| 攻击阶段 | 攻击手段 | 核心原理 | 典型工具 | 防御措施 |
|---|---|---|---|---|
| 一、信息收集 | 1. 内网存活主机探测(ARP/ICMP 扫描) | 利用 ARP 广播或 ICMP 请求识别活跃主机,无扫描特征或特征弱 | arp-scan、fping、nmap -sn | 1. 部署内网防火墙,限制非授权主机的 ARP 扫描请求2. 开启主机防火墙,拦截异常 ICMP 包3. 禁用不必要的网络协议(如 NetBIOS) |
| 2. 域环境信息枚举(用户 / 组 / DC 查询) | 利用 Windows 域协议(LDAP/SMB)查询域内敏感信息,构建攻击路径 | BloodHound、PowerView、net 命令 | 1. 限制普通用户读取域内用户列表、组信息的权限2. 开启 LDAP 访问审计,监控异常查询行为3. 定期使用 BloodHound 自查域权限漏洞 | |
| 3. 主机信息探测(补丁 / 进程 / 服务) | 读取系统补丁列表、进程、服务配置,寻找未打补丁漏洞或弱权限服务 | WinPEAS、LinPEAS、systeminfo | 1. 建立补丁管理机制,定期更新系统和应用补丁2. 最小化服务权限,禁止普通用户读取敏感进程信息3. 部署 EDR 工具,监控异常信息收集行为 | |
| 二、横向移动 | 1. 哈希传递攻击(PTH) | 利用 Windows NTLM 认证漏洞,直接使用哈希代替明文密码登录其他主机 | mimikatz、Impacket(psexec.py) | 1. 禁用 NTLM 认证,强制使用 Kerberos 认证2. 开启远程主机的 SMB 签名,防止哈希窃取3. 限制管理员账户在普通主机登录,避免哈希泄露 |
| 2. 票据传递攻击(PTT) | 伪造 Kerberos 票据(TGT/TGS),模拟域用户身份访问域内服务 | mimikatz、Rubeus | 1. 定期更换 KRBTGT 账户密码,防止黄金票据伪造2. 开启 Kerberos 票据审计,监控异常票据请求3. 限制票据的有效时间,缩短攻击窗口期 | |
| 3. 远程服务利用(WMI/WinRM/SSH) | 利用开放的远程管理服务,执行命令或获取 shell | evil-winrm、wmiexec.py、SSH 暴力破解工具 | 1. 禁用不必要的远程服务(如 WMI、WinRM),仅在必要主机开启2. 为 SSH/WinRM 设置强密码,禁止密码复用3. 限制远程服务的访问 IP,仅允许管理网段连接 | |
| 4. 漏洞利用(永恒之蓝 / PrintNightmare) | 利用未打补丁的系统漏洞,远程执行恶意代码获取权限 | Metasploit、searchsploit | 1. 紧急修复高危漏洞(如 MS17-010、CVE-2021-34527)2. 部署网络入侵检测系统(IDS),拦截漏洞利用流量3. 对关键服务(如 SMB、打印服务)进行流量监控 | |
| 三、权限提升 | 1. Windows 系统漏洞提权 | 利用内核或服务漏洞,突破用户权限限制,提升至 SYSTEM 权限 | wesng、PrivescCheck | 1. 定期扫描系统漏洞,优先修复权限提升类漏洞2. 限制普通用户的进程创建权限,禁止加载恶意驱动3. 部署应用白名单,仅允许可信程序运行 |
| 2. Linux SUID/sudo 提权 | 利用 SUID 文件或 sudo 配置漏洞,获取 root 权限 | LinPEAS、find 命令 | 1. 定期清理不必要的 SUID/SGID 文件(chmod u-s 文件名)2. 严格配置 sudoers 文件,限制普通用户的 sudo 权限3. 禁止 root 账户直接登录 SSH,使用普通用户 + sudo 提权 | |
| 3. 服务配置错误提权 | 修改权限过高的服务二进制路径,重启服务执行恶意代码 | sc 命令、注册表编辑器 | 1. 检查服务权限配置,禁止普通用户修改服务路径2. 对系统关键服务(如 RPC、Windows Update)进行权限加固3. 开启服务变更审计,监控服务配置的异常修改 | |
