场景:2026年5月,某中型券商SOC监控系统连续三天在非交易时段检测到异常外连流量,目标指向境外IP。同时,内部GitLab仓库出现非授权代码提交记录,疑似遭遇供应链攻击。
攻击 / 事件时间线
初始访问:供应链投毒
攻击者首先对券商使用的第三方量化交易数据平台“数聚云”进行渗透。通过利用该平台某旧版API接口的SSRF漏洞,获取了平台运维人员的GitLab私钥。随后,攻击者在“数聚云”分发给券商的交易策略SDK包中植入后门代码,该代码伪装成常规的日志收集模块。由于券商运维团队习惯性信任该供应商的更新,未经严格校验便部署至生产环境中的3台行情服务器。
SSRF漏洞利用GitLab私钥窃取后门植入
持久化与横向移动
后门代码执行后,通过DNS隧道将行情服务器权限回传至攻击者控制的C2服务器(域名伪装为“cdn-update.dataju.cn”)。攻击者利用Mimikatz抓取服务器本地管理员凭证,并利用域管账户通过WMI横向移动到核心交易数据库的备份服务器。在此过程中,攻击者创建了隐藏计划任务,每两小时执行一次数据打包脚本,避免被常规进程扫描发现。
MimikatzDNS隧道WMI计划任务劫持
数据窃取与触发告警
攻击者在备份服务器上部署了定制版Rclone,将打包后的客户交易数据、持仓信息以及内部风控模型文件加密后,分批上传至海外云存储。此时,防守方部署的NDR设备监测到一个异常的文件传输行为:备份服务器在凌晨3点,与一个从未出现过的新加坡云存储节点建立了大量TLS连接,且传输的数据量远超日常备份规模(约7GB),触发了“异常数据外发”的告警。
RcloneNDR设备TLS加密
蓝队视角 · 发现与处置
SOC值班人员在收到NDR告警后,立即启动应急响应。首先通过EDR对备份服务器进行全盘扫描,发现隐藏的PowerShell脚本和Rclone进程。安全分析师调取Sysmon日志,追溯进程树,发现后门进程由“svchost.exe”派生,且其父进程指向被篡改的SDK模块。通过分析内存,提取出C2域名和加密配置。蓝队随即切断失陷服务器的网络连接,并联系“数聚云”厂商封禁其API密钥,最终在6小时内完成根因分析,确认攻击链路。
涉及关键技术 / 工具
供应链投毒与SDK劫持DNS隧道隐蔽通信基于Sysmon日志的进程树溯源
防护经验总结
- 严格第三方软件供应链管理:对供应商提供的所有代码、二进制包进行完整性校验(哈希比对)和沙箱动态分析,禁止直接在生产环境使用未经验证的第三方更新。
- 强化南北向与东西向流量检测:在核心数据库与备份服务器之间部署微隔离策略,仅允许特定端口通信;同时配置NDR规则,对非工作时间的大流量外发行为进行高优先级告警。
- 关键资产实施“零信任”访问:对GitLab、Jenkins等开发平台启用MFA,并设置敏感仓库的代码变更必须经过双人审核,防止单一凭据泄露导致供应链投毒。
#供应链攻击#金融行业#数据泄露#红队复盘