技术支持

筑牢内网防线：全面防范“肉鸡”入侵与横向移动实战指南

一、什么是内网“肉鸡”？

“肉鸡”是指被黑客通过植入木马或后门程序控制的计算机、服务器或物联网设备。一旦内网中存在“肉鸡”，攻击者不仅窃取该机数据，更会以此为跳板进行横向移动（Lateral Movement），攻击域控制器、文件服务器或打印机，最终导致整个内网沦陷。

二、肉鸡入侵内网的三大入口

违规外联与双网卡：员工将受控笔记本同时连接内网和互联网（如Wi-Fi热点），成为内外网“桥梁”。

脆弱的外网服务：VPN、远程桌面（RDP）、Web服务器存在弱口令或未修补漏洞，被直接攻破。

供应链与社会工程学：携带恶意软件的U盘、伪装成驱动的“硬件后门”、钓鱼邮件附件。

三、实战级防护策略（由外至内）

1. 边界网关：执行“默认拒绝”策略

关闭不必要的端口：除业务必须（如80、443），禁止所有从内网主动发起的互联网连接。特别注意封禁高危端口：445（勒索病毒）、3389（RDP）、22（SSH）、1433（SQL）。

实施双向ACL：不仅控制外访内，更要控制内访外。设置白名单，仅允许内网设备访问特定的更新服务器（Windows Update、防病毒库）。

部署NAT与代理分离：强制所有内网Web访问通过代理服务器进行内容过滤和日志记录，阻断直接NAT出站。

2. 网络微分段：斩断横向移动路径

VLAN隔离：

服务器区（数据库、域控）与终端区（员工PC）严格隔离。

物联网区（打印机、摄像头）独立网段，禁止其主动访问任何其他内网设备，仅允许与打印服务器、NVR通信。

主机防火墙策略：在服务器上启用Windows高级防火墙，入站规则仅放行指定IP的业务端口；出站规则仅允许到备份服务器、日志服务器的连接，杜绝“肉鸡”反弹Shell。

802.1X认证：在交换机端口启用基于证书的网络准入，防止未授权设备（如恶意笔记本或Raspberry Pi）物理接入内网。

3. 终端主机：强化自身与监控

关闭高危服务与共享：

禁用不必要的系统服务：Print Spooler（非打印服务器）、Server（若不需提供文件共享）。

严格限制空密码和Guest账户，删除admin$、IPC$默认共享（通过组策略）。

应用白名单机制：使用软件限制策略（SRP）或AppLocker，只允许执行已知路径（如C:Program Files）或数字签名的可执行文件。此法可阻止99%的木马运行。

强制部署EDR：终端检测响应系统需具备进程链分析能力，识别异常行为：如Word调用powershell.exe下载文件，或svchost.exe发起非系统IP的连接。

4. 身份与权限：最小化原则

禁止域管理员登录非服务器主机：域管账户登录过的PC，一旦被控，哈希即可窃取并用于票据传递攻击（Pass The Hash）。

实施本地管理员密码解决方案（LAPS）：确保每台PC的本地管理员密码随机化、定期轮换，防止攻击者利用相同密码横向扩散。

关闭LLMNR与NetBIOS：通过组策略禁用这些过时的名称解析协议，防止“中间人”攻击窃取NTLM哈希。

5. 主动检测：发现潜伏“肉鸡”的痕迹

异常DNS请求监控：肉鸡常通过DNS隧道外传数据。监控解析频率异常（每秒数十次）或域名长度过长（超过30字符）的查询。

横向移动特征：

检测同一账号短时间内登录多台设备（4624登录事件）。

检测PsExec、WMI、SMBExec的执行痕迹（事件ID 7045、4688）。

检测对LSASS.exe进程的访问尝试（试图转储密码哈希）。

网络流量异常：

Beacon流量：周期性（每60秒）的小流量数据包发往同一境外IP。

非办公时间活动：凌晨2-5点，某终端发起大量RDP连接或SMB枚举。

四、应急响应：发现疑似肉鸡后的“黄金10分钟”

立刻切断网络：在交换机上直接关闭该端口，或在防火墙拉黑其MAC地址。不要仅在系统内禁用网卡（木马可能重启用）。

保全证据：采集内存镜像、进程列表、网络连接状态（netstat -ano）、计划任务、启动项、Prefetch文件。

导出主机防火墙日志：确认该“肉鸡”向内网哪些IP尝试了连接，反向封堵其他被尝试的主机。

离线取证与重建：被感染主机不可信任，应彻底重装操作系统，而非仅尝试杀毒。

五、家庭与SOHO内网特别建议

禁用路由器的UPnP：防止内网恶意程序自动添加端口映射。

改换普通用户身份：日常使用非管理员账户，木马安装需提权，增加难度。

隔离IoT设备：将智能电视、音箱、门铃置于“访客网络”，与存放个人文件的PC隔离。

定期查看后台连接：使用TCPView工具或路由器流量统计，发现未知IP的持续连接。

六、总结：从“信任内网”到“零信任内网”

防止内网被“肉鸡”攻击的核心思维转变是：不再默认信任内网任何设备。

设计上：假设内网已存在肉鸡，所有通信需加密和认证。

技术上：落实微分段、应用白名单、802.1X准入。

管理上：定期进行横向移动攻防演练，测试报警响应速度。

没有绝对的安全，但通过上述纵深防御体系，可以将“肉鸡”的入驻成本提至最高，使其在早期横向移动阶段即被阻断和发现，从而保护核心数据资产。

行动清单：今天就开始 - 扫描内网开放445端口的设备、检查是否有空密码管理员账户、测试主机防火墙出站规则是否生效。这三步能阻挡80%的普通肉鸡扩散。