好,这是一个人对不对?这其实是他的权限,他只可以和一个人去沟通,然后经理和经理之间是可以沟通,他可以和很多经理沟通,但是他发现这个经理他可以和领导沟通,那么他的权限是不是要更大,明白没有?是为了获取更多的权限和更多的数据,这个是攻击者的一个核心思路。核心思路,也就是说我们的攻击者并不会对我们的这台人事电脑去做更多的事情,他做更多的事情其实只有两类,有两类,第一个19号通知,持久化控制就可以持续的对他去发出指令去发起攻击,这个是一个。另外一个是什么?当持续化控制之后,他肯定要发起攻击,所以说第二个发起攻击,我们简单一点发起攻击不要那么去咬文嚼字,好ok。那么就是这两个了,那么我们现在来看一下,那么它持久化控制的时候它有哪些操作?恶意下载文件,反向连接,是不是它持久化控制的一个操作,我们的攻击者找到漏洞打了他对不对?这是第一步,这是第一波。
然后我们的这一个用户的也就是我们人事的这台电脑,他开始干什么?他开始对攻击者去主动走出去和他沟通,这是第二步,再往后攻击者对我们的这个已经被控制这台人事电脑发起发起相关的指令,这是什么?是第三步,那么我们通过从时间线上面也可以看到,也可以看到首先是10:06下载文件,下载文件,然后是反连了攻击者,对不对?第二步之后对域控发起了攻击,他就发起了横向攻击。这是不是我们所谓第三步,其实也就是这这两个部分,没有了。
好,所以说我们更加关注的是,他通过这一台被控制的这是电脑做什么事情,然后我们通过分析和查看,它是对域控发起了攻击,对不对?那么ok我们去看,既然你对域控发起了成功的攻击,那我就要去看你对我域控做了哪些事情,你既然要对它进行持久化,是不是?那你肯定会留下一些操作痕迹,对不对?其次你肯定会发起一些攻击,那么我在我们的监测设备上面是否能够看得到?是肯定可以的。好,那么所以说我们接下来就会对我们0.1这台电脑进行什么?详细的排查和分析,这个是所有的一个整体思路,明白吗?