场景:2026年6月,某三甲医院信息系统遭攻击,攻击者通过Web应用漏洞突破边界,最终窃取百万级患者数据,客户触发应急响应。
攻击 / 事件时间线
初始访问
攻击者使用自动化扫描工具(如sqlmap)探测医院对外服务的预约挂号系统,发现URL参数patient_id存在闭合型SQL注入漏洞。通过联合查询获取数据库表名、字段名,并绕过WAF的简单关键字过滤。
sqlmapBurp Suite
提权与横向移动
从Web应用数据库(MySQL)中读取mysql.user表,获取应用账号的弱口令哈希,破解后得到数据库管理员权限。利用xp_cmdshell(基于MSSQL数据库)执行系统命令,反弹Shell至外网C2服务器,并部署Mimikatz抓取域管理员凭据。
MimikatzCobalt StrikeMetasploit
数据窃取
攻击者利用域管理员凭据登录至HIS(医院信息系统)核心数据库服务器,通过RDP建立远程会话。使用bcp命令和PowerShell脚本将患者敏感数据(姓名、身份证号、病历)分批压缩并分块外传至海外VPS。过程中删除数据库日志以掩盖痕迹。
PowerShell7-Zip自定义脚本
蓝队视角 · 发现与处置
SOC值班人员在凌晨2:15收到数据库服务器CPU异常告警,结合Sysmon日志发现Event ID 1(进程创建)中出现非标准的PowerShell执行参数(-EncodedCommand),研判为后门进程。立即将服务器隔离,并提取内存和磁盘镜像。通过YARA规则扫描,发现Cobalt Strike的Beacon载荷特征。溯源发现攻击IP归属地异常,且SQL注入日志存在大量UNION SELECT请求。
涉及关键技术 / 工具
SQL注入联合查询绕过WAFMimikatz抓取域凭据Sysmon与YARA规则检测后门
防护经验总结
- 严格实施Web应用防火墙(WAF)的SQL注入规则,并启用语义分析引擎,防止联合查询和报错注入。
- 数据库服务禁用xp_cmdshell等高危扩展,并实施最小权限原则,应用账号仅具备指定存储过程执行权限。
- 部署端点检测与响应(EDR)系统,针对PowerShell的Base64编码执行和异常进程创建(如rundll32.exe)配置告警规则。
#SQL注入#医疗数据泄露#Mimikatz#Cobalt Strike#红蓝对抗