<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
    <channel>
        <title>异地登录 on Zero Day Notes</title>
        <link>https://blog.5772447.xyz/tags/%E5%BC%82%E5%9C%B0%E7%99%BB%E5%BD%95/</link>
        <description>Recent content in 异地登录 on Zero Day Notes</description>
        <generator>Hugo -- gohugo.io</generator>
        <language>zh</language>
        <lastBuildDate>Sat, 12 Apr 2025 15:59:59 +0000</lastBuildDate><atom:link href="https://blog.5772447.xyz/tags/%E5%BC%82%E5%9C%B0%E7%99%BB%E5%BD%95/index.xml" rel="self" type="application/rss+xml" /><item>
            <title>员工域账号异地登录：告警研判与紧急锁定处置</title>
            <link>https://blog.5772447.xyz/posts/2025-04-12-%E4%B8%80%E6%AC%A1%E5%91%98%E5%B7%A5%E5%9F%9F%E8%B4%A6%E5%8F%B7%E5%BC%82%E5%9C%B0%E7%99%BB%E5%BD%95%E5%91%8A%E8%AD%A6%E5%8F%8A%E7%B4%A7%E6%80%A5%E9%94%81%E5%AE%9A%E7%9A%84%E6%8E%92%E6%9F%A5%E8%AE%B0%E5%BD%95/</link>
            <pubDate>Sat, 12 Apr 2025 15:59:59 +0000</pubDate>
            <guid>https://blog.5772447.xyz/posts/2025-04-12-%E4%B8%80%E6%AC%A1%E5%91%98%E5%B7%A5%E5%9F%9F%E8%B4%A6%E5%8F%B7%E5%BC%82%E5%9C%B0%E7%99%BB%E5%BD%95%E5%91%8A%E8%AD%A6%E5%8F%8A%E7%B4%A7%E6%80%A5%E9%94%81%E5%AE%9A%E7%9A%84%E6%8E%92%E6%9F%A5%E8%AE%B0%E5%BD%95/</guid>
            <description>&lt;h2 id=&#34;一问题背景&#34;&gt;&lt;a href=&#34;#%e4%b8%80%e9%97%ae%e9%a2%98%e8%83%8c%e6%99%af&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;一、问题背景&#xD;&#xA;&lt;/h2&gt;&lt;p&gt;我司日常使用 Windows Active Directory（AD）作为统一身份认证域，全公司约 1800 个域账号集中由两台域控（DC01、DC02，运行 Windows Server 2019）管理。安全侧部署了 SIEM 平台（基于 Splunk），通过 Windows 事件日志转发（WEF）实时采集各 DC 的安全日志（Event ID 4624/4625），并对&amp;quot;非常用地登录 IP&amp;quot;&amp;ldquo;境外 ASN&amp;quot;&amp;ldquo;非工作时间登录&amp;quot;等场景配置了关联告警规则。&lt;/p&gt;&#xA;&lt;p&gt;2025-04-12 下午 15:23，SIEM 弹出一条高危告警：财务部的域账号 &lt;code&gt;li.wei&lt;/code&gt; 在位于越南胡志明市的境外 IP（103.xx.xx.88）完成了一次成功的交互式登录（Event ID 4624，Logon Type 3 网络登录）。该员工当天上午 09:40 刚在广州办公网的固定出口 IP 登录过，下午却出现在境外，明显异常。作为当班安全运维，我立即启动账号安全应急响应流程。&lt;/p&gt;&#xA;&lt;h2 id=&#34;二故障现象&#34;&gt;&lt;a href=&#34;#%e4%ba%8c%e6%95%85%e9%9a%9c%e7%8e%b0%e8%b1%a1&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;二、故障现象&#xD;&#xA;&lt;/h2&gt;&lt;p&gt;SIEM 告警详情如下：&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;div style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&#xA;&lt;table style=&#34;border-spacing:0;padding:0;margin:0;border:0;&#34;&gt;&lt;tr&gt;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;1&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;2&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;3&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;4&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;5&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;6&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;7&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;8&#xA;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&#xA;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;;width:100%&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-text&#34; data-lang=&#34;text&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;[ALERT] 异地成功登录 - 高危&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;账号: li.wei (财务部)&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;源IP: 103.xx.xx.88 (VN, Ho Chi Minh City, ASN: 45609)&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;登录类型: 3 (Network)&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;目标主机: FILESRV03 (文件服务器)&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;时间: 2025-04-12 15:18:42&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;事件ID: 4624&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;历史登录地: 广州 (出口 58.xx.xx.10)&#xA;&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&#xA;&lt;/div&gt;&#xA;&lt;/div&gt;&lt;p&gt;同时在域控安全日志中可看到该账号在 15:18 至 15:22 之间，对 FILESRV03 发起了多次 SMB 会话，访问了 &lt;code&gt;\\FILESRV03\finance$&lt;/code&gt; 共享目录。财务主管反馈 li.wei 本人正在参加下午的线下会议，并未操作电脑，且其本人手机未收到任何异地登录验证提示（我司尚未对内部 SMB 登录启用 MFA）。&lt;/p&gt;&#xA;&lt;p&gt;初步判断：账号凭证已泄露，攻击者已使用该账号从境外成功访问了内网文件资源。&lt;/p&gt;&#xA;&lt;h2 id=&#34;三排查过程&#34;&gt;&lt;a href=&#34;#%e4%b8%89%e6%8e%92%e6%9f%a5%e8%bf%87%e7%a8%8b&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;三、排查过程&#xD;&#xA;&lt;/h2&gt;&lt;p&gt;&lt;strong&gt;第一步：确认告警真实性，排除误报。&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;p&gt;先到域控上确认原始日志，避免 SIEM 关联规则误判：&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;div style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&#xA;&lt;table style=&#34;border-spacing:0;padding:0;margin:0;border:0;&#34;&gt;&lt;tr&gt;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;1&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;2&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;3&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;4&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;5&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;6&#xA;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&#xA;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;;width:100%&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-powershell&#34; data-lang=&#34;powershell&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;Get-WinEvent -FilterHashtable @{LogName=&lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#39;Security&amp;#39;&lt;/span&gt;;Id=&lt;span style=&#34;color:#ae81ff&#34;&gt;4624&lt;/span&gt;} |&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;  Where-Object { $_.Properties[&lt;span style=&#34;color:#ae81ff&#34;&gt;5&lt;/span&gt;].Value &lt;span style=&#34;color:#f92672&#34;&gt;-eq&lt;/span&gt; &lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#39;li.wei&amp;#39;&lt;/span&gt; } |&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;  Select-Object TimeCreated, @{n=&lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#39;IP&amp;#39;&lt;/span&gt;;e={$_.Properties[&lt;span style=&#34;color:#ae81ff&#34;&gt;18&lt;/span&gt;].Value}},&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;    @{n=&lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#39;LogonType&amp;#39;&lt;/span&gt;;e={$_.Properties[&lt;span style=&#34;color:#ae81ff&#34;&gt;8&lt;/span&gt;].Value}},&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;    @{n=&lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#39;Target&amp;#39;&lt;/span&gt;;e={$_.Properties[&lt;span style=&#34;color:#ae81ff&#34;&gt;11&lt;/span&gt;].Value}} |&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;  Format-List&#xA;&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&#xA;&lt;/div&gt;&#xA;&lt;/div&gt;&lt;p&gt;输出确认 15:18:42 确有来自 103.xx.xx.88 的 4624 事件，&lt;code&gt;TargetServerName&lt;/code&gt; 为 FILESRV03，登录类型为 3。原始日志与 SIEM 一致，排除误报。&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;第二步：研判攻击路径与失陷范围。