黑客在发起勒索加密等最终攻击前,通常会经历潜伏阶段(一般持续数天到数周),主要进行权限维持、横向移动、数据踩点、内网探测等操作。这个阶段的核心特征是 “低噪操作”—— 尽量不触发明显告警,但仍会留下痕迹。及时发现潜伏行为的关键,是通过 **“基线对比”+“异常检测”**,捕捉偏离正常业务的操作痕迹,并结合威胁情报快速响应。
一、先明确:黑客潜伏阶段的典型行为(检测目标)
潜伏阶段的核心目的是 “为最终攻击做准备”,常见行为包括但不限于:
- 权限持久化:创建隐藏账号(如带 $ 符号的管理员账号、克隆账号)、添加后门(如计划任务、服务后门、注册表自启项)。篡改系统配置(如关闭安全日志、禁用防火墙 / EDR、修改组策略)。
- 横向移动:使用远程桌面(RDP)、WMIC、PsExec、WinRM 等工具跨主机连接(尤其非工作时间的跨网段访问)。扫描内网端口(如 3389、445、5985 等常用远程端口)、尝试弱口令爆破。
- 数据收集与踩点:批量读取敏感文件(如数据库配置文件、账号密码文件、共享目录)。执行系统信息查询命令(如systeminfo、ipconfig /all、net user、net share)。
- 规避检测:清理日志(如wevtutil cl命令删除事件日志、删除 EDR/Anti-Virus 的告警记录)。使用混淆工具(如通过powershell -EncodedCommand执行加密命令、用certutil解码恶意文件)。
二、关键检测技术:从 “日志、流量、端点” 三维捕捉痕迹
(一)日志监控:捕捉系统 / 应用层的异常操作
日志是潜伏阶段最易获取的痕迹源,需重点收集并分析以下日志:
日志类型 | 重点监控内容 | 检测工具 / 命令(快速落地) |
Windows 安全日志(事件 ID) | - 账号创建 / 修改(ID 4720/4722/4732,尤其管理员组变更) | - 本地:eventvwr.msc(事件查看器→Windows 日志→安全) |
系统日志 | - 服务异常启动 / 停止(如 WinDefend、EDR 相关服务被停止,ID 7036) | - 命令行查询计划任务:schtasks /query /fo list /v(查看所有任务,筛选陌生任务) |
应用日志 | - 数据库异常操作(如批量导出数据、非授权 IP 登录数据库) | - 数据库:查看 MySQL 的 general_log、SQL Server 的 SQL Server 日志(筛选xp_cmdshell等危险存储过程调用) |
命令行日志 | - 执行敏感命令(如net user、net localgroup administrators、reg add(添加自启项)、wevtutil cl(清日志)、certutil -decode(解码文件)) | - 通过组策略开启 “命令行审计”(本地组策略→计算机配置→安全设置→高级审计策略→命令行进程创建) |
(二)网络流量分析:捕捉跨主机 / 跨网段的异常连接
潜伏阶段的横向移动和数据传输必然产生网络痕迹,重点监控:
检测工具 / 方法:
内网流量:通过 IDS/IPS(如 Suricata)、流量分析工具(如 Wireshark、科来网络分析系统),过滤规则示例:tcp.dstport == 3389 and ip.src != 正常办公IP段。
出站流量:在边界防火墙 / 网关设备上,监控 “单主机频繁连接多个外部 IP”“连接境外高危 IP(如勒索团伙 C2)”,结合威胁情报(如微步在线、360 威胁情报)标记恶意 IP。
异常数据传输:大文件批量传输(如通过共享目录、FTP、HTTP POST 上传大量数据,尤其后缀为.zip、.7z 的压缩包)。非业务端口的大流量(如 80/443 端口外的端口出现 GB 级数据传输)。
检测工具 / 方法:
命令行临时查看:netstat -ano | findstr "ESTABLISHED"(查看当前连接,结合 PID 定位进程);tasklist /fi "pid eq <PID>"(通过 PID 找对应程序)。
长期监控:通过流量可视化工具(如 Grafana+Prometheus)建立流量基线,超过基线阈值(如单主机 1 小时内上传>10GB 数据)触发告警。
(三)端点行为检测:捕捉主机层面的异常操作
端点(服务器 / 终端)是潜伏行为的直接载体,需重点监控 “偏离正常业务的操作”:
检测工具 / 方法:
- 轻量工具:使用tasklist /m(查看进程加载的 DLL)、wmic process list full(查看进程完整路径和命令行参数)。
- 专业工具:部署 EDR(端点检测与响应)工具(如奇安信天擎、卡巴斯基 EDR),开启 “进程行为监控”,检测 “无签名进程创建管理员账号”“进程远程注入” 等行为。
