containing-active-breach

遏制活跃攻陷（Containing Active Breaches）

适用场景

• 已确认入侵正在进行，对手活跃于网络中
• 恶意软件正在跨端点或服务器横向传播
• 受攻陷账号被用于对系统的未授权访问
• 检测到勒索软件加密并正在活跃传播
• 攻击者已从内部主机建立命令与控制（C2）通信

不适用于对手已不再活跃的事件后清理工作；此类情况请使用根除流程。

前置条件

• 来自分类的已确认 P1 或 P2 严重性事件分类
• 具有主机隔离能力的 EDR 控制台访问权限（CrowdStrike Falcon、Microsoft Defender for Endpoint、SentinelOne）
• 用于分段的网络防火墙和交换机管理访问权限
• Active Directory 或身份提供商管理员访问权限（用于凭据操作）
• 事件响应计划中记录的预先批准的遏制授权
• 证据保全计划，以避免在遏制过程中销毁取证产物

工作流程

步骤 1：评估遏制范围

在采取遏制措施前，完整映射攻陷范围，以避免部分遏制而提醒对手：

• 通过 EDR 遥测和 SIEM 关联识别所有已确认受攻陷的主机
• 使用认证日志（Windows 事件 ID 4624 类型 3 和类型 10）映射横向移动路径
• 识别所有受攻陷凭据（检查哈希传递、Kerberoasting、DCSync 活动）
• 确定 C2 通道（信标间隔、域名、IP、协议）
• 评估对手是否拥有域管理员或同等权限

遏制范围评估：
━━━━━━━━━━━━━━━━━━━━━━━━━━━━
受攻陷主机：    5 台（WKSTN-042、WKSTN-087、SRV-FILE01、SRV-DC02、WKSTN-103）
受攻陷账号：    3 个（jsmith、svc-backup、admin-tier0）
C2 通道：       每 60 秒 ±15% 抖动向 185.220.x.x 发起 HTTPS 信标
横向移动：      通过 svc-backup 使用 PsExec，通过 admin-tier0 使用 RDP
对手权限：      域管理员（admin-tier0 已受攻陷）
面临风险的数据：财务共享（\\SRV-FILE01\finance$）已被访问

步骤 2：执行短期遏制

在不销毁证据的情况下实施立即措施以阻止对手操作：

网络遏制：

• 通过 EDR 网络遏制隔离已确认受攻陷的端点（保持 Agent 通信）
• 在边界防火墙和内部 DNS 处阻断 C2 IP 地址和域名
• 实施微分段规则以防止受攻陷主机之间的通信
• 在内部 DNS 处 Sinkhole C2 域名，以捕获未被发现的植入程序的连接尝试

身份遏制：

• 在 Active Directory 中禁用受攻陷的用户账号（不要删除；保留审计跟踪）
• 重置所有受攻陷账号的密码
• 撤销活跃会话和令牌（Azure AD：Revoke-AzureADUserAllRefreshToken）
• 禁用受攻陷的服务账号并轮换其凭据
• 若域管理员被攻陷：双重重置 KRBTGT 密码（间隔 12 小时重置两次）

端点遏制：

• 使用 EDR 在被遏制主机上终止恶意进程
• 在 EDR 阻断策略中阻断已知恶意哈希
• 隔离已识别的恶意软件样本
• 在尚未受攻陷的关键服务器上禁用远程服务（WinRM、RDP、SMB）

步骤 3：执行长期遏制

在调查继续进行时实施可持续的遏制措施：

• 创建网络 ACL 隔离受攻陷的 VLAN/子网，同时允许业务关键流量
• 为管理员部署临时跳板机以访问被遏制系统进行调查
• 在受攻陷主机相邻网络段上部署增强监控（完整数据包捕获）
• 在所有域控制器上启用高级审计策略（4768、4769、4771 用于 Kerberos 攻击）
• 部署金丝雀令牌和蜜罐账号以检测对手尝试从遏制中扩展

步骤 4：验证遏制有效性

确认遏制措施已阻止对手操作：

• 监控任何内部主机向已知对手基础设施发起的新 C2 回调
• 检查新的横向移动尝试（来自已禁用账号的认证失败）
• 验证被遏制主机除 EDR Agent 外无法访问互联网
• 确认受攻陷凭据产生认证失败
• 在 SIEM 中审查是否有与对手已知 TTP 匹配的新告警

遏制验证清单：
[x] 所有已知受攻陷主机的 C2 信标流量已停止
[x] 已禁用账号产生预期的 4625 失败事件（无新成功）
[x] 被遏制主机从相邻子网的网络扫描中无法到达
[x] 没有新的主机表现出初始攻陷的 IOC
[x] 蜜罐账号未被访问（对手可能处于休眠状态）
[ ] 完整数据包捕获在财务 VLAN 上运行（待交换机配置）

