勒索病毒 Q1 攻击路径: 从初始访问到横向移动

从三个客户中招说起

今年Q1我们处理了三起勒索事件，一起是通过RDP暴破，一起是钓鱼邮件，还有一起是供应商远程维护时被植入后门。三个案例的攻击路径几乎可以串成一条教科书式的入侵链。事后复盘时，客户都问同一句话：”我们防火墙明明开着，怎么进来的？”答案往往是：攻击者根本没走正门，他们走的侧门。

这不是危言耸听。根据我们监测到的攻击日志，Q1北京地区企业遭遇的勒索攻击中，78% 的初始访问来自三个常规入口：RDP 3389 端口暴露、邮件钓鱼、以及合作伙伴的供应链渗透。这三种路径几乎占满了中小企业被勒索的全部场景。下面我把攻击链条拆开来讲，每个阶段都会结合真实案例做脱敏分析。

阶段一：初始访问——三把钥匙开一把锁

攻击者的第一步永远是拿到”入场券”。他们不挑食，哪把钥匙好使就用哪把。

RDP 暴破是最常见的一把钥匙。去年某家做贸易的公司，IT 管理员图省事把财务服务器的 3389 端口直接映射到公网，密码设的是 “Admin123!”。攻击者用字典脚本跑了三天，成功登录。那天晚上攻击者没急着动手，而是花了两周时间摸清了这家公司的 AD 架构、备份策略、甚至财务软件的管理员账户。真正的加密发生在某个周五晚上九点——等 IT 第二天上班，十八台服务器全部中招。

钓鱼邮件是另一把万能钥匙。我们今年2月遇到的那个案例，攻击者伪装成顺丰快递发送钓鱼邮件，附件是一个压缩包，里面是个看起来很正常的 PDF 图标。员工双击后，HTA 脚本在后台拉了一个 Cobalt Strike，powershell 无文件落地，直接内存执行。等安全软件反应过来的时候，横移已经完成一半了。

供应链渗透这把钥匙最难防，因为它攻击的不是你，而是你的服务商。某制造业客户被黑的原因很离谱：给他们做 ERP 实施的外包公司，远程维护时用了弱口令 VPN，攻击者顺着这根网线直接进到了客户内网。这就好比你家防盗门再结实，隔壁邻居把钥匙弄丢了，贼照样能进来。

阶段二：横向移动——从一台机器到全网崩溃

拿到初始入口后，攻击者不会满足于一台机器。他们要做的是扩大战果，直到控制整个网络。

常见的横移技术包括：Pass-the-Hash、Mimikatz 抓密码、NTLM 中继、以及利用 ms17-010 这类内网老漏洞。一旦在内网某台机器上拿到管理员凭证，攻击者就会用 Cobalt Strike 或者类似工具批量探测内网存活主机。 我们观察到勒索软件最喜欢先攻击的机器是：域控制器、备份服务器、VMware vCenter、以及任何挂着共享存储的文件服务器。 这不奇怪——先控制这些机器，加密效果最好，勒索收益最大化。

横移过程中，攻击者还会做一件事：关闭安全软件。他们会用 PsExec 远程执行命令行，或者直接在内存中加载恶意进程绕过杀软的行为检测。某次事件中，客户装了某知名杀软，但攻击者通过 GPO 批量下发了禁用杀软的策略——原因是域管理员密码泄露，攻击者直接拿到了域控权限。

整个横移过程通常在 48 到 72 小时内完成，但攻击者往往会刻意放慢节奏，模仿正常管理员的行为，比如只在工作时间操作、清理日志、以低权限账户先做侦察。这让很多基于阈值的告警系统完全失效。

防御要点：六步截断攻击链

知道攻击路径不代表能防住。实操层面，建议按以下优先级做处置：

1. 封禁 RDP 直接暴露。把 3389 从公网拿下，改用 VPN 或者 思文力得的零信任接入方案 替代。实在需要 RDP，也要开启网络级别认证（NLA）+ 双因素。
2. 邮件安全不能只靠垃圾邮件过滤。建议上邮件网关的附件沙箱分析，HTA、JS、VBS 这类脚本附件直接拦截。
3. 供应链安全要单独做审计。给所有第三方远程接入建独立账号，走跳板机，所有操作录屏审计。我们给制造业客户做过一次完整的供应商接入审计，发现 34% 的远程账号从未改过密码。
4. 内网分段隔离。生产网、办公网、访客网必须物理或逻辑隔离。域控不要装多余软件，更不要开放 445 端口给非必要机器。
5. 特权账号管起来。域管、备份管理员、数据库 DBA 的密码全部走 PAM（特权访问管理），定期轮换，别用同一套密码。
6. 离线备份是最后防线。3-2-1 原则：至少三份副本，两种介质，一份离线存放。勒索软件会优先删影子副本，物理隔离的备份介质才是保命符。

如果你现在还没做过内网渗透测试，建议尽快安排一次。我们刚给顺义一家工厂做完测试，第一天就发现了 23 台老旧服务器开着 SMBv1，直接打 ms17-010 就能横穿整个车间网络。漏洞不怕多，怕的是不知道它在哪。