场景:某大型物流企业HVV期间,SOC监测到一条异常DNS请求指向罕见TLD域名,流量分析发现加密隧道建立行为,疑似C2通信。
攻击 / 事件时间线
初始入侵:钓鱼突破
攻击者利用伪装成物流订单系统的钓鱼邮件,附件为带恶意宏的Word文档。员工双击后,宏执行PowerShell命令,从远程服务器下载DLL加载器,注入到合法进程explorer.exe,建立初始立足点。
Cobalt Strike钓鱼邮件恶意宏
持久化与内网侦查
攻击者利用Cobalt Strike的beacon心跳维持通信,通过net group "Domain Admins" /domain枚举域管理员,并使用AdFind工具快速收集AD对象信息,定位关键资产。同时,利用Living Off the Land技术,通过rundll32.exe执行JavaScript脚本,规避EDR检测。
Cobalt StrikeAdFindrundll32.exe
横向移动与数据窃取
发现域控服务器后,攻击者利用Mimikatz从一台已失陷的跳板机内存中抓取域管理员NTLM Hash,通过PsExec横向移动到备份服务器。随后通过Rclone将备份服务器上的客户数据库(约3GB)加密传输至自建的Mega网盘,完成数据窃取。
MimikatzPsExecRclone
蓝队视角 · 发现与处置
SOC最初通过Zeek日志发现对异常域名evil.example.cf的频繁查询,流量分析确认JA3指纹与已知Cobalt Strike特征匹配。随即启用威胁情报平台关联,确认该IP关联多个恶意样本。蓝队立即隔离失陷主机、吊销域控凭据、封禁出口IP,并利用Sysmon日志回溯攻击路径,72小时内完成全流程溯源。
涉及关键技术 / 工具
DNS异常检测Cobalt Strike JA3指纹识别Mimikatz凭证提取与横向移动分析
防护经验总结
- 部署DNS sinkhole,对非标准TLD(.cf/.ga/.ml)域名实施自动告警与阻断,阻断C2初始通信。
- 在域控启用Credential Guard,配置LSA保护,阻止Mimikatz从lsass.exe进程提取明文Hash。
- 实施最小权限策略,限制PsExec使用权限,仅允许IT运维组从指定跳板机执行横向移动命令。
#红蓝对抗#DNS隧道#C2检测#HVV#威胁狩猎