文件系统异常:敏感目录被修改(如C:\Windows\System32\GroupPolicy(组策略)、C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup(启动目录)出现陌生文件)。隐藏文件 / 目录被创建(如带$的目录、属性为 “系统 + 隐藏” 的文件,可通过dir /a命令查看)。系统关键文件被替换(如lsass.exe、svchost.exe的哈希值与基线不一致)。
检测工具 / 方法:
命令行检查:dir C:\Windows\Temp\ /a /b(查看临时目录文件);Get-FileHash C:\Windows\System32\lsass.exe(比对哈希基线)。
工具监控:通过文件完整性监控(FIM)工具(如 OSSEC、Tripwire),对关键目录设置 “修改即告警”。
账号与权限异常:新增账号(尤其是带$的隐藏账号,可通过net user查看,隐藏账号需用wmic useraccount get name,sid确认)。普通账号被加入管理员组(net localgroup administrators查看成员,对比历史基线)。账号密码哈希被读取(如检测到mimikatz相关进程、lsass.exe被 dump 内存(通过procdump等工具))。
检测工具 / 方法:
命令行检查:net user(列出所有账号);net localgroup administrators(查看管理员组)。
深度检查:通过reg query "HKLM\SAM\SAM"(需管理员权限)查看 SAM 数据库是否被访问,或用PowerShell Get-WmiObject -Class Win32_UserAccount枚举所有用户(包括隐藏账号)。
三、发现异常后的处置流程(快速止损)
一旦通过上述方法发现潜伏痕迹,需按 “隔离→取证→清除→加固” 四步处置,避免黑客察觉后提前发起勒索:
- 快速隔离(阻止横向扩散):断开可疑主机的网络连接(物理拔线或通过交换机禁用端口,避免远程操作被中断)。禁用可疑账号(net user <账号名> /active:no),修改所有管理员账号密码(复杂度≥12 位,含大小写 + 数字 + 符号)。
- 取证留存(避免痕迹被清理):导出相关日志(安全日志、进程日志、网络连接日志)到离线存储(如 U 盘)。对可疑进程 / 文件进行内存 dump(用procdump工具)和文件备份(避免删除后无法溯源)。
- 清除后门与痕迹:删除可疑账号、计划任务(schtasks /delete /tn <任务名> /f)、服务(sc delete <服务名>)。移除自启项(如注册表HKLM\Software\Microsoft\Windows\CurrentVersion\Run下的陌生键值)。查杀恶意文件(用 EDR 全盘扫描,或上传样本到 VirusTotal 确认是否为恶意程序)。
- 内网溯源与加固:检查与可疑主机通信的其他主机(通过流量日志),确认是否已被横向渗透,逐一排查。修补漏洞(如内网主机的永恒之蓝、Exchange 漏洞等,避免再次被利用)。恢复安全配置(开启防火墙、EDR 监控,重新启用日志审计,补充数据备份)。
四、长期预防:减少潜伏机会的核心措施
- 建立 “正常基线”:记录正常业务的账号、进程、网络连接、文件目录状态(如管理员账号列表、常用远程工具、每日流量峰值),偏离基线即触发告警。
- 强化日志与监控:确保安全日志、应用日志至少留存 30 天(避免被黑客清理后无法溯源),关键服务器开启 “审计策略”(本地组策略→安全设置→审计策略)。
- 限制权限与横向移动能力:采用 “最小权限原则”:普通用户仅分配必要权限,管理员账号禁用 RDP 登录,敏感服务器(如数据库)仅允许特定 IP 访问。禁用不必要的远程工具:关闭非必要的 445(SMB)、3389(RDP)端口,通过防火墙限制跨网段访问。
- 定期威胁狩猎:每周用 EDR/SIEM 工具扫描一次 “可疑进程”“异常登录”“陌生文件”,结合最新威胁情报(如勒索团伙常用的后门、工具特征)主动排查。
- 备份与演练:重要数据做 “321 备份”(3 份副本、2 种介质、1 份离线),定期演练恢复流程(确保勒索时能快速恢复,减少损失)。
总结:核心逻辑
潜伏阶段的检测本质是 “找异常”—— 异常的账号、进程、连接、文件,这些异常不会孤立存在(如 “新增隐藏账号” 通常伴随 “远程登录” 和 “计划任务后门”)。通过 “日志 + 流量 + 端点” 三维监控,结合人工分析(避免纯依赖工具误报),可在黑客发起最终攻击前发现并处置。