场景:某中型金融机构,2026年Q2,SOC平台监测到针对内部OA系统的异常DNS查询,触发深度威胁狩猎。
攻击 / 事件时间线
初始访问
攻击者利用已公开的 Gogs远程代码执行漏洞(CVE-2026-52813),对目标内网中未打补丁的Gogs服务发起攻击。通过精心构造的HTTP请求,成功在服务器上执行了PowerShell命令,下载并执行了定制的后门程序,建立起第一个据点。
CVE-2026-52813 EXPPowerShell
持久化与C2建立
后门程序植入后,立即通过 DNS-over-HTTPS(DoH) 协议与外部C2服务器通信,规避传统基于端口和协议的检测。攻击者使用 dnscat2 工具,将命令和窃取的数据编码在TXT记录查询中,实现隐蔽隧道通信。
dnscat2DoH
横向移动
利用C2通道下发 Mimikatz,从Gogs服务器内存中抓取域管理员凭据。随后,使用PsExec通过计划任务在多个域内服务器上部署 Cobalt Strike Beacon,横向移动到核心数据库服务器和文件服务器。
MimikatzCobalt StrikePsExec
数据窃取
在数据库服务器上,攻击者使用 sqlcmd 工具批量导出客户信息数据,并通过 dnscat2 将数据分片后,以DNS TXT记录形式外传。整个过程持续约6小时,共计外传约2GB数据。
sqlcmddnscat2
蓝队视角 · 发现与处置
SOC值班人员发现针对 xxx.xxx.xxx.xxx 的异常DNS查询,目标域名(如 *.malicious.doma.in)不符合正常业务模式。通过 Sysmon 日志关联,溯源到Gogs服务器进程发起的异常DNS请求。安全团队立即:1)封禁该域名及关联IP;2)对Gogs服务器进行内存取证,提取Mimikatz和Cobalt Strike样本;3)通过 YARA规则 在全网扫描同类后门,发现另外3台失陷主机;4)启动应急响应流程,隔离受影响主机并重置所有域管理员凭据。
涉及关键技术 / 工具
DNS隧道检测 (dnscat2/DoH)内存取证与凭据提取 (Mimikatz)基于Sysmon的进程-网络关联分析
防护经验总结
- 对互联网暴露的Git服务(如Gogs、GitLab)建立严格的补丁管理策略,确保CVE-2026-52813等关键漏洞在24小时内修复。
- 在DNS服务器上启用对异常TXT记录查询的检测和告警,限制非业务域名解析,并部署DNS安全扩展(DNSSEC)或威胁情报源。
- 对域环境实施最小权限原则,限制服务账户的域管理员权限,并启用Windows事件日志中的账户登录和特权使用审计,以便快速发现凭据窃取行为。
#DNS隧道#Cobalt Strike#威胁狩猎#金融行业