场景:2026年BCS大会期间,某大型制造企业成为红队实战演练目标。红队通过伪装成BCS组委会的钓鱼邮件,成功突破其外网防线,最终在48小时内拿下域控。
攻击 / 事件时间线
初始访问:精准钓鱼,诱敌深入
红队利用BCS组委会名义,向目标企业市场部员工发送主题为《BCS-2026演讲嘉宾邀请函.pdf》的钓鱼邮件。附件为嵌入了CVE-2026-23631漏洞利用的恶意Lua脚本,伪装在PDF图标下。员工点击后,脚本触发Redis反序列化漏洞,反向连接至红队C2服务器,建立初始据点。与此同时,红队还部署了SharpShooter生成的HTA载荷作为备用通道,确保接入稳定性。
Cobalt StrikeSharpShooterCVE-2026-23631漏洞利用脚本
提权与持久化:沉底渗透,伺机而动
红队通过C2下发Mimikatz抓取本地管理员凭据,利用PsExec横向移动到文件服务器,并建立计划任务进行持久化。随后红队发现该服务器上存储着域管理员手工备份的GPO配置文件,其中明文包含域管理员的NTLM哈希。红队立即使用Pass-the-Hash技术,将权限提升至域管理员级别。
MimikatzPsExecPass-the-Hash
横向移动与数据窃取:批量收割,密中送密
红队以域管理员身份登录域控dc01.corp.com,使用SharpHound绘制域环境拓扑,发现SQL服务器存在配置不当的Kerberos委派。红队利用Rubeus实施Kerberoasting攻击,破解SQL服务账号,进入核心数据库。最终通过7z加密压缩技术研发数据,经HTTPS隧道分片外传至境外VPS,全程规避流量检测。
SharpHoundRubeus7z
蓝队视角 · 发现与处置
蓝队通过Sysmon日志发现文件服务器上计划任务的异常创建行为,结合Event ID 1进程创建日志,溯源到员工终端存在可疑Lua脚本执行记录。SOC研判为钓鱼攻击后,立即隔离受影响终端,提取恶意脚本样本进行YARA规则化。同时,通过域控安全日志Event ID 4624发现异常登录IP,联动EDR阻断C2通信。蓝队最终确认域控已被控制,遂启动应急响应,重置所有域管理员账号并强制全域杀毒。
涉及关键技术 / 工具
利用CVE-2026-23631 Redis漏洞绕过文件检测Pass-the-Hash与Kerberoasting组合攻击Sysmon日志对计划任务创建的监控与溯源
防护经验总结
- 严格执行邮件附件白名单策略,禁用宏与脚本执行,对可疑Lua、Python等脚本文件在网关层进行内容沙箱检测
- 域管理员账号禁止在普通服务器上存储凭据信息,配置GPO禁用NTLM哈希缓存,并启用LAPS管理本地管理员密码
- 部署Sysmon并开启Event ID 1、11、13等关键日志采集,结合SIEM建立异常计划任务创建和横向移动行为的实时告警规则
#钓鱼攻击#域控沦陷#CVE-2026-23631#Kerberoasting#红蓝对抗