场景:2026年5月HVV期间,某省政务云平台。攻击队利用新曝光的FreeBSD dhclient漏洞结合钓鱼邮件,撕开云主机防线,试图横向移动至核心数据库。
攻击 / 事件时间线
初始访问:钓鱼邮件 + 0day触发
攻击队向政务云运维人员发送伪装成《智能体规范应用与创新发展实施意见》政策解读的钓鱼邮件,附件为含恶意宏的Word文档。文档被打开后,宏下载并执行Cobalt Strike Beacon。同时,攻击队利用CVE-2026-42511(FreeBSD dhclient远程命令执行)对云内DHCP服务器发起扫描,成功在部分未打补丁的云主机上执行远程命令,落地后门。
Cobalt StrikeCVE-2026-42511 exploit
权限提升与凭证窃取
Beacon上线后,攻击队利用Mimikatz在域控服务器上抓取明文凭证,发现管理员账户密码复用严重。同时,利用系统漏洞(如CVE-2026-XXXX本地提权)将普通域用户提权至域管理员。使用Procdump转储lsass.exe进程,离线分析获取更多高权限账号Hash。
MimikatzProcdump
横向移动:云内渗透与数据定位
利用获取的域管理员凭证,通过PsExec和WMI进行横向移动,批量登录云主机。发现目标:承载“商用密码应用安全性监管平台”数据的PostgreSQL数据库。攻击队使用Navicat Premium连接数据库,通过弱口令进入,并尝试导出核心业务表数据。数据量约2.8亿条,涉及企业密码应用备案信息。
PsExecNavicat PremiumPostgreSQL
防守方发现:异常流量与日志告警
蓝队SOC的流量分析设备(NTA)检测到云内主机与外部可疑IP(C2服务器)的异常加密通信,告警级别为“高”。同时,Sysmon日志捕获到来自非运维人员IP的PsExec远程服务创建事件(Event ID 13),以及非工作时间大量数据导出到本地PC的异常行为。
NTASysmon
蓝队视角 · 发现与处置
蓝队立即启动应急响应。首先,根据NTA告警和Sysmon日志,确认C2地址和失陷主机IP。通过EDR对失陷主机执行“断网隔离”,并提取内存镜像。使用YARA规则扫描,确认Cobalt Strike Beacon。研判攻击链后,在核心数据库前部署虚拟补丁(WAF规则),阻断所有非白名单IP的数据库访问。同时,修改所有域管理员密码,并强制全员进行MFA绑定。最终,在攻击队导出数据前成功阻断,未造成数据泄露。
涉及关键技术 / 工具
CVE-2026-42511 0day利用Mimikatz凭证窃取与横向移动Sysmon日志分析与YARA规则检测
防护经验总结
- 1. 立即修复所有FreeBSD系统的dhclient漏洞,关闭不必要的DHCP服务端口。
- 2. 部署应用白名单机制(如AppLocker),禁止非授权程序(如Procdump、PsExec)在服务器上运行。
- 3. 数据库实施“零信任”访问策略,仅允许特定堡垒机IP通过,并开启全量审计日志,对异常导出行为实时告警。
#HVV#0day#Cobalt Strike#Mimikatz#政务云