| 四、持久化控制 | 1. 隐藏账户 / 启动项持久化 | 创建隐藏管理员账户或修改注册表启动项,实现开机自启 | net 命令、注册表编辑器 | 1. 定期审计本地账户和域账户,排查隐藏账户(如带 $ 后缀的账户)2. 监控注册表启动项的变更,禁止非授权程序添加自启项3. 启用账户登录审计,记录所有账户的登录行为 |
| 2. 黄金 / 白银票据持久化 | 伪造 Kerberos 票据,长期控制域内资源,无需重复攻击 | mimikatz | 1. 定期轮换域管理员和 KRBTGT 账户密码2. 部署 Kerberos 票据监控工具,检测伪造票据的使用3. 限制域管理员的权限范围,避免权限滥用 | |
| 3. SSH 密钥 / 计划任务持久化 | 植入 SSH 公钥或添加定时任务,实现无密码登录或定期执行后门 | ssh-keygen、crontab | 1. 定期检查~/.ssh/authorized_keys文件,删除未知公钥2. 监控 crontab 和系统计划任务的变更3. 对 SSH 登录进行 IP 限制和行为审计 | |
| 五、数据窃取 & 痕迹清理 | 1. 敏感数据窃取(密码 / 文件) | 提取内存中的密码哈希、下载 NTDS.dit 等敏感文件 | mimikatz、LaZagne | 1. 启用内存保护机制,防止进程内存被读取2. 对敏感文件(如 NTDS.dit)进行加密存储3. 部署数据防泄漏(DLP)系统,监控敏感数据的传输 |
| 2. 日志清理 | 删除系统日志、安全日志,掩盖攻击痕迹 | wevtutil、history 命令 | 1. 将系统日志同步到远程日志服务器,防止本地删除2. 开启日志访问审计,禁止普通用户修改或删除日志3. 定期检查日志完整性,排查日志缺失或篡改情况 |
news
2026/5/16 16:08:53
内网常见攻击手段与防御措施对照表
张小明
前端开发工程师
1.2k
24
版权声明:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设
2026/5/14 23:44:57
法律咨询助手开发手记:Kotaemon是如何赋能专业领域的?
法律咨询助手开发手记:Kotaemon是如何赋能专业领域的? 在律师事务所的咨询台前,一位当事人反复询问:“我这种情况能赔多少?”而律师却不得不花半小时翻查判例、核对法条。这样的场景每天都在上演——法律服务的需求高度…
李华
网站建设
2026/5/10 2:19:54
Kotaemon支持会话导出为报告,适用于审计场景
Kotaemon支持会话导出为报告,适用于审计场景 在银行客服回访一起贷款咨询时,合规部门突然提出要求:不仅要查看聊天记录,还要证明系统给出的利率信息确实来自最新版政策文件。这类场景如今已不再罕见——随着AI在金融、医疗、法务等…
李华
网站建设
2026/5/14 17:36:00
Kotaemon装修设计方案建议:风格匹配与预算控制
Kotaemon:构建可信智能对话系统的核心实践 在企业智能化转型的浪潮中,客户对服务响应速度、准确性和个性化体验的要求正以前所未有的速度攀升。传统的聊天机器人往往止步于关键词匹配或固定流程应答,面对复杂业务场景时显得力不从心——答案不…
李华
网站建设
2026/5/14 17:46:13
WGCLOUD监控系统 v3.6.2英文版也可以下载了
https://www.wgstart.com/en/docs.html 下载链接如上 英文版和简体版的功能一致,使用操作也一致,只是做了文字翻译
李华
网站建设
2026/5/11 19:21:51
Kotaemon竞品分析报告自动生成
Kotaemon:构建生产级智能代理的技术实践 在企业智能化转型的浪潮中,大模型的应用早已不再局限于“问一句答一句”的简单问答。越来越多的业务场景要求系统具备持续对话能力、可追溯的知识来源以及与后端系统的深度集成——这正是传统聊天机器人难以跨越的…
李华
