场景:2026年6月,某中型汽车零部件制造企业。周末凌晨,核心生产管理系统(MES)突然瘫痪,所有文件被加密为.locked后缀,桌面弹出LockBit 3.0变种勒索信,要求72小时内支付40比特币。
攻击 / 事件时间线
初始入侵
攻击者利用Gogs远程代码执行漏洞(CVE-2026-52813)扫描互联网暴露的Gogs服务器,发现该企业未及时更新的Gogs实例。通过漏洞利用获取WebShell权限,写入冰蝎马,成功接管Gogs服务器。随后使用net user命令收集域信息,发现存在域管理员账户与普通账户弱口令复用问题。
CVE-2026-52813 ExploitBehinder(冰蝎)Gogs
权限维持与横向移动
攻击者从Gogs服务器横向移动到域控制器,使用Mimikatz抓取域管理员NTLM哈希。利用哈希传递(PtH)攻击,登录到文件服务器、SQL Server和备份服务器。在此过程中部署了Cobalt Strike Beacon作为持久化C2通道,并关闭了Windows Defender实时保护。攻击者在SQL Server中创建了具有sysadmin权限的隐藏账户,为后续勒索做准备。
MimikatzCobalt StrikePsExec
勒索部署与加密
攻击者通过域控制器下发组策略,在所有关键服务器和终端上执行勒索载荷。使用vssadmin delete shadows /all /quiet命令删除卷影副本,阻止文件恢复。随后运行LockBit 3.0变种,对MES数据库、PLM系统文件、财务数据等核心资产进行AES-256加密,并在每个目录留下README.hta勒索信。整个加密过程仅持续47分钟。
LockBit 3.0变种vssadminGroup Policy
蓝队视角 · 发现与处置
周一早8点,生产车间报告MES无法登录,IT部门发现文件服务器异常。安全团队立即启动应急响应:1)隔离被感染的服务器网段,切断与生产环境的网络连接;2)通过Sysmon日志追溯攻击路径,发现Gogs服务器的异常进程和出站连接;3)利用YARA规则扫描全网,定位尚未清除的Beacon;4)从备份服务器(幸运的是,备份系统使用了独立存储网络,未被完全加密)启动数据恢复流程。同时联系公安机关网安部门取证,并评估是否支付赎金(最终未支付,依靠备份恢复90%数据)。
涉及关键技术 / 工具
CVE-2026-52813漏洞利用Mimikatz哈希传递攻击Sysmon日志溯源分析YARA规则检测Cobalt Strike
防护经验总结
- 立即修补所有互联网暴露的Gogs、Joomla等服务,建立自动化漏洞扫描与补丁管理流程,对外服务必须通过堡垒机或VPN访问。
- 实施最小权限原则:域管理员账户仅用于管理域控制器,严禁复用密码;部署LAPS管理本地管理员密码,并启用Windows Defender Credential Guard防止凭证窃取。
- 建立3-2-1备份策略:至少3份备份、2种不同介质、1份异地离线备份。备份系统必须独立于生产网络,并定期演练恢复流程,确保RTO/RPO达标。
#勒索软件#LockBit#Gogs漏洞#应急响应#制造业#数据恢复