场景:某股份制银行在2026年HVV演练中,SOC监测到核心域控服务器出现异常LDAP查询。防守方通过Sysmon日志与Zeek流量分析,还原了一条从钓鱼邮件到数据外泄的完整攻击链。
攻击 / 事件时间线
初始访问
攻击者通过伪装成“季度绩效公告”的鱼叉邮件,诱使一名财务部员工点击附件。附件为带有恶意宏的Excel文档,启用宏后从C2服务器evil-update[.]com下载了经过混淆的PowerShell载荷。该载荷利用Certutil进行Base64解码,落地了一个定制化的AsyncRAT变种,建立加密C2通道,规避了传统流量检测。
AsyncRATCertutilExcel宏病毒
横向移动
AsyncRAT上线后,攻击者通过SharpHound收集AD域环境信息,发现目标域控存在未修补的Zerologon (CVE-2020-1472)漏洞。利用公开PoC脚本ZerologonExploit,攻击者在5秒内将域控机器账户密码置空,随后通过Mimikatz的DCSync功能导出所有域管理员哈希。整个过程仅产生少量异常Netlogon事件,被淹没在海量日志中。
SharpHoundZerologonExploitMimikatz
数据窃取
获得域控权限后,攻击者创建了隐蔽的域管理员账号adm_svcbackup,并利用该账号通过wmic远程连接到备份服务器,将包含客户信息的数据库备份文件(约800MB)分片压缩。最后使用Mega.nz的官方客户端,通过HTTPS协议将数据上传至云端,企图利用白名单流量混淆外联行为。
wmicMega.nz客户端7-Zip
蓝队视角 · 发现与处置
防守方在攻击后第2天通过日志关联分析发现异常:1)SOC告警系统捕获到域控服务器在非业务时间(凌晨3:00)向一个外部IP发起了大量HTTPS连接,目标域名Mega.nz被标记为“高风险云存储”;2)安全分析师通过KQL查询关联了Sysmon EventID 3(网络连接)和EventID 1(进程创建),锁定父进程wmiprvse.exe异常调用7z.exe和megacmd.exe;3)回溯Zeek日志,发现该域控在攻击当天存在异常的Zerologon漏洞利用流量(Netlogon NTLM认证失败次数激增),最终定位失陷主机。处置:立即隔离域控,重置krbtgt账号密码,并全网扫描同类型后门。
涉及关键技术 / 工具
Sysmon日志分析KQL关联查询Zerologon漏洞检测
防护经验总结
- 启用Sysmon日志并配置EventID 3和EventID 1的关联告警,对异常父子进程链(如wmic调用压缩工具)进行实时监控。
- 在域控上部署网络流量检测设备,对Netlogon协议进行深度包检测,设置同一源IP短时间内NTLM认证失败阈值告警。
- 严格限制域名控对公网云存储服务(如Mega、Dropbox)的出站访问,仅在必要业务场景下通过代理或白名单方式开放。
#HVV#域控沦陷#Zerologon#日志溯源#红蓝对抗