场景:某金融科技分公司运维人员误点钓鱼邮件,触发Xinference供应链投毒漏洞,攻击者利用RCE链30分钟控制核心资产。
攻击 / 事件时间线
初始访问
攻击者利用Xinference供应链投毒事件(参考今日CNNVD通报),伪造官方更新通知,向目标公司运维人员发送带有恶意附件的钓鱼邮件。附件伪装为“Xinference紧急安全补丁.zip”,内含经过签名的恶意安装脚本。运维人员未核实邮件来源,在Windows Server 2019上双击运行,脚本立即执行powershell -enc命令下载并执行第二阶段的Cobalt Strike Beacon,建立持久化C2信道。
Cobalt Strike钓鱼邮件Xinference供应链投毒
权限维持与信息收集
Beacon上线后,攻击者执行whoami确认当前为域用户权限,随即运行net group "Domain Admins" /domain探测域管理员列表。使用内置的PowerView脚本扫描内网拓扑,发现核心数据库服务器DB01(IP: 10.10.10.100)仅允许特定管理IP访问。同时,攻击者在本地部署Mimikatz,成功抓取到本地管理员明文密码,为横向移动做准备。
PowerViewMimikatzPowerShell
横向移动与提权
利用抓取的本地管理员凭证,通过SMB协议(psexec)横向移动到跳板机JumpServer。在JumpServer上发现存储的SSH私钥文件,成功登录至核心数据库服务器DB01。在DB01上发现系统未打KB5025221补丁,利用PrintNightmare漏洞(CVE-2021-34527)将自身权限提升至SYSTEM。随后导出域控数据库NTDS.dit文件,获取所有域账号哈希。
PsExecPrintNightmareNTDS.dit
数据窃取
攻击者利用域管理员权限,登录到文件服务器FS01,发现存放有“用户信息_20260506.sql”的文件。使用7zip分卷压缩后,通过FTP(已配置防火墙白名单的出口)将数据外传至境外VPS。整个过程持续约8分钟,传输数据量达12GB,包含用户手机号、身份证号及交易记录。
7zipFTP域管理员账号
蓝队视角 · 发现与处置
SOC于当日16:30收到EDR告警:DB01服务器出现异常PrintNightmare提权行为。安全分析师立即提取进程树,发现可疑的spoolsv.exe子进程,并关联到JumpServer的SSH登录日志。通过威胁情报平台关联Bad IP,确认C2域名为新注册的恶意域名。立即启动应急响应:切断受感染服务器网络,重置所有域管理员密码,并对全公司3000+终端执行离线YARA扫描,最终溯源至Xinference供应链投毒事件。
涉及关键技术 / 工具
Xinference供应链投毒PrintNightmare提权NTDS.dit离线提取
防护经验总结
- 1. 建立软件供应链可信白名单:所有第三方组件更新必须通过内部沙箱运行,验证数字签名与hash值,未经批准不得直接执行。
- 2. 强化权限管控:对JumpServer等跳板机实施零信任架构,强制MFA认证,并严格限制SSH密钥的存储与使用范围。
- 3. 部署EDR并开启关键行为告警:重点关注PrintNightmare、PsExec等高危提权与横向移动行为,对异常SMB连接实施自动化阻断。
#供应链投毒#RCE#金融科技#PrintNightmare#NTDS.dit