场景:2026年5月17日凌晨,某三甲医院核心HIS系统遭入侵。攻击者利用Weblogic反序列化漏洞,绕过WAF,最终从备份服务器窃取超过200万条患者敏感数据。
攻击 / 事件时间线
初始访问
攻击者通过Shodan扫描发现医院公网暴露的Weblogic管理控制台,利用CVE-2024-20931反序列化漏洞,发送精心构造的T3协议数据包,成功在服务器上执行远程代码,植入内存马。
绕过WAF:攻击者使用Base64+URL双重编码的Payload,并利用Weblogic的默认编码特性,成功绕过基于正则匹配的WAF规则。
ShodanWeblogic CVE-2024-20931Cobalt Strike
提权
攻击者利用Cobalt Strike的Beacon获取Weblogic服务器低权限Shell后,上传烂土豆(Rotten Potato)进行本地提权。通过窃取系统进程的令牌,成功获取SYSTEM权限,为后续横向移动扫清障碍。
持久化:在获取SYSTEM权限后,攻击者创建了名为'SysHelper'的隐藏管理员账户,并修改注册表Run键值,通过'mshta.exe'从远程服务器拉取恶意脚本,实现系统重启后的自动回连。
Cobalt StrikeRotten Potatomshta.exe
横向移动
以SYSTEM身份,攻击者利用Mimikatz从LSASS进程中dump出域管理员哈希,并发现SQL Server服务账户存在大量数据库连接字符串。
利用Pass-the-Hash攻击,攻击者成功登录到内网备份服务器,并发现该服务器与核心HIS数据库存在无密码信任关系。随后,攻击者利用SQL Server xp_cmdshell扩展存储过程,执行系统命令,将整个'HIS_Patient'数据库备份文件压缩并转移至自己的C2服务器。
MimikatzPass-the-Hashxp_cmdshell
数据窃取
攻击者使用自定义的Python脚本,通过SQL Server的bcp工具将'HIS_Patient'数据库中包含姓名、身份证号、诊断记录等敏感信息的200万条记录分批导出为CSV文件。
为避免引起注意,攻击者将文件分割成不超过100MB的小块,并通过HTTPS协议加密传输至境外的C2服务器。整个数据窃取过程持续了约4小时,总数据量达15GB。
PythonbcpHTTPS
蓝队视角 · 发现与处置
次日凌晨2点,SOC值班人员通过流量审计平台发现从备份服务器到境外IP的异常大数据传输流量,流量特征符合base64编码后的CSV文件。
同时,EDR系统报告备份服务器上出现异常的Python进程和bcp调用行为。蓝队立即对涉事服务器进行网络隔离,并提取内存镜像和日志进行取证。通过分析Sysmon日志,蓝队追溯到了攻击链条:从Weblogic漏洞利用的HTTP请求,到Mimikatz的进程创建事件,再到横向移动的RDP登录日志,完整还原了攻击路径。处置措施:下线Weblogic服务器、重置所有域账户密码、对备份服务器进行全盘扫描并清除后门。
涉及关键技术 / 工具
Weblogic反序列化漏洞利用与WAF绕过Rotten Potato本地提权Mimikatz凭证窃取与Pass-the-Hash横向移动Sysmon日志与EDR协同溯源
防护经验总结
- 1. 收敛互联网暴露面:立即下线或通过VPN加固所有公网Weblogic控制台,并对历史漏洞进行全面排查和修补。
- 2. 实施最小权限原则:数据库服务账户不应具备xp_cmdshell等高危权限,同时所有服务器间的信任关系必须严格基于证书或Kerberos,杜绝无密码信任。
- 3. 强化数据泄露检测:部署DLP或UEBA系统,对数据库批量导出操作(如bcp、mysqldump)和异常大数据外传行为建立基线告警,并联动EDR自动隔离受感染主机。
#医疗数据泄露#SQL注入#Weblogic#横向移动#Mimikatz#SOC