场景:2026年6月,某城商行内网遭APT组织定向攻击,攻击者通过鱼叉邮件植入后门,利用域信任漏洞横向移动,最终窃取核心交易数据。蓝队通过Sysmon日志与威胁情报联动,成功溯源并阻断。
攻击 / 事件时间线
初始访问
攻击者伪造财政部《促进分布式数字身份互通互认应用规定》征求意见邮件,携带带宏的恶意文档,诱导银行风控部员工点击。宏释放Cobalt Strike Beacon(HTTPS协议,C2域名伪装为gov.cn子域)。
Cobalt Strike恶意宏文档
提权
Beacon上线后,攻击者发现主机为Windows Server 2019,通过已公开的FreeBSD KTLS漏洞(CVE-2026-45257)提权至SYSTEM(该主机运行FreeBSD子系统)。随后使用Mimikatz抓取域管理员凭据。
MimikatzCVE-2026-45257
横向移动
利用抓取的域管理员凭据,通过PsExec和WMI批量部署代理到核心交易区服务器。同时利用域信任关系,跳转到关联的私募基金管理系统,窃取私募基金客户数据。
PsExecWMI
数据窃取
攻击者将被窃数据分片压缩,通过DNS隧道(Base64编码)分段外传。同时利用伪造的合法备份软件(伪装为Veritas Backup Exec)直连外部云存储,规避传统流量检测。
DNS隧道伪造备份软件
蓝队视角 · 发现与处置
蓝队通过Sysmon监测到可疑的宏进程链(WINWORD.EXE -> powershell.exe -> rundll32.exe),结合威胁情报确认C2域为恶意。立即封锁该主机并提取内存映像,通过YARA规则(匹配Cobalt Strike内存特征)确认后门。溯源发现攻击者利用域信任漏洞,随即隔离相关域控,并利用EDR回溯横向移动路径,删除所有代理。
涉及关键技术 / 工具
Cobalt Strike BeaconMimikatz凭据窃取DNS隧道外传YARA规则检测
防护经验总结
- 对含有宏的邮件严格管控,启用附件沙箱检测并禁用Office宏默认执行。
- 修复域信任关系中的SIDHistory漏洞,禁用不必要的域间信任。
- 部署Sysmon记录进程创建和网络连接事件,并关联威胁情报实时告警。
#APT#银行内网#横向渗透#Cobalt Strike