黑客在发起勒索加密等最终攻击前，通常会经历潜伏阶段（一般持续数天到数周），主要进行权限维持、横向移动、数据踩点、内网探测等操作。这个阶段的核心特征是 “低噪操作”—— 尽量不触发明显告警，但仍会留下痕迹。及时发现潜伏行为的关键，是通过 **“基线对比”+“异常检测”**，捕捉偏离正常业务的操作痕迹，并结合威胁情报快速响应。

一、先明确：黑客潜伏阶段的典型行为（检测目标）

潜伏阶段的核心目的是 “为最终攻击做准备”，常见行为包括但不限于：

1. 权限持久化：创建隐藏账号（如带 $ 符号的管理员账号、克隆账号）、添加后门（如计划任务、服务后门、注册表自启项）。篡改系统配置（如关闭安全日志、禁用防火墙 / EDR、修改组策略）。
2. 横向移动：使用远程桌面（RDP）、WMIC、PsExec、WinRM 等工具跨主机连接（尤其非工作时间的跨网段访问）。扫描内网端口（如 3389、445、5985 等常用远程端口）、尝试弱口令爆破。
3. 数据收集与踩点：批量读取敏感文件（如数据库配置文件、账号密码文件、共享目录）。执行系统信息查询命令（如systeminfo、ipconfig /all、net user、net share）。
4. 规避检测：清理日志（如wevtutil cl命令删除事件日志、删除 EDR/Anti-Virus 的告警记录）。使用混淆工具（如通过powershell -EncodedCommand执行加密命令、用certutil解码恶意文件）。

二、关键检测技术：从 “日志、流量、端点” 三维捕捉痕迹

（一）日志监控：捕捉系统 / 应用层的异常操作

日志是潜伏阶段最易获取的痕迹源，需重点收集并分析以下日志：

（二）网络流量分析：捕捉跨主机 / 跨网段的异常连接

潜伏阶段的横向移动和数据传输必然产生网络痕迹，重点监控：

检测工具 / 方法：

内网流量：通过 IDS/IPS（如 Suricata）、流量分析工具（如 Wireshark、科来网络分析系统），过滤规则示例：tcp.dstport == 3389 and ip.src != 正常办公IP段。

出站流量：在边界防火墙 / 网关设备上，监控 “单主机频繁连接多个外部 IP”“连接境外高危 IP（如勒索团伙 C2）”，结合威胁情报（如微步在线、360 威胁情报）标记恶意 IP。

异常数据传输：大文件批量传输（如通过共享目录、FTP、HTTP POST 上传大量数据，尤其后缀为.zip、.7z 的压缩包）。非业务端口的大流量（如 80/443 端口外的端口出现 GB 级数据传输）。

检测工具 / 方法：

命令行临时查看：netstat -ano | findstr "ESTABLISHED"（查看当前连接，结合 PID 定位进程）；tasklist /fi "pid eq <PID>"（通过 PID 找对应程序）。

长期监控：通过流量可视化工具（如 Grafana+Prometheus）建立流量基线，超过基线阈值（如单主机 1 小时内上传＞10GB 数据）触发告警。

（三）端点行为检测：捕捉主机层面的异常操作

端点（服务器 / 终端）是潜伏行为的直接载体，需重点监控 “偏离正常业务的操作”：

检测工具 / 方法：

1. 轻量工具：使用tasklist /m（查看进程加载的 DLL）、wmic process list full（查看进程完整路径和命令行参数）。
2. 专业工具：部署 EDR（端点检测与响应）工具（如奇安信天擎、卡巴斯基 EDR），开启 “进程行为监控”，检测 “无签名进程创建管理员账号”“进程远程注入” 等行为。

文件系统异常：敏感目录被修改（如C:\Windows\System32\GroupPolicy（组策略）、C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup（启动目录）出现陌生文件）。隐藏文件 / 目录被创建（如带$的目录、属性为 “系统 + 隐藏” 的文件，可通过dir /a命令查看）。系统关键文件被替换（如lsass.exe、svchost.exe的哈希值与基线不一致）。

