从三个客户中招说起

今年Q1我们处置了三起勒索事务，一路是通过RDP暴破，一路是垂钓邮件，还有一路是供给商远程守护时被植入后门。三个案例的攻击蹊径险些能够串成一条教科书式的入侵链。过后复盘时，客户都问统一句话：”我们防火墙明明开着，怎么进来的
？”答案往往是：攻击者底子没走正门，他们走的侧门。

这不是危言耸听。凭据我们监测到的攻击日志，Q1北京地域企业遭逢的勒索攻击中，78% 的初始接见来自三个通例入口：RDP 3389 端口露出、邮件垂钓、以及合作同伴的供给链渗入。这三种蹊径险些占满了中幼企业被勒索的全数场景。下面我把攻击链条拆开来讲，每个阶段城市结合真实案例做脱敏分析。

阶段一：初始接见——三把钥匙开一把锁

攻击者的第一步始终是拿到”入场券”。他们不挑食，哪把钥匙好使就用哪把。

RDP 暴破是最常见的一把钥匙。去年某家做业务的公司，IT 治理员图省事把财政服务器的 3389 端口直接映射到公网，密码设的是 “Admin123!”。攻击者用字典剧本跑了三天，成功登录。那天晚上攻击者没急着着手，而是花了两周功夫摸清了这家公司的 AD 架构、备份战术、甚至财政软件的治理怨厮户。真正的加密产生在某个周五晚上九点——等 IT 第二天上班，十八台服务器全数中招。

垂钓邮件是另一把全能钥匙。我们今年2月遇到的那个案例，攻击者假装成顺丰快递发送垂钓邮件，附件是一个压缩包，里面是个看起来很正常的 PDF 图标。员工双击后，HTA 剧本在后盾拉了一个 Cobalt Strike，powershell 无文件落地，直接内存执行。等安全软件反映过来的时辰，横移已经实现一半了。

供给链渗入这把钥匙最难防，由于它攻击的不是你，而是你的服务商。某造作业客户被黑的原因很离谱：给他们做 ERP 执行的表包公司，远程守护时用了弱口令 VPN，攻击者顺着这根网线直接进到了客户内网。这就好比你家防盗门再扎实，隔壁邻居把钥匙弄丢了，贼照样能进来。

阶段二：横向移动——从一台机械到全网崩溃

拿到初始入口后，攻击者不会满足于一台机械。他们要做的是扩大战果，直到节造整个网络。

常见的横移技术蕴含：Pass-the-Hash、Mimikatz 抓密码、NTLM 中继、以及利用 ms17-010 这类内网老缝隙。一旦在内网某台机械上拿到治理员凭证，攻击者就会用 Cobalt Strike 或者类似工具批量探测内网存活主机。 我们观察到勒索软件最喜恍萑攻击的机械是：域节造器、备份服务器、VMware vCenter、以及任何挂着共享存储的文件服务器。 这不奇怪——先节造这些机械，加密成效最好，勒索收益最大化。

横移过程中，攻击者还会做一件事：关关安全软件。他们会用 PsExec 远程执行号令行，或者直接在内存中加载恶意过程绕过杀软的行为检测。某次事务中，客户装了某驰名杀软，但攻击者通过 GPO 批量下发了禁用杀软的战术——原因是域治理员密码泄露，攻击者直接拿到了域控权限。

整个横移过程通常在 48 到 72 幼时内实现，但攻击者往往会刻意放慢节拍，仿照正常治理员的行为，好比只在工作功夫操作、算帐日志、以低权限账户先做窥伺。这让好多基于阈值的告警系统齐全失效。

防御重点：六步截断攻击链

知路攻击蹊径不代表能防住。实操层面，建议按以下优先级做措置：

1. 封禁 RDP 直接露出。把 3389 从公网拿下，改用 VPN 或者 pp电子力得的零信赖接入规划 代替。切实必要 RDP，也要开启网络级别认证（NLA）+ 双成分。
2. 邮件安全不能只靠垃圾邮件过滤。建议上邮件网关的附件沙箱分析，HTA、JS、VBS 这类剧本附件直接拦截。
3. 供给链安全要单独做审计。给所有第三方远程接入建独立账号，走跳板机，所有操作录屏审计。我们给造作业客户做过一次齐全的供给商接入审计，发现 34% 的远程账号从未悔改密码。
4. 内网分段隔离。出产网、办公网、访客网必须物理或逻辑隔离。域控不要装有余软件，更不要盛开 445 端口给非必要机械。
5. 特权账号管起来。域管、备份治理员、数据库 DBA 的密码全数走 PAM（特权接见治理），定期轮换，别用统一套密码。
6. 离线备份是最后防线。3-2-1 准则：至少三份副本，两种介质，一份离线存放。勒索软件会优先删影子副本，物理隔离的备份介质才是保命符。

若是你此刻还没做过内网渗入测试，建议尽快铺排一次。我们刚给顺义一家工厂做完测试，第一天就发现了 23 台老旧服务器开着 SMBv1，直接打 ms17-010 就能横穿整个车间网络。缝隙不怕多，怕的是不知路它在哪。