场景:2026年5月,某中型制造企业遭遇LockBit勒索软件变种攻击。攻击者通过钓鱼邮件突破外围,在内网潜伏72小时后加密核心服务器,导致产线停摆。
攻击 / 事件时间线
初始访问
攻击者以“供应商结算单”为诱饵,向财务部员工发送带恶意宏的Excel文档。员工打开文档并启用宏后,宏脚本从远程C2服务器下载Cobalt Strike Beacon(变种),建立持久化通道。宏代码采用混淆技术,规避了当时未更新的AMSI扫描。
Cobalt Strike恶意宏混淆脚本
提权与横向移动
Beacon上线后,攻击者通过SharpHound收集域信息,发现域管理员账户密码复用严重。利用Mimikatz抓取本地管理员NTLM哈希,通过PsExec横向移动到文件服务器和备份服务器。在备份服务器上删除VSS快照,并禁用Windows Defender实时保护。
MimikatzSharpHoundPsExec
数据窃取与加密
攻击者利用Rclone工具将约200GB的ERP数据和设计图纸上传至MEGA云盘。随后,在内网所有Windows服务器上部署LockBit 3.0勒索软件,通过组策略对象(GPO)批量分发执行。加密过程使用AES-256,每个文件生成唯一密钥。
LockBit 3.0RcloneGPO
告警触发与溯源
安全运维人员发现文件服务器大量文件扩展名被改为.lockbit,且终端出现勒索弹窗。通过查看Sysmon日志(Event ID 11和1),定位到Beacon进程和Rclone外传流量。利用YARA规则在内存中匹配到LockBit特定字符串,确认攻击者身份。
SysmonYARA
蓝队视角 · 发现与处置
SOC在加密事件发生30分钟后触发应急响应。首先通过EDR隔离所有受感染终端,防止加密扩散。分析Sysmon日志发现初始入口为财务部IP,立即禁用该账户并重置域管理员密码。从备份系统(不可变存储)恢复关键ERP数据,耗时4小时。同时,保留加密服务器磁盘镜像用于取证,并向网安部门报告。
涉及关键技术 / 工具
Cobalt Strike Beacon混淆绕过AMSIMimikatz抓取域管理员哈希Rclone云盘外传数据LockBit 3.0通过GPO批量分发
防护经验总结
- 部署EDR并启用Sysmon日志记录,重点关注Event ID 1(进程创建)和11(文件创建),用于快速定位恶意进程。
- 实施最小权限原则:域管理员账户仅用于管理操作,日常运维使用独立低权限账户,且定期轮换密码。
- 建立不可变备份策略:备份数据存储于离线或WORM(一次写入多次读取)存储,并定期测试恢复流程,确保勒索发生时能快速恢复。
#勒索软件#LockBit#横向移动#应急响应#制造行业