检测工具 / 方法：

命令行检查：dir C:\Windows\Temp\ /a /b（查看临时目录文件）；Get-FileHash C:\Windows\System32\lsass.exe（比对哈希基线）。

工具监控：通过文件完整性监控（FIM）工具（如 OSSEC、Tripwire），对关键目录设置 “修改即告警”。

账号与权限异常：新增账号（尤其是带$的隐藏账号，可通过net user查看，隐藏账号需用wmic useraccount get name,sid确认）。普通账号被加入管理员组（net localgroup administrators查看成员，对比历史基线）。账号密码哈希被读取（如检测到mimikatz相关进程、lsass.exe被 dump 内存（通过procdump等工具））。

检测工具 / 方法：

命令行检查：net user（列出所有账号）；net localgroup administrators（查看管理员组）。

深度检查：通过reg query "HKLM\SAM\SAM"（需管理员权限）查看 SAM 数据库是否被访问，或用PowerShell Get-WmiObject -Class Win32_UserAccount枚举所有用户（包括隐藏账号）。

三、发现异常后的处置流程（快速止损）

一旦通过上述方法发现潜伏痕迹，需按 “隔离→取证→清除→加固” 四步处置，避免黑客察觉后提前发起勒索：

1. 快速隔离（阻止横向扩散）：断开可疑主机的网络连接（物理拔线或通过交换机禁用端口，避免远程操作被中断）。禁用可疑账号（net user <账号名> /active:no），修改所有管理员账号密码（复杂度≥12 位，含大小写 + 数字 + 符号）。
2. 取证留存（避免痕迹被清理）：导出相关日志（安全日志、进程日志、网络连接日志）到离线存储（如 U 盘）。对可疑进程 / 文件进行内存 dump（用procdump工具）和文件备份（避免删除后无法溯源）。
3. 清除后门与痕迹：删除可疑账号、计划任务（schtasks /delete /tn <任务名> /f）、服务（sc delete <服务名>）。移除自启项（如注册表HKLM\Software\Microsoft\Windows\CurrentVersion\Run下的陌生键值）。查杀恶意文件（用 EDR 全盘扫描，或上传样本到 VirusTotal 确认是否为恶意程序）。
4. 内网溯源与加固：检查与可疑主机通信的其他主机（通过流量日志），确认是否已被横向渗透，逐一排查。修补漏洞（如内网主机的永恒之蓝、Exchange 漏洞等，避免再次被利用）。恢复安全配置（开启防火墙、EDR 监控，重新启用日志审计，补充数据备份）。

四、长期预防：减少潜伏机会的核心措施

1. 建立 “正常基线”：记录正常业务的账号、进程、网络连接、文件目录状态（如管理员账号列表、常用远程工具、每日流量峰值），偏离基线即触发告警。
2. 强化日志与监控：确保安全日志、应用日志至少留存 30 天（避免被黑客清理后无法溯源），关键服务器开启 “审计策略”（本地组策略→安全设置→审计策略）。
3. 限制权限与横向移动能力：采用 “最小权限原则”：普通用户仅分配必要权限，管理员账号禁用 RDP 登录，敏感服务器（如数据库）仅允许特定 IP 访问。禁用不必要的远程工具：关闭非必要的 445（SMB）、3389（RDP）端口，通过防火墙限制跨网段访问。
4. 定期威胁狩猎：每周用 EDR/SIEM 工具扫描一次 “可疑进程”“异常登录”“陌生文件”，结合最新威胁情报（如勒索团伙常用的后门、工具特征）主动排查。
5. 备份与演练：重要数据做 “321 备份”（3 份副本、2 种介质、1 份离线），定期演练恢复流程（确保勒索时能快速恢复，减少损失）。

总结：核心逻辑

潜伏阶段的检测本质是 “找异常”—— 异常的账号、进程、连接、文件，这些异常不会孤立存在（如 “新增隐藏账号” 通常伴随 “远程登录” 和 “计划任务后门”）。通过 “日志 + 流量 + 端点” 三维监控，结合人工分析（避免纯依赖工具误报），可在黑客发起最终攻击前发现并处置。