场景:某大型电商企业(刚因数据泄露被罚28亿)安全团队于2026年6月12日深夜,通过内部DNS日志分析,发现一条指向陌生域名的异常请求,随即启动威胁狩猎。
攻击 / 事件时间线
潜伏与初始访问
攻击者利用社工邮件,伪装成“国家网信办《个人信息保护报告》附件”,诱导某运维人员点击。宏代码执行后,释放经过混淆的PowerShell脚本,该脚本通过Invoke-Expression下载并执行Cobalt Strike Beacon,进程树为winword.exe → powershell.exe → rundll32.exe,成功绕过应用白名单。
Cobalt StrikePowerShell社工邮件
持久化与C2通信
Beacon通过DNS TXT记录隧道传输数据,请求域名为update.microsoft-cdn[.]com(仿冒微软CDN)。每60秒发起一次低频率请求,数据包大小控制在64字节以内,完全规避了传统基于流量阈值的检测规则。同时,攻击者利用SharpSocks建立SOCKS代理,将内网流量伪装成正常HTTPS。
DNS隧道SharpSocksCobalt Strike
提权与横向移动
攻击者利用域控服务器未修复的Zerologon漏洞(CVE-2020-1472),将域控计算机账户密码置空,并通过Mimikatz的DCsync功能导出所有域用户哈希。随后,使用PsExec横向移动到数据库服务器,创建计划任务维持访问。
MimikatzPsExecZerologon
数据窃取
攻击者通过RClone将数据库备份文件压缩后,分段上传至阿里云OSS的海外地域Bucket。文件命名伪装为“2026-06-13_系统日志.7z”,并在上传完成后自动删除源文件及事件日志,清理痕迹。
RClone阿里云OSS
蓝队视角 · 发现与处置
蓝队通过部署的Zeek DNS日志分析平台,发现update.microsoft-cdn[.]com在凌晨3:00-5:00的请求频率异常(非标准微软CDN的TTL行为)。关联威胁情报后确认该域名为新注册,且未通过WHOIS认证。立即在边界防火墙上阻断该域名,并隔离涉事终端。通过内存取证(Volatility)提取Beacon配置,反向定位到C2服务器IP(位于巴西),联合执法机构关停。
涉及关键技术 / 工具
DNS隧道检测Zeek日志分析Volatility内存取证威胁情报关联
防护经验总结
- 启用DNS日志全量记录,并部署基于机器学习的异常DNS请求检测模型(如检测低频率、固定间隔的TXT查询)
- 限制域控的出站访问,对域控实施严格的GPO策略,禁止域控服务器主动发起任何外部DNS请求
- 对社工邮件攻击,强制启用“仅查看”模式打开来自外部域的Office文档,并禁用宏自动执行
#DNS隧道#Cobalt Strike#威胁狩猎#数据泄露