黑产入侵链路拆解与防御思路

打点踩点阶段

攻击者通过公开信息收集（如WHOIS、GitHub代码泄露）、漏洞扫描（如未修复的CVE漏洞）、或社会工程学（钓鱼邮件/电话）寻找突破口。

防御措施：

• 定期扫描并清理公开敏感信息，使用自动化工具监控代码泄露。
• 部署WAF和漏洞管理系统，及时修补已知漏洞。
• 员工安全意识培训，模拟钓鱼攻击测试，强化邮件过滤规则。

初始入侵阶段

攻击者利用漏洞或凭证（如弱密码、泄露的API密钥）获取初始访问权限，通常通过Web应用或远程桌面协议（RDP）。

防御措施：

• 强制多因素认证（MFA），限制高危协议（如RDP）的访问IP范围。
• 实施最小权限原则，定期轮换密钥和密码。
• 部署EDR/XDR工具监控异常登录行为。

权限提升与持久化

攻击者通过提权漏洞（如Windows本地提权）、滥用合法工具（如PsExec）或后门植入（Web Shell）扩大控制范围。

防御措施：

• 禁用不必要的系统权限，定期审计服务账户。
• 限制横向移动工具的使用，监控进程创建行为。
• 文件完整性监控（FIM）检测Web Shell，隔离受影响主机。

内网横向移动

攻击者利用网络共享、Pass-the-Hash攻击或漏洞（如永恒之蓝）在内网扩散，寻找高价值目标（如数据库、域控）。

防御措施：

• 网络分段，隔离核心业务区域，部署微隔离策略。
• 禁用NTLM认证，启用Kerberos强化，监控敏感账户的异常访问。
• 流量加密分析（如TLS解密），检测C2通信流量模式。

数据外泄阶段

攻击者通过隐蔽通道（DNS隧道、HTTPS加密传输）或合法云存储（如Google Drive）窃取数据。

防御措施：

• DLP系统监控敏感数据流出，限制大容量数据传输。
• 行为分析检测异常数据访问模式（如非工作时间批量下载）。
• 日志集中管理（SIEM），保留至少180天供溯源取证。

事件响应与溯源

建立自动化响应流程（SOAR），结合威胁情报（如攻击者IP、恶意哈希）快速封堵。取证需保留内存快照、磁盘镜像及网络流量记录。

关键点：防御需覆盖攻击链各环节，通过“预防-检测-响应”闭环降低驻留时间（MTTD/MTTR）。