员工域账号异地登录:告警研判与紧急锁定处置

SIEM 告警某员工账号在境外 IP 成功登录,排查为凭证泄露后钓鱼,立即锁定账号并强制改密处置。

一、问题背景

我司日常使用 Windows Active Directory(AD)作为统一身份认证域,全公司约 1800 个域账号集中由两台域控(DC01、DC02,运行 Windows Server 2019)管理。安全侧部署了 SIEM 平台(基于 Splunk),通过 Windows 事件日志转发(WEF)实时采集各 DC 的安全日志(Event ID 4624/4625),并对"非常用地登录 IP"“境外 ASN"“非工作时间登录"等场景配置了关联告警规则。

2025-04-12 下午 15:23,SIEM 弹出一条高危告警:财务部的域账号 li.wei 在位于越南胡志明市的境外 IP(103.xx.xx.88)完成了一次成功的交互式登录(Event ID 4624,Logon Type 3 网络登录)。该员工当天上午 09:40 刚在广州办公网的固定出口 IP 登录过,下午却出现在境外,明显异常。作为当班安全运维,我立即启动账号安全应急响应流程。

二、故障现象

SIEM 告警详情如下:

1
2
3
4
5
6
7
8
[ALERT] 异地成功登录 - 高危
账号: li.wei (财务部)
源IP: 103.xx.xx.88 (VN, Ho Chi Minh City, ASN: 45609)
登录类型: 3 (Network)
目标主机: FILESRV03 (文件服务器)
时间: 2025-04-12 15:18:42
事件ID: 4624
历史登录地: 广州 (出口 58.xx.xx.10)

同时在域控安全日志中可看到该账号在 15:18 至 15:22 之间,对 FILESRV03 发起了多次 SMB 会话,访问了 \\FILESRV03\finance$ 共享目录。财务主管反馈 li.wei 本人正在参加下午的线下会议,并未操作电脑,且其本人手机未收到任何异地登录验证提示(我司尚未对内部 SMB 登录启用 MFA)。

初步判断:账号凭证已泄露,攻击者已使用该账号从境外成功访问了内网文件资源。

三、排查过程

第一步:确认告警真实性,排除误报。

先到域控上确认原始日志,避免 SIEM 关联规则误判:

1
2
3
4
5
6
Get-WinEvent -FilterHashtable @{LogName='Security';Id=4624} |
  Where-Object { $_.Properties[5].Value -eq 'li.wei' } |
  Select-Object TimeCreated, @{n='IP';e={$_.Properties[18].Value}},
    @{n='LogonType';e={$_.Properties[8].Value}},
    @{n='Target';e={$_.Properties[11].Value}} |
  Format-List

输出确认 15:18:42 确有来自 103.xx.xx.88 的 4624 事件,TargetServerName 为 FILESRV03,登录类型为 3。原始日志与 SIEM 一致,排除误报。

第二步:研判攻击路径与失陷范围。

核查该账号近 24 小时全部登录记录,发现 09:40 在广州办公网正常登录后,13:05 起在广州出口 IP 出现 7 次 4625 失败登录(密码错误),随后 15:18 在境外 IP 登录成功——说明攻击者可能已掌握旧密码或完成了密码爆破。进一步在 SIEM 中检索该境外 IP 对我司其他资产的访问:

1
2
3
4
源IP 103.xx.xx.88 当日访问汇总:
  FILESRV03   SMB 4624 成功 3次
  MAIL01      SMTP 587 连接 失败(被拒绝)
  VPN-GW      443   SSL握手 失败(需MFA)

可见攻击者主要意图是窃取文件服务器上的财务资料,VPN 与邮件因启用 MFA 未能突破。

第三步:联系当事人与钓鱼溯源。

电话联系 li.wei,确认其本人未操作,且回忆起 04-11 收到一封伪装成"税务局退税通知"的钓鱼邮件,曾点击链接并输入过域账号密码。基本锁定为钓鱼导致的凭证泄露。

四、解决方案

应急处置按"先止血、后取证、再恢复"执行:

  1. 立即锁定账号,阻止攻击者继续操作:
1
2
3
Disable-ADAccount -Identity li.wei
# 同时清空其 Kerberos TGT,强制已建立会话失效
Set-ADAccountPassword -Identity li.wei -Reset
  1. 踢除攻击者已建立的 SMB 会话,在 FILESRV03 上结束该来源 IP 的所有会话:
1
2
Get-SmbSession | Where-Object { $_.ClientComputerName -like '*103.xx.xx.88*' } |
  ForEach-Object { Close-SmbSession -SessionId $_.SessionId -Force }
  1. 阻断攻击源 IP,在边界防火墙(Fortinet)下发临时封锁策略,并同步到 SIEM 的威胁情报黑名单。

  2. 强制改密与 MFA 补强:为 li.wei 重置密码并启用条件访问策略,要求下次登录必须绑定 MFA(Microsoft Authenticator)。同时将该 IOC(103.xx.xx.88 及关联域名)写入 SOAR playbook,实现同源自动封禁。

  3. 取证留存:导出 4624/4625 原始日志与该账号访问过的文件清单,归档备查,确认 finance$ 下 3 个 Excel 被读取但未发现外传迹象(文件服务器未开启出站审计,后续已补充)。

处置完成后 15:45 复盘,攻击者会话已被清除,账号处于禁用状态,告警解除。

五、根因分析

  1. 直接原因:员工 li.wei 点击钓鱼邮件链接,在伪造的登录页提交了域账号密码,凭证被攻击者获取。钓鱼页面托管于境外,与告警中的越南 IP 同属一个攻击团伙基础设施。
  2. 防护短板:内部 SMB/文件服务器登录未启用 MFA,导致单因素凭证一旦泄露即可横向访问敏感共享;SIEM 虽能告警,但处置依赖人工,从告警到锁定的 22 分钟窗口内攻击者已读取文件。
  3. 意识薄弱:该钓鱼邮件未触发邮件网关的拦截(发件域名做了近似伪装 tax-refund-gov[.]cn),员工缺乏识别训练。

六、预防措施

  • 全面启用 MFA:推动对 AD 域的所有交互式及网络登录(含 SMB、RDP)接入条件访问 + MFA,优先覆盖财务、研发等高危部门。
  • 收敛共享权限:对 finance$ 等敏感共享启用访问审计与 DLP 出站监控,限制可访问 IP 段。
  • 钓鱼演练常态化:通过安全邮件网关(如 Proofpoint)加强过滤器,并每月开展模拟钓鱼演练,对易中招人员强制再培训。
  • 自动化响应:在 SOAR 中固化"异地成功登录 → 自动禁用账号 + 防火墙封禁源 IP + 通知值班"的 playbook,将响应时间从分钟级压缩到秒级。
  • UEBA 增强:为域账号引入用户实体行为分析,对"短时多地登录"“非常规文件批量读取"等行为做基线偏离告警。

七、总结

本次事件是一次典型的"钓鱼获取凭证 → 异地登录内网资源"的账号安全事件。SIEM 的异地登录告警帮助我们及时发现,但人工处置的时间窗口仍让攻击者读取了部分财务文件。核心教训有两点:其一,内网资源的单因素认证是最大短板,MFA 必须覆盖到文件服务器这类"看似内部、实则敏感"的系统;其二,响应自动化程度直接决定损失大小。后续我们将 MFA 全覆盖与 SOAR 自动处置作为安全运维的优先项,并辅以持续的钓鱼意识培训,把"人"这个最薄弱的环节也补上。

使用 Hugo 构建
主题 StackJimmy 设计