入侵後的潛伏攻擊(嘗試建立 AD 高權限帳號)
現場背景:
客戶已確認遭入侵,我方受通知到場協助。
目標是確認:攻擊者還在不在?是否還在持續動作?
我們看到的事實:
在端點偵測中發現:系統以 PowerShell 執行命令,嘗試建立新的 AD 帳號(疑似高權限/後門帳號用途)。
• 執行者身分:SYSTEM(代表是用服務或排程等方式在最高權限下跑)
• 行為內容:載入 ActiveDirectory 模組,建立新使用者(New-ADUser)
• 特徵:使用 -ExecutionPolicy Bypass(繞過 PowerShell 限制,常見於攻擊者手法)
• 程序鏈:服務程序 → 命令列 → PowerShell(代表非人工手動點開,而是以“背景方式”觸發)
圖 1:端點預測性攔截 PowerShell 建立 AD 帳號的命令與程序鏈
攻擊者不是“可能想做壞事”,而是已經在系統裡用最高權限下指令,準備建立可長期控制公司網域的帳號。
這代表什麼風險
如果這種 AD 帳號建立成功,攻擊者通常可以:
• 反覆登入、長期潛伏(清掉一次還會再回來)
• 擴散到其他伺服器與電腦(含檔案伺服器、ERP、產線控制主機)
• 準備第二階段:資料外洩、勒索加密、刪除備份、癱瘓 AD
戰場清理:
• 立即隔離可疑端點(避免命令擴散、避免帳號建立成功後擴權橫向移動)
• 阻斷正在進行式的命令行為(把“現在正在做的壞事”停下來)
• 回收證據:保留命令列、程序鏈、時間點,作為後續追查與管理層決策
依據Deep Instinct 的優勢與價值攻擊者使用 -ExecutionPolicy Bypass 配合 SYSTEM 權限 ,這在傳統掃描中屬於「合法系統行為」。Deep Instinct 不需要病毒碼,它是透過深度學習預測該指令鏈(程序鏈) 具有攻擊意圖,在帳號尚未建立前就達成「預測性攔截」。
可量化果(老闆看得懂)
• 阻止攻擊者擊者建立後門帳號(避免長期控制風險)
• 把正在進行的潛伏攻擊即時拉停(不是事後推測)
• 提供清楚證據鏈,讓管理層能判斷是否要擴大應變與投資防護