某单位僵尸木马病毒攻击链全景分析
还是接着上篇溯源博客进行进一步深入排查发现在过去一段时间里,某单位外网面对了一场隐蔽而持续的内部网络安全威胁。攻击者自2025年5月起潜伏于内网,发起了一系列针对关键服务器的、有组织的横向渗透尝试。最初,这些分散的失败登录日志如同迷雾中的孤点,难以拼凑出全貌。
然而,通过我对长达数月安全日志的坚持不懈的关联分析、严谨的逻辑推理和果断的假设验证,这团迷雾已被彻底驱散。今天,我无比激动且确信,已经成功地将攻击者的完整行动链条清晰地绘制出来。此次溯源的清晰程度,不仅精准定位了每一阶段的攻击源头与跳板,更深刻揭示了攻击者的战术意图与演进模式,为我们实施精准遏制、根除威胁并加固防线奠定了决定性基础。
我已根据全部日志证据,重新整合并绘制了下面这份更完整、清晰的内网横向攻击链分析全景图。
🔗 内网横向攻击链全景分析图
📋 各攻击阶段详细说明
| 阶段 | 时间范围 | 攻击源 | 目标 | 关键动作与证据 | 攻击者意图与状态推断 |
|---|---|---|---|---|---|
| 阶段一 初始入侵 | 2025年5月 | PC-20241216MMMN(192.168.1.149) | SKY-20221112L01 | 使用NTLM协议对Administrator账户进行网络登录(类型3)爆破。状态码0xC000006E(用户名或密码错误)。 | 攻击者已控制一台内网办公主机,并尝试突破至服务器区。这是所有后续攻击的起点。 |
| 阶段二 横向扩散与高频试探 | 2025年9月至10月中旬 | SKY-20221112L01(IP变动: .3.18, .3.29, .3.37, .3.49等) | SKY-20240305VYU | 攻击源变为首台服务器自身,使用其所在网段的多个不同IP,持续对第二台服务器的Administrator账户进行爆破。 | 核心判断:SKY-20221112L01已失陷,沦为“跳板”。攻击者可能在进行密码喷射,以避免账户锁定;或利用服务器多网卡特性变换源IP。 |
| 阶段三 攻击升级与稳定控制 | 2025年10月下旬 | SKY-20221112L01(IP固定: 192.168.3.26) | SKY-20240305VYU | 攻击持续,但攻击源IP固定化。 | 攻击者可能已建立更稳定、隐蔽的控制通道(如后门、计划任务),或已获取有效凭据,攻击行为从“试探”转为“稳定维持”。 |
| 关联节点 (待核实) | 始于2025.9.25 | 192.168.1.128(新/重装主机) | 未知 | 该主机日志不全,未见相关4625事件。 | 可能性1:攻击者控制的新跳板。 可能性2:原有失陷主机( 1.149)重装系统后再次被侵。无4625事件说明攻击者可能使用漏洞、木马或窃取的合法凭证横向移动,隐蔽性更高。 |
🚨 综合结论与行动核心
- 攻击定性:这是一起典型的、具有APT特征的内网横向渗透攻击。攻击者表现出明确的战略耐心,采用“渐进式”打法,逐步扩大控制范围。
- 当前威胁:服务器
SKY-20221112L01已被确认为失陷跳板,是内网中最大的威胁源。攻击者对SKY-20240305VYU的威胁仍持续存在。 - 必须立即执行的行动:
- 紧急隔离:立即断开
SKY-20221112L01、PC-20241216MMMN及192.168.1.128的网络。 - 重点取证:对
SKY-20221112L01进行硬盘和内存镜像,深度排查持久化后门。 - 全网排查:以
SKY-20221112L01为源,在全网范围(尤其服务器区)检索所有4624(成功登录)和4625事件。 - 密码重置:重置所有相关服务器的高权限账户密码。
- 紧急隔离:立即断开
)