&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;p&gt;核查该账号近 24 小时全部登录记录，发现 09:40 在广州办公网正常登录后，13:05 起在广州出口 IP 出现 7 次 4625 失败登录（密码错误），随后 15:18 在境外 IP 登录成功——说明攻击者可能已掌握旧密码或完成了密码爆破。进一步在 SIEM 中检索该境外 IP 对我司其他资产的访问：&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;div style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&#xA;&lt;table style=&#34;border-spacing:0;padding:0;margin:0;border:0;&#34;&gt;&lt;tr&gt;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;1&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;2&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;3&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;4&#xA;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&#xA;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;;width:100%&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-text&#34; data-lang=&#34;text&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;源IP 103.xx.xx.88 当日访问汇总:&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;  FILESRV03   SMB 4624 成功 3次&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;  MAIL01      SMTP 587 连接 失败(被拒绝)&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;  VPN-GW      443   SSL握手 失败(需MFA)&#xA;&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&#xA;&lt;/div&gt;&#xA;&lt;/div&gt;&lt;p&gt;可见攻击者主要意图是窃取文件服务器上的财务资料，VPN 与邮件因启用 MFA 未能突破。&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;第三步：联系当事人与钓鱼溯源。&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;p&gt;电话联系 li.wei，确认其本人未操作，且回忆起 04-11 收到一封伪装成&amp;quot;税务局退税通知&amp;quot;的钓鱼邮件，曾点击链接并输入过域账号密码。基本锁定为钓鱼导致的凭证泄露。&lt;/p&gt;&#xA;&lt;h2 id=&#34;四解决方案&#34;&gt;&lt;a href=&#34;#%e5%9b%9b%e8%a7%a3%e5%86%b3%e6%96%b9%e6%a1%88&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;四、解决方案&#xD;&#xA;&lt;/h2&gt;&lt;p&gt;应急处置按&amp;quot;先止血、后取证、再恢复&amp;quot;执行：&lt;/p&gt;&#xA;&lt;ol&gt;&#xA;&lt;li&gt;&lt;strong&gt;立即锁定账号&lt;/strong&gt;，阻止攻击者继续操作：&lt;/li&gt;&#xA;&lt;/ol&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;div style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&#xA;&lt;table style=&#34;border-spacing:0;padding:0;margin:0;border:0;&#34;&gt;&lt;tr&gt;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;1&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;2&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;3&#xA;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&#xA;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;;width:100%&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-powershell&#34; data-lang=&#34;powershell&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;Disable-ADAccount -Identity li.wei&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&lt;span style=&#34;color:#75715e&#34;&gt;# 同时清空其 Kerberos TGT，强制已建立会话失效&lt;/span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;Set-ADAccountPassword -Identity li.wei -Reset&#xA;&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&#xA;&lt;/div&gt;&#xA;&lt;/div&gt;&lt;ol start=&#34;2&#34;&gt;&#xA;&lt;li&gt;&lt;strong&gt;踢除攻击者已建立的 SMB 会话&lt;/strong&gt;，在 FILESRV03 上结束该来源 IP 的所有会话：&lt;/li&gt;&#xA;&lt;/ol&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;div style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&#xA;&lt;table