一、问题背景
我司日常使用 Windows Active Directory(AD)作为统一身份认证域,全公司约 1800 个域账号集中由两台域控(DC01、DC02,运行 Windows Server 2019)管理。安全侧部署了 SIEM 平台(基于 Splunk),通过 Windows 事件日志转发(WEF)实时采集各 DC 的安全日志(Event ID 4624/4625),并对"非常用地登录 IP"“境外 ASN"“非工作时间登录"等场景配置了关联告警规则。
2025-04-12 下午 15:23,SIEM 弹出一条高危告警:财务部的域账号 li.wei 在位于越南胡志明市的境外 IP(103.xx.xx.88)完成了一次成功的交互式登录(Event ID 4624,Logon Type 3 网络登录)。该员工当天上午 09:40 刚在广州办公网的固定出口 IP 登录过,下午却出现在境外,明显异常。作为当班安全运维,我立即启动账号安全应急响应流程。
二、故障现象
SIEM 告警详情如下:
|
|
同时在域控安全日志中可看到该账号在 15:18 至 15:22 之间,对 FILESRV03 发起了多次 SMB 会话,访问了 \\FILESRV03\finance$ 共享目录。财务主管反馈 li.wei 本人正在参加下午的线下会议,并未操作电脑,且其本人手机未收到任何异地登录验证提示(我司尚未对内部 SMB 登录启用 MFA)。
初步判断:账号凭证已泄露,攻击者已使用该账号从境外成功访问了内网文件资源。
三、排查过程
第一步:确认告警真实性,排除误报。
先到域控上确认原始日志,避免 SIEM 关联规则误判:
|
|
输出确认 15:18:42 确有来自 103.xx.xx.88 的 4624 事件,TargetServerName 为 FILESRV03,登录类型为 3。原始日志与 SIEM 一致,排除误报。
第二步:研判攻击路径与失陷范围。
核查该账号近 24 小时全部登录记录,发现 09:40 在广州办公网正常登录后,13:05 起在广州出口 IP 出现 7 次 4625 失败登录(密码错误),随后 15:18 在境外 IP 登录成功——说明攻击者可能已掌握旧密码或完成了密码爆破。进一步在 SIEM 中检索该境外 IP 对我司其他资产的访问:
|
|
可见攻击者主要意图是窃取文件服务器上的财务资料,VPN 与邮件因启用 MFA 未能突破。
第三步:联系当事人与钓鱼溯源。
电话联系 li.wei,确认其本人未操作,且回忆起 04-11 收到一封伪装成"税务局退税通知"的钓鱼邮件,曾点击链接并输入过域账号密码。基本锁定为钓鱼导致的凭证泄露。
四、解决方案
应急处置按"先止血、后取证、再恢复"执行:
- 立即锁定账号,阻止攻击者继续操作:
|
|
- 踢除攻击者已建立的 SMB 会话,在 FILESRV03 上结束该来源 IP 的所有会话:
|
|
-
阻断攻击源 IP,在边界防火墙(Fortinet)下发临时封锁策略,并同步到 SIEM 的威胁情报黑名单。
-
强制改密与 MFA 补强:为 li.wei 重置密码并启用条件访问策略,要求下次登录必须绑定 MFA(Microsoft Authenticator)。同时将该 IOC(103.xx.xx.88 及关联域名)写入 SOAR playbook,实现同源自动封禁。
-
取证留存:导出 4624/4625 原始日志与该账号访问过的文件清单,归档备查,确认
finance$下 3 个 Excel 被读取但未发现外传迹象(文件服务器未开启出站审计,后续已补充)。
处置完成后 15:45 复盘,攻击者会话已被清除,账号处于禁用状态,告警解除。
五、根因分析
- 直接原因:员工 li.wei 点击钓鱼邮件链接,在伪造的登录页提交了域账号密码,凭证被攻击者获取。钓鱼页面托管于境外,与告警中的越南 IP 同属一个攻击团伙基础设施。
- 防护短板:内部 SMB/文件服务器登录未启用 MFA,导致单因素凭证一旦泄露即可横向访问敏感共享;SIEM 虽能告警,但处置依赖人工,从告警到锁定的 22 分钟窗口内攻击者已读取文件。
- 意识薄弱:该钓鱼邮件未触发邮件网关的拦截(发件域名做了近似伪装
tax-refund-gov[.]cn),员工缺乏识别训练。
六、预防措施
- 全面启用 MFA:推动对 AD 域的所有交互式及网络登录(含 SMB、RDP)接入条件访问 + MFA,优先覆盖财务、研发等高危部门。
- 收敛共享权限:对
finance$等敏感共享启用访问审计与 DLP 出站监控,限制可访问 IP 段。 - 钓鱼演练常态化:通过安全邮件网关(如 Proofpoint)加强过滤器,并每月开展模拟钓鱼演练,对易中招人员强制再培训。
- 自动化响应:在 SOAR 中固化"异地成功登录 → 自动禁用账号 + 防火墙封禁源 IP + 通知值班"的 playbook,将响应时间从分钟级压缩到秒级。
- UEBA 增强:为域账号引入用户实体行为分析,对"短时多地登录"“非常规文件批量读取"等行为做基线偏离告警。
七、总结
本次事件是一次典型的"钓鱼获取凭证 → 异地登录内网资源"的账号安全事件。SIEM 的异地登录告警帮助我们及时发现,但人工处置的时间窗口仍让攻击者读取了部分财务文件。核心教训有两点:其一,内网资源的单因素认证是最大短板,MFA 必须覆盖到文件服务器这类"看似内部、实则敏感"的系统;其二,响应自动化程度直接决定损失大小。后续我们将 MFA 全覆盖与 SOAR 自动处置作为安全运维的优先项,并辅以持续的钓鱼意识培训,把"人"这个最薄弱的环节也补上。