场景:某知名券商香港公司发生数据泄露,攻击者通过入侵其第三方供应商系统,横向渗透至券商内部,窃取客户数据后用于诈骗。事件被发现时,已有客户收到钓鱼邮件。
攻击 / 事件时间线
初始访问
攻击者利用供应商未修复的 Apache Log4j 远程代码执行漏洞(CVE-2021-44228)攻入其邮件服务器。该供应商为券商提供邮件归档服务,未部署 WAF 且未对 Log4j 进行升级。攻击者通过反弹 Shell 获取了服务器 root 权限,并植入 Cobalt Strike Beacon 进行持久化控制。
CVE-2021-44228Cobalt Strike
横向移动
攻击者在供应商内部网络中发现与券商 VPN 连接的专用通道。通过提取 VPN 配置文件中的预共享密钥(PSK),成功接入券商内网。随后利用 BloodHound 分析 Active Directory 域环境,发现一名域管理员账号密码为弱口令(Password@123),直接通过 PsExec 横向移动到域控制器。
BloodHoundPsExec
数据窃取
在域控制器上,攻击者使用 Mimikatz 抓取 krbtgt 哈希,生成黄金票据,从而访问所有域资源。随后定位到文件服务器上的客户数据库(SQL Server),导出包含姓名、身份证号、交易记录的客户信息表(约300万条),通过 FTP 上传至海外 VPS。
MimikatzSQL ServerFTP
告警触发
券商 SOC 系统于凌晨3:15触发告警:EDR 检测到域控制器上异常的 LSASS 进程访问(Mimikatz 活动),同时防火墙日志显示大量出站流量至一个未知海外 IP。SOC 分析师手动确认后立即启动应急响应。
EDR防火墙日志
蓝队视角 · 发现与处置
SOC 团队在收到告警后,立即隔离域控制器并切断出站流量。通过分析 EDR 日志,确认 Mimikatz 使用痕迹,并定位到攻击源 IP 来自供应商 VPN 通道。与供应商同步排查,发现其邮件服务器已被植入后门。安全团队封禁所有相关 IP,重置所有域账号密码,并联系执法机构。同时启动客户通知机制,提醒防范钓鱼诈骗。
涉及关键技术 / 工具
CVE-2021-44228 远程代码执行Cobalt Strike Beacon 持久化Mimikatz 黄金票据攻击
防护经验总结
- 对第三方供应商进行安全评估,要求其落实漏洞修补(如 Log4j)并部署 WAF,限制 VPN 通道仅允许必要端口和协议。
- 在 Active Directory 中实施强密码策略和账户锁定策略,定期使用 BloodHound 自查错误配置,禁用弱口令。
- 在 EDR 中配置针对 LSASS 进程异常访问的告警规则,并建立自动隔离流程,缩短响应时间。
#数据泄露#供应链攻击#Cobalt Strike#Mimikatz#Log4j