场景:某大型企业集团安全运营中心(SOC)于周一晨间接到漏洞通报,指出其华东分公司多个对外系统存在Apache Calcite Avatica远程代码执行漏洞(CVE-2022-36364),疑似已遭利用,需立即启动应急响应与排查。
攻击 / 事件时间线
告警触发与情报确认
上午9:00,SOC值班人员收到集团漏洞管理平台推送的紧急工单,通报内容包含华东分公司IP段中三个外网系统(CRM、项目管理系统、文件共享服务器)存在高危漏洞。安全分析师立即调取这些IP近30天的流量日志和WAF告警记录,同时复现CVE-2022-36364(Apache Calcite Avatica JDBC驱动反序列化漏洞)利用条件。确认漏洞位于Avatica HTTP端点,攻击者可通过构造特制JDBC URL触发远程代码执行。
漏洞管理平台WAF日志Burp SuiteNmap
攻击痕迹排查
SOC团队兵分三路:第一组通过EDR对三台服务器执行全盘扫描,检测Webshell;第二组分析近30天网络流量,寻找异常JDBC连接或执行命令的回连行为;第三组直接登录服务器检查进程、计划任务和日志文件。在CRM服务器上,发现/opt/avatica/logs/目录下存在异常日志文件avatica_20260531.log,内容包含base64编码的Payload。解码后确认为下载并执行远程恶意脚本的命令。同时,EDR检出/tmp/.update.sh为恶意文件,该脚本会反向连接至境外IP 45.xx.xx.xx:4444。
EDR(如CrowdStrike)SIEMYARA规则tcpdump
横向移动与内网渗透确认
确认初始入侵后,SOC立即进行内网横向移动排查。分析发现,攻击者利用已控的CRM服务器作为跳板,通过SMB爆破和PsExec尝试内网横向移动。日志显示曾尝试访问财务网段的文件服务器(IP:10.88.12.50)和域控服务器(10.88.0.10)。虽然爆破失败(因账户锁定策略触发告警),但攻击者成功窃取了CRM服务器本地存储的域用户凭据(通过Mimikatz dump),并利用该凭据访问了多台内部GitLab服务器,下载了部分源码仓库。
MimikatzPsExecWindows Event Log (ID 4625, 4624)SMB日志
应急阻断与取证
下午14:00,确认攻击者已建立持久化(计划任务每30分钟回连C2)并窃取源码后,SOC启动应急预案:①立即隔离三台受影响服务器,切断所有网络连接;②在边界防火墙上封锁攻击者C2 IP(45.xx.xx.xx);③重置所有被窃凭据关联的域账户密码;④通知分公司IT团队对所有内网GitLab服务器进行代码审计,查找后门植入。同时,安全团队对受感染服务器进行内存取证,提取完整攻击样本。
Firewall ACLAD管理工具VolatilityFTK Imager
蓝队视角 · 发现与处置
SOC的发现过程始于被动接收外部通报,这暴露了漏洞扫描周期与情报同步的短板。在处置中,蓝队通过SIEM关联规则(源IP境外+执行命令+新计划任务)快速定位到受感染主机。关键转折点在于EDR检出恶意脚本,以及通过Windows Event Log中大量的4625(登录失败)和7045(服务创建)事件,还原了横向移动路径。最终,凭借Mimikatz使用痕迹和计划任务日志,完整还原了攻击链条。本次处置耗时5小时,成功阻止了攻击向域控和核心数据区的渗透。
涉及关键技术 / 工具
CVE-2022-36364 (Apache Calcite Avatica RCE)Mimikatz凭据窃取与横向移动基于Windows Event Log的攻击链还原
防护经验总结
- 缩短漏洞修复SLA:对于外网系统的高危漏洞,应将修复时间压缩至24小时内,并启用虚拟补丁(如WAF规则)作为临时缓解措施,不能依赖月度扫描。
- 加强边缘系统账户权限管控:严格限制对外服务系统(如CRM)的域账户权限,禁止其存储本地凭据,并启用LSA保护(RunAsPPL)防止Mimikatz直接抓取。
- 建立对外通报的自动化响应机制:将漏洞通报平台与SOAR联动,当收到高危漏洞通报时,自动触发对相关资产的流量分析和EDR扫描,缩短从通报到发现的时间窗口。
#应急响应#CVE-2022-36364#横向移动#Mimikatz#SOC