攻防实战复盘
加油站数据篡改事件复盘
2026年05月21日 · 周四
真实攻击复盘 高级
场景:2026年4月,国内多地加油站监测系统遭入侵,攻击者篡改油品计量数据以牟利,监管部门追踪时发现攻击源难以溯源,疑似境外势力。
攻击 / 事件时间线
1
初始访问
攻击者通过暴露在公网的加油站监测系统Web管理后台入手,利用弱口令(admin/admin)登录,并发现系统未启用双因素认证。随后,攻击者扫描内网,发现监测系统与加油机控制器(基于Modbus协议)直接连接,无网络隔离。
NmapBurp Suite
2
横向移动与提权
攻击者利用Webshell(上传JSP文件)获得系统Shell,并执行Mimikatz抓取管理员密码哈希。通过哈希传递(Pass-the-Hash)进入Windows域环境,发现域控存在MS17-010漏洞。攻击者使用EternalBlue漏洞利用工具提权至域管理员,控制整个内网。
MimikatzEternalBlueCobalt Strike
3
数据篡改与擦除
攻击者修改加油机控制器固件参数,使每次加油计量偏差+5%,并将篡改日志覆盖为正常值。同时,部署勒索软件(伪装成系统更新)加密备份数据,并清除Windows事件日志和Sysmon日志,阻断溯源线索。
自定义固件刷写工具勒索软件变种wevtutil
蓝队视角 · 发现与处置
某加油站安全团队因客户投诉油量异常,启动应急响应。SOC通过分析加油机异常流量(Modbus协议数据包异常增多),定位到控制器被远程修改。利用未加密的备份日志(存储在NAS中)恢复部分篡改记录,并发现多个IP来自境外代理。蓝队立即切断公网访问,隔离受控控制器,并上报监管部门。
涉及关键技术 / 工具
Modbus协议逆向分析Mimikatz哈希抓取EternalBlue漏洞利用
防护经验总结
  • 对暴露在公网的工业系统强制启用双因素认证,并限制管理后台仅允许特定IP访问。
  • 对工业控制网络实施物理或逻辑隔离,禁止监测系统与控制器直连,并部署工业防火墙检测异常Modbus指令。
  • 启用集中式日志审计(如Syslog-ng或Wazuh),并将日志存储至独立、不可变存储,防止被攻击者清除。
#工控安全#数据篡改#供应链攻击
数据安全早知道 · 攻防实战专栏
⚠️ 免责声明
本文内容源自公开披露的安全事件或高仿真模拟场景,所有涉及的组织、系统、技术细节均经过脱敏处理,仅供安全学习与交流参考,不构成任何技术指导或合规建议。
数安早知道
🔗 数据安全与信息安全知识库 datasafe.website
— 点击上方链接访问知识库,获取更多安全资讯 —