攻防实战复盘
红蓝对抗:三小时攻陷医疗数据湖
2026年06月19日 · 周五
红蓝对抗
高级
场景:
某三甲医院2026年HVV实战演练中,攻击队在第三日通过供应链VPN入口突破边界,利用医疗数据湖的API未授权访问漏洞,三小时内完成从入口到数据窃取的全链路渗透。
攻击 / 事件时间线
1
初始访问
攻击队从公开渠道获取医院合作厂商的VPN客户端安装包,逆向分析发现硬编码的测试账号密码,利用该账号登录医院内网VPN。随后通过Nmap扫描内网C段,发现一台暴露的Weblogic服务器,利用CVE-2024-21234漏洞执行远程代码,植入Cobalt Strike Beacon,建立持久化控制通道。
Nmap
Cobalt Strike
Weblogic漏洞利用脚本
2
提权与横向移动
在Weblogic服务器上运行PowerShell脚本提权,使用Mimikatz抓取本地管理员明文密码,发现该服务器为域成员。通过BloodHound分析域环境,发现域管理员账号被配置为服务账号,直接登录域控。使用PsExec将Beacon同步至域控服务器,获得域管理员权限。
Mimikatz
BloodHound
PsExec
3
数据窃取
在域控上使用AD Explorer搜索SQL Server数据库服务账号,发现数据湖集群使用域管理员账号直连。通过SQL Server Management Studio连接数据湖,使用SELECT语句批量导出患者敏感数据(姓名、身份证号、诊断记录),压缩加密后通过内部P2P协议分段外传至国外VPS。
AD Explorer
SQL Server Management Studio
7-Zip
蓝队视角 · 发现与处置
防守方SOC于攻击后第25分钟捕获异常流量:VPN登录日志显示非工作时间段测试账号从境外IP登录,同时Weblogic服务器产生大量JNDI注入告警。立即切断该VPN账号权限,并启动应急响应。通过Sysmon日志溯源发现Beacon进程,提取内存中C2配置反向定位攻击者IP。3小时内完成隔离取证,但数据已全部外泄。
涉及关键技术 / 工具
供应链VPN硬编码账号利用
Weblogic JNDI注入攻击
BloodHound域环境分析
防护经验总结
1. 禁止VPN客户端中硬编码任何测试账号,并部署MFA认证。
2. 数据湖等核心资产必须使用独立服务账号,禁止复用域管理员账号。
3. 在数据库层启用审计日志并关联SIEM,对异常批量查询行为实时告警。
#红蓝对抗
#HVV
#数据湖
#供应链攻击
#域渗透
数据安全早知道 · 攻防实战专栏
⚠️ 免责声明
本文内容源自公开披露的安全事件或高仿真模拟场景,所有涉及的组织、系统、技术细节均经过脱敏处理,仅供安全学习与交流参考,不构成任何技术指导或合规建议。
数安早知道
🔗 数据安全与信息安全知识库 datasafe.website
— 点击上方链接访问知识库,获取更多安全资讯 —