场景:2026年5月15日(周五)凌晨,某华东汽车零部件制造企业核心ERP服务器被勒索软件加密,生产停摆。安全团队72小时内完成溯源、隔离与部分数据恢复。
攻击 / 事件时间线
潜伏侦察(5月14日 16:00-5月15日 00:00)
攻击者利用Solon框架模板漏洞(当日公开)对该公司对外暴露的PLM系统进行扫描,成功上传WebShell(冰蝎)。随后通过net user与whoami枚举域用户,发现运维人员使用弱口令域账户svc_erp_backup。
冰蝎Solon框架模板漏洞
横向移动与权限提升(5月15日 00:00-02:00)
攻击者使用Mimikatz从Web服务器内存中抓取域管理员凭据,并通过PsExec将Cobalt Strike Beacon部署至ERP数据库服务器。利用secretsdump.py导出域控哈希,最终获取域管理员权限。
MimikatzCobalt StrikePsExecImpacket
数据窃取与勒索部署(5月15日 02:00-03:30)
攻击者通过Rclone将约200GB的生产数据(含订单、图纸)上传至Mega网盘。随后使用LockBit 3.0勒索软件,通过组策略下发执行,加密所有文件服务器与ERP数据库。加密后留下勒索信,要求48小时内支付40比特币。
RcloneLockBit 3.0组策略
告警触发与应急响应(5月15日 03:30-08:00)
EDR(CrowdStrike)检测到ERP服务器大规模文件修改行为,触发“勒索软件”告警。SOC值班人员手动确认,立即启动应急响应:切断受影响网段、冻结域控账户、启动备份验证。同时联系外部取证团队介入。
CrowdStrike FalconVelociraptor
蓝队视角 · 发现与处置
SOC通过EDR告警发现大量.lockbit后缀文件生成,结合Sysmon日志确认攻击者通过域管账户横向移动。快速切断核心交换机端口隔离失陷主机,利用Velociraptor对内存进行取证捕获Beacon配置。通过备份系统(Veeam)发现3天前完整备份可用,决定不支付赎金。
涉及关键技术 / 工具
Mimikatz抓取域凭据LockBit 3.0组策略分发Rclone数据外传至MegaSysmon进程树溯源
防护经验总结
- 对外暴露系统(PLM)必须安装最新安全补丁,建议使用WAF前置过滤已知漏洞Payload
- 域内运维账户必须启用LAPS管理本地管理员密码,并实施双因素认证
- 关键系统备份必须遵循3-2-1原则,且备份存储与生产网络物理隔离,定期进行恢复演练
#勒索软件#LockBit#Mimikatz#域渗透#应急响应