场景:2026年5月,某省级城商行核心内网遭APT组织定向攻击。攻击者以鱼叉邮件携带CVE-2026-29205漏洞利用载荷,突破互联网边界,72小时内完成从域控沦陷到金融数据窃取的全过程。
攻击 / 事件时间线
初始访问
攻击者利用伪造的‘金融监管总局融资对接通知’作为邮件主题,向银行5名中层管理人员发送带附件的鱼叉邮件。附件为精心构造的PDF,内含针对cPanel WHM的CVE-2026-29205任意文件读取漏洞利用代码。一名财务部经理在未启用宏安全提示的情况下点击附件,触发漏洞,攻击者成功读取其终端上的 /etc/shadow 及内部OA系统凭据文件。
CVE-2026-29205 漏洞利用脚本鱼叉邮件模板
权限维持与侦察
攻击者通过导出的凭据,利用RDP横向移动到一台对外开发的DMZ区Web服务器,上传经过混淆的Cobalt Strike Beacon。通过Beacon执行 whoami 和 net group "Domain Admins" /domain 侦察,发现当前权限仅为IIS_IUSRS。随后利用PrintNightmare(CVE-2021-34527)本地提权漏洞,成功获取SYSTEM权限,并抓取到域管理员哈希。
Cobalt StrikeMimikatzPrintNightmare漏洞利用
横向渗透与数据定位
利用窃取的域管理员哈希,攻击者通过PsExec将Beacon批量投递至核心交易数据库、信贷审批系统及文件服务器。在数据库服务器上,使用 sqlcmd 查询所有数据库列表,发现名为 FinReg_Compliance 的数据库,该库存储了小微企业融资授信原始数据。攻击者将数据通过压缩工具 7z 加密打包,分批传输至境外C2服务器。
PsExecsqlcmd7z
蓝队视角 · 发现与处置
攻击发生48小时后,银行SOC通过流量分析平台发现DMZ区服务器对外存在异常频繁的DNS TXT查询(Cobalt Strike的DoH隧道特征)。结合EDR告警,确认该主机存在未知进程运行。安全分析师通过Sysmon日志追溯,发现攻击链起始于财务经理的邮件附件点击行为。立即对受害终端断网隔离,提取样本进行YARA规则匹配,确认为Cobalt Strike变种。同时封禁C2 IP,并对所有域控进行哈希强制重置。
涉及关键技术 / 工具
Cobalt Strike DoH隧道通信Mimikatz哈希抓取与Pass-the-Hash基于Sysmon日志的攻击链溯源
防护经验总结
- 1. 启用邮件网关的高级威胁防护,对含有金融监管、融资等关键词的附件执行沙箱检测。
- 2. 对所有互联网暴露的Web服务器强制实施AppLocker或WDAC策略,仅允许运行签名二进制。
- 3. 部署EDR并配置实时监控规则,针对域内异常PsExec横向移动及LSASS进程内存访问行为触发即时告警。
#APT攻击#金融安全#Cobalt Strike#横向渗透#数据泄露