style=&#34;border-spacing:0;padding:0;margin:0;border:0;&#34;&gt;&lt;tr&gt;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;1&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;2&#xA;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&#xA;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;;width:100%&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-powershell&#34; data-lang=&#34;powershell&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;Get-SmbSession | Where-Object { $_.ClientComputerName &lt;span style=&#34;color:#f92672&#34;&gt;-like&lt;/span&gt; &lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#39;*103.xx.xx.88*&amp;#39;&lt;/span&gt; } |&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;  ForEach-Object { Close-SmbSession -SessionId $_.SessionId -Force }&#xA;&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&#xA;&lt;/div&gt;&#xA;&lt;/div&gt;&lt;ol start=&#34;3&#34;&gt;&#xA;&lt;li&gt;&#xA;&lt;p&gt;&lt;strong&gt;阻断攻击源 IP&lt;/strong&gt;，在边界防火墙（Fortinet）下发临时封锁策略，并同步到 SIEM 的威胁情报黑名单。&lt;/p&gt;&#xA;&lt;/li&gt;&#xA;&lt;li&gt;&#xA;&lt;p&gt;&lt;strong&gt;强制改密与 MFA 补强&lt;/strong&gt;：为 li.wei 重置密码并启用条件访问策略，要求下次登录必须绑定 MFA（Microsoft Authenticator）。同时将该 IOC（103.xx.xx.88 及关联域名）写入 SOAR  playbook，实现同源自动封禁。&lt;/p&gt;&#xA;&lt;/li&gt;&#xA;&lt;li&gt;&#xA;&lt;p&gt;&lt;strong&gt;取证留存&lt;/strong&gt;：导出 4624/4625 原始日志与该账号访问过的文件清单，归档备查，确认 &lt;code&gt;finance$&lt;/code&gt; 下 3 个 Excel 被读取但未发现外传迹象（文件服务器未开启出站审计，后续已补充）。&lt;/p&gt;&#xA;&lt;/li&gt;&#xA;&lt;/ol&gt;&#xA;&lt;p&gt;处置完成后 15:45 复盘，攻击者会话已被清除，账号处于禁用状态，告警解除。&lt;/p&gt;&#xA;&lt;h2 id=&#34;五根因分析&#34;&gt;&lt;a href=&#34;#%e4%ba%94%e6%a0%b9%e5%9b%a0%e5%88%86%e6%9e%90&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;五、根因分析&#xD;&#xA;&lt;/h2&gt;&lt;ol&gt;&#xA;&lt;li&gt;&lt;strong&gt;直接原因&lt;/strong&gt;：员工 li.wei 点击钓鱼邮件链接，在伪造的登录页提交了域账号密码，凭证被攻击者获取。钓鱼页面托管于境外，与告警中的越南 IP 同属一个攻击团伙基础设施。&lt;/li&gt;&#xA;&lt;li&gt;&lt;strong&gt;防护短板&lt;/strong&gt;：内部 SMB/文件服务器登录未启用 MFA，导致单因素凭证一旦泄露即可横向访问敏感共享；SIEM 虽能告警，但处置依赖人工，从告警到锁定的 22 分钟窗口内攻击者已读取文件。&lt;/li&gt;&#xA;&lt;li&gt;&lt;strong&gt;意识薄弱&lt;/strong&gt;：该钓鱼邮件未触发邮件网关的拦截（发件域名做了近似伪装 &lt;code&gt;tax-refund-gov[.]cn&lt;/code&gt;），员工缺乏识别训练。&lt;/li&gt;&#xA;&lt;/ol&gt;&#xA;&lt;h2 id=&#34;六预防措施&#34;&gt;&lt;a href=&#34;#%e5%85%ad%e9%a2%84%e9%98%b2%e6%8e%aa%e6%96%bd&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;六、预防措施&#xD;&#xA;&lt;/h2&gt;&lt;ul&gt;&#xA;&lt;li&gt;&lt;strong&gt;全面启用 MFA&lt;/strong&gt;：推动对 AD 域的所有交互式及网络登录（含 SMB、RDP）接入条件访问 + MFA，优先覆盖财务、研发等高危部门。&lt;/li&gt;&#xA;&lt;li&gt;&lt;strong&gt;收敛共享权限&lt;/strong&gt;：对 &lt;code&gt;finance$&lt;/code&gt; 等敏感共享启用访问审计与 DLP 出站监控，限制可访问 IP 段。&lt;/li&gt;&#xA;&lt;li&gt;&lt;strong&gt;钓鱼演练常态化&lt;/strong&gt;：通过安全邮件网关（如 Proofpoint）加强过滤器，并每月开展模拟钓鱼演练，对易中招人员强制再培训。&lt;/li&gt;&#xA;&lt;li&gt;&lt;strong&gt;自动化响应&lt;/strong&gt;：在 SOAR 中固化&amp;quot;异地成功登录 → 自动禁用账号 + 防火墙封禁源 IP + 通知值班&amp;quot;的 playbook，将响应时间从分钟级压缩到秒级。&lt;/li&gt;&#xA;&lt;li&gt;&lt;strong&gt;UEBA 增强&lt;/strong&gt;：为域账号引入用户实体行为分析，对&amp;quot;短时多地登录&amp;quot;&amp;ldquo;非常规文件批量读取&amp;quot;等行为做基线偏离告警。&lt;/li&gt;&#xA;&lt;/ul&gt;&#xA;&lt;h2 id=&#34;七总结&#34;&gt;&lt;a href=&#34;#%e4%b8%83%e6%80%bb%e7%bb%93&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;七、总结&#xD;&#xA;&lt;/h2&gt;&lt;p&gt;本次事件是一次典型的&amp;quot;钓鱼获取凭证 → 异地登录内网资源&amp;quot;的账号安全事件。SIEM 的异地登录告警帮助我们及时发现，但人工处置的时间窗口仍让攻击者读取了部分财务文件。核心教训有两点：其一，内网资源的单因素认证是最大短板，MFA 必须覆盖到文件服务器这类&amp;quot;看似内部、实则敏感&amp;quot;的系统；其二，响应自动化程度直接决定损失大小。后续我们将 MFA 全覆盖与 SOAR 自动处置作为安全运维的优先项，并辅以持续的钓鱼意识培训，把&amp;quot;人&amp;quot;这个最薄弱的环节也补上。&lt;/p&gt;&#xA;</description>
        </item></channel>
</rss>
