2026网络安全预警：破解软件不如盗用身份——渗透攻击步骤示例

传统的攻击路径是：扫描网络 -> 寻找软件漏洞（如未修补的服务器）-> 利用漏洞获取初始访问权限 -> 横向移动。

而现代攻击路径则是：窃取或伪造身份凭证（如通过钓鱼、购买泄露密码）-> 以“合法用户”身份登录 -> 直接访问授权数据/系统 -> 滥用合法功能（如邮箱转发、文件下载、API调用）达成目标。

这不再是“破门而入”，而是“复制钥匙，大摇大摆走进门，甚至让保安为你开门”。

从“攻击机器”到“攻击人”原因

1、防御的“左移”使漏洞利用成本增高

• 软件自身更安全：开发安全（DevSecOps）的普及、内存安全语言的推广、自动漏洞扫描工具的成熟，使得软件中的高危远程代码执行漏洞数量相对减少，发现和利用门槛变高。
• 外围防御强化：网络防火墙、WAF、EDR等防护层层叠加，使得直接针对漏洞的“网络轰炸”式攻击成功率下降。
• 攻击者经济账：挖掘和购买零日漏洞（0-day）成本极高，而利用身份漏洞的成本极低、可规模化。

2、云原生与混合办公环境扩大了身份攻击面

• 边界消失：在“云优先”和“随时随地办公”的模式下，传统的网络边界不复存在。身份成为了新的安全边界。VPN后面不再是可信网络，每一个访问请求都需要验证身份。
• 身份爆炸：一个员工可能拥有数十个云服务（SaaS）、应用、API的账号。每一个身份都是一个潜在的突破口。
• 默认信任的云身份：在云环境中，一个被攻破的拥有过高权限的用户身份（尤其是服务账号），可以瞬间访问整个租户的资源，破坏力呈指数级增长。

3、人为因素与流程缺陷是“软肋”

• 钓鱼与社交工程：这是获取初始身份凭证最主要的方式。逼真的钓鱼邮件、短信、电话（语音钓鱼）层出不穷，技术再强的员工也可能一时疏忽。
• 弱密码与密码复用：尽管有MFA（多因素认证），但很多旧系统或内部应用仍未强制要求，弱密码和密码复用习惯使得“凭证填充”攻击（用泄露的密码库批量尝试登录）依然高效。
• 入职/离职流程缺陷：新员工账号权限配置错误（给得过多），或离职员工账号未及时禁用（“幽灵账号”），都会留下致命缺口。
• 服务台身份验证绕过：攻击者通过社会工程学伪装成“忘记密码”的员工，诱骗服务台重置凭证或修改多因素认证绑定。这是攻破MFA的经典手段。
• 过度权限：身份权限管理混乱，普通用户拥有本不需要的管理员权限。一旦该身份被窃取，攻击者即可长驱直入。

4、攻击者工具化、产业化

• 现成的攻击工具包：市场上存在大量专门用于身份攻击的工具，如钓鱼框架（如Gophish）、代理工具（如Evilginx2，用于中间人攻击窃取MFA令牌）、密码喷射工具等，降低了攻击技术门槛。
• 庞大的凭证黑市：暗网中充斥着数十亿计泄露的用户名、密码、Cookies、API密钥等身份数据，可供攻击者廉价购买。
• AI的加持：攻击者开始利用AI生成高度个性化的钓鱼内容（模仿领导语气、写作风格），使欺诈更难被识别。

攻击链条示例：“登录”如何取代“突破”

假设攻击者目标是窃取某公司财务数据：

1、传统方式：扫描公司IP段 -> 发现一个未打补丁的Web服务器 -> 上传Webshell -> 提权 -> 在内网漫游寻找财务服务器 -> 破解数据库密码 -> 窃取数据。（步骤多，触发警报风险高）

