场景:2026年HVV期间,某省政务云平台边界WAF在凌晨2:17连续告警,触发高威胁规则。蓝队研判确认遭遇未知0day攻击,攻击者已突破外网防线进入内网。
攻击 / 事件时间线
初始访问:0day利用突破边界
攻击者利用某国产中间件厂商刚爆出的CVE-2026-23631(Redis Lua脚本RCE)变种漏洞,构造特制HTTP请求绕过WAF正则规则。请求包含多层编码的Lua脚本,通过Redis未授权访问接口直接写入恶意Key,触发Lua沙箱逃逸执行系统命令。攻击载荷为PowerShell反弹Shell,连接至境外C2(evil-c2.xyz:443),流量伪装成HTTPS加密的API调用。
CVE-2026-23631变种EXPPowerShellHTTPS隧道
提权与持久化:挖矿与后门双保险
攻击者获得低权限Shell后,利用PrintNightmare变种(CVE-2026-49975相关的本地提权链)通过Spoolsv.exe漏洞获取SYSTEM权限。随即部署Rootkit(Mimikatz变种)提取域管凭据,并安装Kronos挖矿木马占满CPU资源。同时写入计划任务和WMI事件订阅实现双持久化,清理日志后留下后门脚本svchost.dll。
Mimikatz变种PrintNightmare变种EXPKronos挖矿木马
横向移动:攻陷核心数据库
攻击者利用窃取的域管凭据,通过PsExec横向移动到核心数据库服务器(Oracle RAC集群)。执行sqlplus导出用户表、税务数据等敏感信息,总计约20GB。数据传输采用分片压缩后通过SFTP上传至海外VPS,全程未触发传统流量审计规则。
PsExecsqlplusSFTP
蓝队视角 · 发现与处置
蓝队通过Sysmon日志发现异常进程创建链(w3wp.exe -> powershell.exe -> cmd.exe),结合YARA规则扫描内存中Mimikatz特征码。EDR告警确认Kronos挖矿行为后,立即隔离受害服务器,通过Velociraptor全盘取证,提取0day攻击Payload。分析C2域名流量特征后,在核心交换机下发黑名单阻断所有外联,并向CNVD报送0day漏洞细节。
涉及关键技术 / 工具
CVE-2026-23631 Redis Lua沙箱逃逸PrintNightmare变种本地提权Sysmon + YARA内存扫描
防护经验总结
- 立即修复Redis未授权访问配置,启用requirepass并绑定localhost,禁用Lua沙箱高危函数(os.execute、dofile等)
- 部署基于行为分析的EDR,重点监控w3wp.exe衍生powershell.exe的异常进程链,并启用Sysmon EventID 1/3/11全量记录
- 对核心数据库实施网络微隔离,仅允许应用服务器通过特定端口访问,域管凭据使用LAPS工具定期轮换并限制横向移动工具(如PsExec)的执行权限
#HVV#0day#政务云#Redis#内网渗透#Mimikatz