场景:2026年5月,某国际邮轮集团在HVV演练中成为攻击目标。红队利用钓鱼邮件突破外网边界,在15分钟内完成内网横向移动,最终窃取包含中国用户信息的核心数据库。
攻击 / 事件时间线
初始访问
红队以“邮轮VIP会员优惠”为诱饵,伪造集团官方域名向员工发送钓鱼邮件。邮件携带CVE-2026-48207 Apache PyFory反序列化漏洞利用脚本。一名财务人员点击后,攻击者通过漏洞绕过反序列化策略,在员工终端植入Cobalt Strike Beacon。
Cobalt StrikeCVE-2026-48207
权限维持与提权
Beacon上线后,红队使用Mimikatz抓取本地管理员凭据,并通过Token Manipulation窃取域用户令牌。利用Linux Kernel CIFSwitch本地提权漏洞(CVE-2026-XXXX),从普通域用户提权至域管理员,拿下域控服务器权限。
MimikatzCVE-2026-XXXX
横向移动与数据窃取
红队通过域控下发组策略,在1200台终端同步部署后门。使用PsExec远程执行命令,横向扩散至数据库集群。在DMZ区的MySQL服务器上执行SELECT INTO OUTFILE导出包含中国用户姓名、护照号、信用卡尾号的600万条记录,压缩后通过DNS隧道外传。
PsExecDNS隧道
蓝队视角 · 发现与处置
SOC通过Sysmon日志发现异常进程创建(rundll32.exe调用非标准DLL)触发告警。研判发现Cobalt Strike Beacon与C2通信流量特征(JA3指纹异样),结合Windows Event ID 4624(异常登录)和4688(计划任务创建)确认横向移动。蓝队立即切断受感染交换机端口,通过YARA规则在终端检出Mimikatz释放物,并启动EDR隔离受控主机。最终在15分钟内阻断数据外传通道,溯源至钓鱼邮件源头。
涉及关键技术 / 工具
Mimikatz凭据窃取Cobalt Strike EDR绕过DNS隧道数据外传
防护经验总结
- 在邮件网关部署沙箱,检测并拦截携带PyFory反序列化载荷的压缩附件。
- 在域环境启用LAPS(本地管理员密码解决方案),避免通用本地管理员凭据被Mimikatz抓取。
- 在数据库服务器配置白名单策略,限制SELECT INTO OUTFILE仅允许写入指定目录,并启用FTP/SFTP审计日志。
#红蓝对抗#横向移动#数据泄露