场景:2026年5月,某城商行在HVV期间遭遇红队定向攻击。攻击者以钓鱼邮件突破外围,72小时内从办公网横向渗透至核心交易数据库,触发数据防泄漏告警。
攻击 / 事件时间线
初始访问
红队通过鱼叉式钓鱼邮件,伪装成"银保监会年度合规检查通知",诱导一名财务部员工点击恶意宏。宏代码执行后,通过powershell -enc加载远程Cobalt Strike Beacon,实现初步控制,规避了EDR初始检测。
Cobalt StrikePhishing KitPowerShell
提权与持久化
在受控主机上,红队使用JuicyPotato利用本地服务漏洞将Beacon从普通域用户提升至SYSTEM权限。随后通过计划任务注册后门,并利用Mimikatz抓取域管理员凭据,完成横向移动准备。
JuicyPotatoMimikatz计划任务
横向移动
红队利用窃取的域管理员凭据,通过PsExec和WMI批量部署Beacon至多台文件服务器和数据库前置机。在扫描内网后,发现核心交易区未启用网络隔离策略,直接远程桌面登录数据库服务器。
PsExecWMIRDP
数据窃取
红队在数据库服务器上运行sqlcmd脚本导出客户交易明细表(约200万条),并压缩分片后通过BITSAdmin和HTTPS协议分批次外传至境外VPS,全程伪装成正常业务流量。
sqlcmdBITSAdmin7-Zip
蓝队视角 · 发现与处置
蓝队SOC通过流量分析平台发现异常外连IP(未备案境外段),且流量特征匹配BITSAdmin行为。经关联Sysmon日志中Event ID 3(网络连接)和Event ID 1(进程创建),锁定受控主机。立即封禁IP、隔离主机并下线域管理员账号。后续通过内存取证确认Beacon载荷及横向移动路径。
涉及关键技术 / 工具
Cobalt Strike BeaconMimikatz凭据抓取BITSAdmin隐蔽传输Sysmon日志关联分析
防护经验总结
- 1. 实施严格的网络微分段,核心数据库区与办公网之间必须通过堡垒机+白名单访问,禁止直接RDP。
- 2. 部署针对BITSAdmin、PowerShell等系统工具的非预期调用告警规则,结合UEBA识别异常流量。
- 3. 定期轮换高权限凭据,并启用LAPS(本地管理员密码解决方案)防止凭据被批量窃取。
#红蓝对抗#横向移动#金融安全#数据泄露#HVV