场景:2026年5月17日,某跨国金融企业SOC监测到一条异常DNS请求,域名指向一个罕见的.cc顶级域。结合当日Token跨境合规热点,研判为针对海外业务节点的定向攻击。
攻击 / 事件时间线
初始访问
攻击者利用某海外业务系统未修复的Apache Struts2漏洞(S2-062变种),通过精心构造的Content-Type头注入OGNL表达式,成功上传WebShell。WebShell以图片文件形式伪装,嵌入到正常业务图片目录中,文件名为`logo_2026.png.jsp`。
Apache Struts2OGNL注入WebShell
持久化与C2通信
WebShell执行后,攻击者部署了定制化的DNS隧道工具`dns2tcp`的变种。该工具将C2命令编码为TXT记录查询,指向子域`update.api.secure-update[.]cc`。DNS查询频率控制在每5分钟一次,模拟正常系统更新行为,绕过传统基于阈值的告警。
dns2tcp变种DNS隧道.cc域名
横向移动与数据窃取
通过DNS隧道下发`Mimikatz`内存加载版本,获取域管理员凭据。随后使用`PsExec`横向移动到核心数据库服务器,利用`sqlcmd`批量导出客户姓名、证件号、交易记录等加密数据。攻击者将数据分片压缩后,通过HTTP POST请求上传至公有云存储桶,流量伪装为正常API调用。
MimikatzPsExecsqlcmd公有云存储
蓝队视角 · 发现与处置
SOC团队通过部署的Zeek网络监控设备捕获到异常DNS请求,发现`secure-update[.]cc`域名TTL值异常(仅60秒)且TXT记录响应包大小远超常规。结合威胁情报平台确认该域名为恶意注册。立即触发应急流程:1)在网络边界防火墙阻断该域名解析;2)对受影响主机执行EDR离线取证,提取WebShell和DNS隧道样本;3)通过日志关联分析,定位到攻击链初始点(Struts2漏洞主机),完成漏洞修复与主机隔离。
涉及关键技术 / 工具
DNS隧道检测(基于TTL与响应包大小异常分析)Mimikatz内存加载与凭据窃取Zeek网络监控与威胁情报联动
防护经验总结
- 1. 对DNS日志进行全量存储与实时分析,设置针对高频率、低TTL、异常响应大小的DNS查询告警规则。
- 2. 对所有面向外网的应用系统实施严格的输入验证与Web应用防火墙(WAF)策略,特别是针对Struts2、Log4j等历史高危漏洞。
- 3. 部署基于行为的横向移动检测规则(如PsExec、WMI远程执行),结合用户实体行为分析(UEBA)技术,识别非正常时段的凭据使用与批量数据导出行为。
#DNS隧道#C2隐匿#数据跨境#Struts2漏洞#威胁狩猎