步骤 5：在遏制期间保全证据

遏制不能销毁取证证据：

• 在任何修复之前从受攻陷主机采集内存转储（使用 WinPmem 或 Magnet RAM Capture）
• 采集易失性数据：运行中的进程、网络连接、已登录用户、计划任务
• 在事件日志轮转前导出相关日志（安全、系统、PowerShell、Sysmon）
• 捕获受攻陷主机与 C2 基础设施之间的网络流量
• 为事件时间线记录所有带时间戳的遏制措施

步骤 6：沟通遏制状态

向事件指挥官和利益相关方提供结构化状态更新：

• 当前遏制有效性（对手活动被阻止的百分比）
• 剩余风险（未发现的植入程序、尚未识别的持久化机制）
• 遏制措施的业务影响（哪些系统离线、用户影响）
• 根除阶段的预计时间线
• 升级需求（执法部门通知、外部 IR 顾问激活）

核心概念

术语	定义
短期遏制（Short-Term Containment）	阻止活跃对手操作的立即措施；通常是网络隔离和凭据禁用
长期遏制（Long-Term Containment）	在调查继续进行时防止对手重新访问的可持续措施
KRBTGT 双重重置（KRBTGT Double Reset）	两次重置 KRBTGT 密码以使所有现有 Kerberos 票据失效，包括黄金票据
网络遏制（Network Containment）	EDR 功能，将端点与除 EDR 管理通道外的所有网络通信隔离
横向移动（Lateral Movement）	对手使用窃取的凭据或漏洞利用在网络中从一个受攻陷系统移动到另一个系统的技术
C2 Sinkholing	将 C2 域名的 DNS 查询重定向到内部服务器，以防止对手通信并检测其他受害者
微分段（Microsegmentation）	工作负载之间限制横向通信路径的细粒度网络访问控制

工具与系统

• CrowdStrike Falcon：具有一键网络隔离的端点遏制，保持 Agent 连接
• Microsoft Defender for Endpoint：用于远程遏制措施和证据收集的实时响应控制台
• Palo Alto Networks NGFW：用于 C2 流量阻断和微分段的应用感知防火墙规则
• Velociraptor：用于遏制期间产物采集的开源端点监控和响应工具
• BloodHound：Active Directory 攻击路径映射，用于识别对手可能利用的潜在横向移动路径

常见场景

场景：通过 SMB 横向传播的勒索软件

背景：EDR 告警三台文件服务器显示快速文件加密。勒索软件通过使用受攻陷域服务账号的 SMB 传播。

处理方法：

1. 立即通过 EDR 网络遏制隔离三台文件服务器
2. 在 Active Directory 中禁用受攻陷的服务账号
3. 在网络交换机层面阻断所有服务器 VLAN 之间的 SMB（TCP 445）
4. 部署紧急 GPO 在非关键端点禁用 SMB 服务
5. 在服务器重启前从一台被加密的服务器采集内存
6. 使用 EDR 威胁狩猎在所有端点搜索勒索软件二进制哈希

常见陷阱：

• 立即关闭服务器，销毁易失性内存证据
• 只禁用已知受攻陷账号，而不检查其他持久化机制
• 在确认对手的访问已被完全撤销之前从备份恢复

输出格式

遏制状态报告
=========================
事件：        INC-2025-1547
状态：        已遏制（短期）
时间戳：      2025-11-15T15:47:00Z
遏制负责人：  [姓名]

已采取的措施
网络：
- [x] 5 台主机已通过 CrowdStrike 遏制隔离
- [x] C2 IP 185.220.x.x 已在边界防火墙阻断（规则 #4521）
- [x] C2 域名 evil.example[.]com 已 Sinkhole 到 10.0.0.99

身份：
- [x] jsmith 账号已禁用
- [x] svc-backup 账号已禁用，密码已轮换
- [x] admin-tier0 账号已禁用
- [x] KRBTGT 首次重置于 15:30 UTC 完成

端点：
- [x] 恶意哈希已在 EDR 阻断策略中阻断
- [x] 所有被遏制主机上的恶意进程已终止

保全的证据
- 内存转储：5 台主机中 3 台已完成
- 事件日志已导出：全部 5 台主机
- 网络捕获：在财务 VLAN 上运行

剩余风险
- 无 EDR 端点上可能存在未发现的植入程序（15 台旧版主机）
- KRBTGT 第二次重置待执行（计划 +1 天 03:30 UTC）
- 对手可能在遏制前已外泄数据

业务影响
- 财务文件共享离线（影响 42 名用户）
- 3 台用户工作站已隔离（用户已分配借用设备）
- 预计恢复：待根除完成后确定