场景:2026年6月某股份制银行HVV演练期间,SOC平台深夜告警风暴,检测到内部核心网段出现异常DNS解析行为,疑似C2回连。
攻击 / 事件时间线
初始访问
攻击队利用某开源CMS系统0day漏洞(CVE-2026-XXXX),通过SQL注入获得后台管理员权限。使用蚁剑webshell上传冰蝎3.0马,绕过WAF文件类型校验,成功在DMZ区web服务器植入后门。
蚁剑冰蝎3.0Burp Suite
提权与持久化
攻击者利用PrintNightmare(CVE-2021-34527)变种提权至SYSTEM。随后部署SharpSocks建立SOCKS5代理隧道,并通过计划任务注册RunOnce实现持久化,绕过EDR进程链检测。
PrintNightmare变种SharpSocksMimikatz
横向移动
基于LDAP协议查询域内管理员组,使用Mimikatz抓取域管理凭据后,通过PsExec横向移动到备份服务器与数据库服务器。期间使用RDP hijacking技术窃取已建立的管理员会话。
MimikatzPsExecRDP hijacking
数据窃取与告警触发
攻击者压缩核心客户数据(约2TB)并分段上传至境外云存储。但DNS请求频率异常触发EDR行为模型告警,DNS日志中出现多个dnslog.cn域名解析,且源IP为从未外联过的数据库服务器。
7zrclonednslog.cn
蓝队视角 · 发现与处置
蓝队通过Sysmon EventID 22(DNS查询事件)告警切入,关联Zeek流量日志发现CN域名异常base64编码子域。研判组结合BloodHound分析域内攻击路径,锁定失陷主机为备份服务器。应急处置:网络隔离失陷主机,通过Velociraptor采集内存镜像,确认Mimikatz执行痕迹。最终在备用域控上部署YARA规则扫描,发现潜伏的SharpSocks隧道进程,完成清除。
涉及关键技术 / 工具
Sysmon DNS事件日志关联分析BloodHound域攻击路径分析Velociraptor内存取证与YARA扫描
防护经验总结
- 在所有域控及关键服务器部署Sysmon,重点监控EventID 22(DNS查询)和EventID 3(网络连接),并配置DNS日志基础审计策略
- 实施最小权限原则:对备份服务器和数据库服务器禁用出站DNS解析白名单,仅允许向内部DNS服务器查询
- 启用EDR的‘异常进程链’检测模型,对非管理员用户调用PsExec、WMI等高危横向移动工具的行为触发即时阻断
#HVV#日志分析#横向移动#Sysmon#威胁溯源