制代码
#Windows查看本机445外联
netstat -ano | findstr "445"

#Linux抓内网445扫描
tcpdump host 内网IP and port 445

2.IPC$空连接横向(139/445)

原理

利用Windows默认共享C、ADMIN、IPC¥,弱口令/空命令远程连接,复制木马、创建计划任务执行后门。

行为特征
  1. 内网主机之间频繁IPC连接
  2. 跳板机访问目标、、192.168.x.x\C$

日志

目标机出现4624成功登录、陌生远程访问共享记录

3.RDP暴力横向(3389)

原理

拿到本地管理员密码后,对外网全段3389字典爆破,远程登录接管主机。

痕迹
  • 跳板机短时间大量向外3389连接
  • 各受害者主机安全日志大量4625登录失败,夹杂4624成功

4.凭据窃取横向(mimikatz抓密码)

攻击者在跳板机抓取本机账号密码,复用密码登录同域/同工作组其他机器。

**现象:**多台主机同一账号异地异常登录

三、快速排查三步法

第一步 找"异常跳板机"

1.查看内网哪台机器对外批量访问135/445/3389

复制代码
netstat -ano
#筛选高危端口

netstat -ano | findstr "445"
netstat -ano | findstr "3389"

2.单IP短时间海量内网连接------>判定沦陷跳板机

第二步 受害者主机日志核查

  • RDP爆破:eventvwr.msc------>安全日志4625、4624
  • SMB异常访问:系统日志+安全日志匿名记录

第三步 流量佐证(Wireshark)

复制代码
tcp.port == 445 || tcp.port == 3389 || tcp.port == 135

单个源IP不断遍历不同内网目标=横向扫描

四、对应应急处置流程

1.紧急隔离

跳板机断网,内网交换机封禁恶意主机IP,临时防火墙关闭主机外网出网

2.临时封堵端口

边界防火墙临时阻断外网入445、135、3389;内网非必要机器关闭445/139

3.全盘查杀

跳板机全盘查挖矿、远控木马、Webshell;用Autoruns排查异常启动项、陌生服务

4.全内网密码整改

横向大多依靠弱口令复用,统一修改管理员密码,禁用空口令

5.漏洞补丁

永恒之蓝:安装MS17-010补丁

五、内网共享相关常用命令

复制代码
#查看本机开启共享
net share

#删除可疑共享
net share C$ /delete

 查看远程IPC连接记录
net use
相关推荐
Bug退散师4 分钟前
多路IO复用[select版TCP服务器与poll版TCP服务器]与常用网络编程函数详解
linux·服务器·c语言·网络·驱动开发·tcp/ip
Acrellea1 小时前
固态变压器(SST)热管理破局:安科瑞交直流专属测温方案护航无人值守运维
运维·网络
CypressTel1 小时前
JADEPUFFER暴露企业安全防御新挑战——赛柏特安全观察
安全
振浩微433射频芯片1 小时前
5个IO控制20个LED?查理复用实战拆解
网络·单片机·物联网·学习·智能家居
rcms152702692181 小时前
IS200TREAH2A 终端板
网络
海外数字观察家3 小时前
品未云:泰国华商批发零售一体化 ERP,破解本土软件适配难题|CSDN 技术分享
网络·数据库·人工智能
上海云盾-小余3 小时前
流量攻击详解:区分带宽耗尽与资源耗尽两类攻击
爬虫·安全·ddos
测功机之家3 小时前
精密传动,可靠测试:杭州索川科技减速机测试台解决方案深度解析
大数据·网络·科技
科力锐品牌君3 小时前
医院数据存储“乱象”:如何兼顾兼容、高效与合规?
大数据·安全·备份·存储·存储方案
#痴心绝对3 小时前
校园网综合实验20260716
网络