场景:2026年4月,某地方铁路局调度中心SOC监测到异常,ATP系统告警风暴,多趟列车触发紧急制动刹停。经研判,确认是针对性OT网络攻击。
攻击 / 事件时间线
初始访问
攻击者利用某铁路信息化系统供应商VPN设备CVE-2025-1245远程代码执行漏洞,绕过双因子认证,成功进入管理区。该VPN设备因运维便利未及时打补丁,且日志审计未启用。
CVE-2025-1245 ExploitMasscan
横向移动与渗透
从管理区通过WMI和PsExec向IT-OT边界渗透,发现一套未隔离的列车自动防护(ATP)系统管理终端。利用弱口令Admin/Admin@2025登录该终端,并上传定制化恶意脚本,篡改列车控制指令生成逻辑。
MimikatzCobalt Strike自定义Python脚本
攻击触发与后果
恶意脚本在ATP系统内循环发送无效速度码与紧急制动指令,导致当日运营时段内,7列在线运行列车同时触发紧急制动,造成线路瘫痪。攻击者同时清除了ATP系统管理终端的部分日志以掩盖痕迹。
自定义Python脚本EvtxeCmd
蓝队视角 · 发现与处置
SOC在ATP系统告警风暴出现后4分钟内启动应急响应。通过关联分析防火墙日志与IDS告警,锁定VPN异常外联IP。启用Air Gap机制,物理断开受影响ATP系统与外部网络连接。同时,调用YARA规则扫描ATP终端,检出恶意脚本。在30分钟内通过备用调度系统恢复列车运行,并保留恶意脚本样本用于取证。
涉及关键技术 / 工具
OT/IT边界横向移动WMI & PsExec滥用ATP系统指令篡改YARA规则定制扫描
防护经验总结
- 对VPN等边界设备实施严格的CVE补丁管理,并强制启用日志审计与双因子认证,禁用默认管理账号。
- 建立IT与OT网络的物理或强逻辑隔离,对ATP等核心OT系统实施最小权限访问,禁止使用域账号直连。
- 部署针对OT协议(如MVB、Profibus)的异常检测引擎,对列车控制指令进行实时合法性校验与告警。
#OT安全#高铁攻击#紧急制动#CVE-2025-1245#横向移动