应急响应——内网渗透基础横向移动应急排查

本博客所有网络安全相关教程、漏洞原理、渗透实操、攻防技术等内容仅用于合法安全学习、白帽技术交流、企业授权安全测试。所有技术严禁用于未授权探测、非法入侵、数据窃取、网络攻击等任何违反《中华人民共和国网络安全法》的违法行为。任何个人利用本文内容实施违规操作所产生的一切法律责任与后果均由当事人自行承担与本人无关。倡导正向网络安全学习坚守白帽底线共建清朗网络环境。一、基础概念1.横向移动攻击者拿下一台内网主机后跳板机利用漏洞/弱口令从这台机器访问内网其他服务器、终端逐步控制整个内网。2.重点危险端口135RPC远程调用139/445SMB/文件共享永恒之蓝、IPC、横向重灾区3389RDP远程桌面二、四种主流横向方式痕迹识别1.SMB横向永恒之蓝MS17-010445端口原理永恒之蓝漏洞利用SMB协议远程代码执行无密码直接植入木马、挖矿、勒索。流量特征单台主机短时间对内网大量IP445端口批量发包SYNWireshark过滤tcp.port445大量内网跨IPSMB会话系统日志痕迹受害机Windows安全日志异常匿名登录、服务创建7045新增服务跳板机外联恶意IP应急排查命令#Windows查看本机445外联 netstat -ano | findstr 445 #Linux抓内网445扫描 tcpdump host 内网IP and port 4452.IPC$空连接横向139/445原理利用Windows默认共享C$、ADMIN$、IPC弱口令/空命令远程连接复制木马、创建计划任务执行后门。行为特征内网主机之间频繁IPC连接跳板机访问目标、、192.168.x.x\C$日志目标机出现4624成功登录、陌生远程访问共享记录3.RDP暴力横向3389原理拿到本地管理员密码后对外网全段3389字典爆破远程登录接管主机。痕迹跳板机短时间大量向外3389连接各受害者主机安全日志大量4625登录失败夹杂4624成功4.凭据窃取横向mimikatz抓密码攻击者在跳板机抓取本机账号密码复用密码登录同域/同工作组其他机器。现象多台主机同一账号异地异常登录三、快速排查三步法第一步 找”异常跳板机“1.查看内网哪台机器对外批量访问135/445/3389netstat -ano #筛选高危端口 netstat -ano | findstr 445 netstat -ano | findstr 33892.单IP短时间海量内网连接——判定沦陷跳板机第二步 受害者主机日志核查RDP爆破eventvwr.msc——安全日志4625、4624SMB异常访问系统日志安全日志匿名记录第三步 流量佐证(Wireshark)tcp.port 445 || tcp.port 3389 || tcp.port 135单个源IP不断遍历不同内网目标横向扫描四、对应应急处置流程1.紧急隔离跳板机断网内网交换机封禁恶意主机IP临时防火墙关闭主机外网出网2.临时封堵端口边界防火墙临时阻断外网入445、135、3389内网非必要机器关闭445/1393.全盘查杀跳板机全盘查挖矿、远控木马、Webshell用Autoruns排查异常启动项、陌生服务4.全内网密码整改横向大多依靠弱口令复用统一修改管理员密码禁用空口令5.漏洞补丁永恒之蓝安装MS17-010补丁五、内网共享相关常用命令#查看本机开启共享 net share #删除可疑共享 net share C$ /delete 查看远程IPC连接记录 net use