场景:某大型水务关基机构,因数据泄露被罚近千万元。攻击者通过钓鱼邮件突破边界,在内网潜伏近两年,最终窃取大量敏感数据。
攻击 / 事件时间线
初始访问
攻击者以水务行业会议邀请函为诱饵,向多名高管发送鱼叉邮件。邮件附件为携带宏病毒的恶意Word文档。一名财务总监在启用宏后,Emotet木马被植入,建立C2连接。
鱼叉邮件恶意宏Emotet
内网立足与持久化
Emotet下载Cobalt Strike Beacon,攻击者利用PowerShell Empire建立持久化计划任务。通过BloodHound分析AD环境,发现域控存在MS17-010漏洞。
Cobalt StrikeBloodHoundMS17-010
横向移动与提权
利用MS17-010攻陷域控后,导出ntds.dit文件,获取域管理员权限。使用Mimikatz抓取域管理员的明文凭据,横向扩散至SCADA服务器和数据库服务器。
Mimikatzntds.dit域控提权
数据窃取
攻击者发现未开启审计的SMB共享,利用Rclone工具将数据库备份文件、客户隐私数据(超千万份)以及SCADA系统配置文件分批上传至Mega云盘。整个窃取过程持续数月,单次传输量控制在50GB以内以规避流量告警。
RcloneMega云盘SMB共享
告警触发与溯源
安全团队通过Sysmon日志发现异常的计划任务创建和ntds.dit文件访问告警。结合Zeek流量日志,溯源到异常外联Mega云盘的IP。通过YARA规则扫描历史流量,确认Emotet木马感染时间点。
SysmonZeekYARA
蓝队视角 · 发现与处置
SOC团队在发现ntds.dit异常访问后,立即隔离涉事域控和服务器。通过回溯Sysmon日志,锁定初始感染点为财务总监的终端。利用Volatility内存取证分析Cobalt Strike Beacon配置,提取C2域名。联合执法部门,对已外泄数据范围进行初步评估,并通报监管机构。
涉及关键技术 / 工具
鱼叉邮件+宏病毒初始入侵BloodHound+MS17-010横向渗透Rclone+Mega云盘数据外传
防护经验总结
- 严格限制SMB共享访问权限,对敏感共享启用审计日志,并配置针对Rclone等工具的外联告警规则。
- 部署邮件沙箱和宏白名单机制,对含有宏的文档执行动态分析,拦截Emotet等恶意宏附件。
- 对域控和关键服务器实施LAPS(本地管理员密码解决方案),并定期进行AD安全基线审计,扫描并修复MS17-010等历史漏洞。
#数据泄露#APT#勒索软件#水务#关基