当前位置: 首页 > news >正文

内网常见攻击手段与防御措施对照表

攻击阶段攻击手段核心原理典型工具防御措施
一、信息收集1. 内网存活主机探测(ARP/ICMP 扫描)利用 ARP 广播或 ICMP 请求识别活跃主机,无扫描特征或特征弱arp-scan、fping、nmap -sn1. 部署内网防火墙,限制非授权主机的 ARP 扫描请求2. 开启主机防火墙,拦截异常 ICMP 包3. 禁用不必要的网络协议(如 NetBIOS)
2. 域环境信息枚举(用户 / 组 / DC 查询)利用 Windows 域协议(LDAP/SMB)查询域内敏感信息,构建攻击路径BloodHound、PowerView、net 命令1. 限制普通用户读取域内用户列表、组信息的权限2. 开启 LDAP 访问审计,监控异常查询行为3. 定期使用 BloodHound 自查域权限漏洞
3. 主机信息探测(补丁 / 进程 / 服务)读取系统补丁列表、进程、服务配置,寻找未打补丁漏洞或弱权限服务WinPEAS、LinPEAS、systeminfo1. 建立补丁管理机制,定期更新系统和应用补丁2. 最小化服务权限,禁止普通用户读取敏感进程信息3. 部署 EDR 工具,监控异常信息收集行为
二、横向移动1. 哈希传递攻击(PTH)利用 Windows NTLM 认证漏洞,直接使用哈希代替明文密码登录其他主机mimikatz、Impacket(psexec.py)1. 禁用 NTLM 认证,强制使用 Kerberos 认证2. 开启远程主机的 SMB 签名,防止哈希窃取3. 限制管理员账户在普通主机登录,避免哈希泄露
2. 票据传递攻击(PTT)伪造 Kerberos 票据(TGT/TGS),模拟域用户身份访问域内服务mimikatz、Rubeus1. 定期更换 KRBTGT 账户密码,防止黄金票据伪造2. 开启 Kerberos 票据审计,监控异常票据请求3. 限制票据的有效时间,缩短攻击窗口期
3. 远程服务利用(WMI/WinRM/SSH)利用开放的远程管理服务,执行命令或获取 shellevil-winrm、wmiexec.py、SSH 暴力破解工具1. 禁用不必要的远程服务(如 WMI、WinRM),仅在必要主机开启2. 为 SSH/WinRM 设置强密码,禁止密码复用3. 限制远程服务的访问 IP,仅允许管理网段连接
4. 漏洞利用(永恒之蓝 / PrintNightmare)利用未打补丁的系统漏洞,远程执行恶意代码获取权限Metasploit、searchsploit1. 紧急修复高危漏洞(如 MS17-010、CVE-2021-34527)2. 部署网络入侵检测系统(IDS),拦截漏洞利用流量3. 对关键服务(如 SMB、打印服务)进行流量监控
三、权限提升1. Windows 系统漏洞提权利用内核或服务漏洞,突破用户权限限制,提升至 SYSTEM 权限wesng、PrivescCheck1. 定期扫描系统漏洞,优先修复权限提升类漏洞2. 限制普通用户的进程创建权限,禁止加载恶意驱动3. 部署应用白名单,仅允许可信程序运行
2. Linux SUID/sudo 提权利用 SUID 文件或 sudo 配置漏洞,获取 root 权限LinPEAS、find 命令1. 定期清理不必要的 SUID/SGID 文件(chmod u-s 文件名)2. 严格配置 sudoers 文件,限制普通用户的 sudo 权限3. 禁止 root 账户直接登录 SSH,使用普通用户 + sudo 提权
3. 服务配置错误提权修改权限过高的服务二进制路径,重启服务执行恶意代码sc 命令、注册表编辑器1. 检查服务权限配置,禁止普通用户修改服务路径2. 对系统关键服务(如 RPC、Windows Update)进行权限加固3. 开启服务变更审计,监控服务配置的异常修改
四、持久化控制1. 隐藏账户 / 启动项持久化创建隐藏管理员账户或修改注册表启动项,实现开机自启net 命令、注册表编辑器1. 定期审计本地账户和域账户,排查隐藏账户(如带 $ 后缀的账户)2. 监控注册表启动项的变更,禁止非授权程序添加自启项3. 启用账户登录审计,记录所有账户的登录行为
2. 黄金 / 白银票据持久化伪造 Kerberos 票据,长期控制域内资源,无需重复攻击mimikatz1. 定期轮换域管理员和 KRBTGT 账户密码2. 部署 Kerberos 票据监控工具,检测伪造票据的使用3. 限制域管理员的权限范围,避免权限滥用
3. SSH 密钥 / 计划任务持久化植入 SSH 公钥或添加定时任务,实现无密码登录或定期执行后门ssh-keygen、crontab1. 定期检查~/.ssh/authorized_keys文件,删除未知公钥2. 监控 crontab 和系统计划任务的变更3. 对 SSH 登录进行 IP 限制和行为审计
五、数据窃取 & 痕迹清理1. 敏感数据窃取(密码 / 文件)提取内存中的密码哈希、下载 NTDS.dit 等敏感文件mimikatz、LaZagne1. 启用内存保护机制,防止进程内存被读取2. 对敏感文件(如 NTDS.dit)进行加密存储3. 部署数据防泄漏(DLP)系统,监控敏感数据的传输
2. 日志清理删除系统日志、安全日志,掩盖攻击痕迹wevtutil、history 命令1. 将系统日志同步到远程日志服务器,防止本地删除2. 开启日志访问审计,禁止普通用户修改或删除日志3. 定期检查日志完整性,排查日志缺失或篡改情况
http://www.cnnetsun.cn/news/128643.html