2、现代身份攻击方式：

1. • 阶段一：初始访问：在暗网购买该公司员工泄露的邮箱和密码（来自其他网站泄露），或向其财务人员发送定向钓鱼邮件，窃取OA系统账号密码。
   • 阶段二：绕过MFA：使用反向代理工具，诱骗该员工在伪造的登录页面上输入密码和MFA一次性代码，实时窃取并登录真实系统。
   • 阶段三：横向移动：登录后，发现该员工拥有访问公司文件共享（如SharePoint）的权限。直接搜索并下载财务报告。
   • 或，滥用合法功能：如果该员工有邮箱权限，攻击者可以设置邮件规则，将特定邮件（如“财务报表”）自动转发到外部邮箱，实现长期、隐蔽的数据窃取。

整个过程没有触发任何漏洞扫描告警，全部行为看起来都是“合法用户在进行常规操作”。

靠谱渗透测试公司如何应对

专业的机构，会将其服务升级为 “以身份为中心的渗透测试”  或  “攻击模拟”  。以 天磊卫士 公司为例，其专业做法将围绕以下几个核心层面展开：

1、测试重点转移：从“漏洞利用”到“身份滥用”

测试团队会设计全新的攻击场景，重点不再是扫描端口，而是：

• 初始访问模拟：测试钓鱼邮件、短信的点击率与凭证窃取成功率，评估员工安全意识。
• 凭证安全测试：使用安全的自动化工具，在客户授权下，对暴露在外的登录界面（如VPN、OA、云门户）进行低频率、慢速的密码喷洒攻击，验证弱密码和密码复用风险。
• MFA绕过测试：尝试利用社会工程学（如模拟服务台呼叫）、会话劫持、或已知的MFA疲劳攻击等手段，测试多因素认证的实际强度。

2、测试方法论升级：从“外部攻击”到“内部横向移动”

在获得一个初始（哪怕是低权限）身份后，天磊卫士红队会深入测试：

• 权限提升路径发现：以此身份登录，寻找系统内错误的权限配置、过时的本地管理员账户、可访问的敏感数据存储（如文件服务器、SharePoint），评估从一个普通用户能“爬升”到何种高度。
• 云身份与配置审计：在云环境中，重点测试IAM角色、策略、服务账户的权限。一个配置错误S3存储桶或一个权限过大的服务账户密钥，其危害远超一个服务器漏洞。
• 滥用合法工具：天磊卫士模拟攻击者使用系统内合法的管理工具（如PsExec、PowerShell、RDP）、云CLI或API进行横向移动和数据窃取，这类行为往往能绕过传统安全软件的检测。

3、评估关键流程：测试“信任链”的脆弱点

正如之前所讨论，服务台、入职/离职流程是软肋。天磊卫士红队会进行定向的社会工程学评估：

• 服务台模拟攻击：通过电话或邮件，伪装成焦急的员工，尝试诱骗服务台人员重置密码、修改MFA绑定或提供敏感信息。
• 供应链身份测试：测试第三方合作伙伴的接入账户是否权限过大、是否被妥善管理。

4、交付成果转变：从“漏洞列表”到“攻击故事与检测盲区”

天磊卫士的报告不会只给出一堆漏洞评分，而会呈现：

• 完整的攻击叙事：清晰展示从获取一个普通身份到达成关键目标（如访问CEO邮箱、窃取核心数据）的完整路径。
• 检测与响应差距分析：明确指出在攻击链的每个环节，客户的安全运营中心是否产生了告警、告警质量如何、响应是否有效。这直接帮助客户提升身份威胁检测与响应能力。
• 针对性的加固建议：建议不仅限于“打补丁”，更会聚焦于：
• • 如何优化权限模型（实施最小权限、即时访问）。
  • 如何加固身份验证（推行防钓鱼MFA）。
  • 如何改进关键安全流程（服务台验证SOP）。

结论

到2026年，攻击者将身份视为最可靠、最经济的“漏洞”。因此，天磊卫士的防御的首要任务也从保护“网络和主机”的完整性，转变为保护“身份和访问”的生命周期。保护身份，就是保护新时代的网络安全核心。