场景:某大型制造业企业内网,2026年HVV期间,SOC监测到核心研发网段出现异常LDAP查询流量,研判为潜在横向移动行为。
攻击 / 事件时间线
初始访问
攻击者通过钓鱼邮件附件携带的恶意VBA宏,利用CVE-2026-4480 Samba漏洞在内网一台文件服务器上获得初始立足点。该漏洞为未授权远程代码执行,攻击者通过精心构造的RPC请求触发smbd进程内存破坏,执行了基于Cobalt Strike的Beacon载荷。
Cobalt StrikeCVE-2026-4480
提权与持久化
攻击者在获得初始权限后,利用Mimikatz抓取本地管理员明文口令,并发现该服务器存在域管权限委派,通过BloodHound分析域内路径,定位到一台未打补丁的域控。随后使用DCSync攻击同步域控哈希,成功获取域管理员权限,并部署计划任务实现持久化。
MimikatzBloodHoundDCSync
横向移动
攻击者使用域管凭证,通过WMI和PsExec批量横向移动到研发网段的数十台工作站,在每个失陷主机上植入内存马,用于窃取研发代码和设计文档。横向移动过程中,大量异常的计划任务创建和WMI事件订阅触发了我们在关键服务器上部署的Sysmon Event ID 1和11规则。
PsExecWMISysmon
告警触发与研判
SOC值班人员从SIEM中收到大量来自域控和文件服务器的Sysmon告警,其中一条创建计划任务的日志(Event ID 4698)显示执行路径为C:\Windows\Tasks\update.job,且父进程为svchost.exe,与正常系统行为不符。进一步关联发现,该任务启动的powershell命令从远程IP 203.0.113.x下载加密的PowerShell脚本,确认失陷。
SIEMSysmonPowerShell
溯源与处置
蓝队立即对失陷域控和文件服务器进行断网隔离,提取内存镜像和日志。通过分析Beacon的配置文件和C2域名(已挂黑),结合威胁情报关联到某APT组织。随后在域控上部署YARA规则扫描内存马,并批量重置所有域用户凭证,清除计划任务和WMI持久化机制。
YARA威胁情报内存取证
蓝队视角 · 发现与处置
蓝队通过SIEM关联分析Sysmon日志,发现域控上异常的计划任务创建事件,结合威胁情报定位到C2域名。处置上立即断网隔离失陷资产,使用YARA规则全网扫描,批量重置凭证并清除持久化后门,最终在4小时内完成消杀,未造成核心数据泄露。
涉及关键技术 / 工具
Sysmon日志关联分析YARA规则内存马检测Mimikatz凭证窃取与防御
防护经验总结
- 在域控和关键服务器上强制启用Sysmon,并配置Event ID 1(进程创建)、11(文件创建)、4698(计划任务创建)的告警规则,投递至SIEM进行实时关联。
- 对域内所有主机禁用WMI和PsExec的远程执行权限,或通过GPO限制仅允许特定管理账户使用,减少横向移动攻击面。
- 部署EDR并开启内存扫描功能,对PowerShell和WMI活动进行深度监控,设置阈值告警,如短时间内大量计划任务创建行为立即自动封锁源IP。
#红蓝对抗#日志溯源#Sysmon#横向移动#HVV