相关文章:

  • GPU资源紧张?Kotaemon轻量化部署方案来了
  • Kotaemon与Elasticsearch集成实战:打造超强检索后端
  • Kotaemon用户体验反馈分析:NLP情感挖掘
  • Kotaemon框架对比评测:在主流RAG方案中脱颖而出
  • 数据挖掘技术助力大数据领域创新发展
  • **YOLOv12图像去雾检测革命:基于UnfogNet的恶劣天气目标检测突破性解决方案**
  • Kotaemon与主流LLM兼容性测试报告出炉
  • 差模干扰(Differential Mode Interference, DMI)与共模干扰(Common Mode Interference, CMI)全面解析
  • Kotaemon PPT内容抽取:演示文稿知识化方案
  • Ventoy 全能启动盘制作指南:告别繁琐,拥抱高效
  • 期末复习-改错题
  • 小红书私域引流天花板:专属卡片 + 多号聚合,安全又高效
  • 机器学习(深度学习)与教育类比
  • pnpm 深度解析:下一代包管理工具的原理与实践
  • 小程序项目之食堂线上预约点餐系统源码(源码+文档)
  • 【论文阅读】POP-3D:Open-Vocabulary3DOccupancyPrediction fromImages
  • 嵌入式 UART 调试遇阻?关键一步没人提
  • AI大模型使用GPU加速(python、CUDA、pytorch)
  • 拒绝无效内卷!2025年网文圈公认好用的【写小说软件】红黑榜大公开
  • [特殊字符] 2025全网最全AI写小说软件生成器测评大合集|附ai生成小说使用技巧
  • Kotaemon法律援助机器人公益项目启动
  • 沉浸式LED显示屏LED大屏幕生产厂家
  • pg配置国内数据源安装
  • AI知识图谱:一张图看懂AI学习全路径
  • Kotaemon命名实体识别模块扩展技巧
  • 1.4 从0到1:AIGC产品应用全景深度解析
  • Kotaemon自然语言生成(NLG)模板优化技巧
  • 【AI-提效】svn diff 配置 bcompare
  • Kotaemon GPU资源占用监测:显存与算力消耗实测
  • Kotaemon SEO友好设计:静态内容提取技巧