场景:2026年HVV期间,某头部互联网企业核心研发网段遭APT渗透。蓝队通过Gitea act_runner容器逃逸漏洞告警切入,48小时内完成从告警发现到攻击者画像的全链路溯源。
攻击 / 事件时间线
初始访问
攻击者利用Gitea act_runner容器逃逸漏洞(CVE-2026-58053),通过精心构造的GitHub Actions工作流文件触发容器内代码执行。该漏洞允许攻击者通过恶意workflow文件在runner容器内执行任意系统命令,并利用容器与宿主机共享的cgroup文件系统实现逃逸。攻击者首先在公网扫描暴露的Gitea实例,发现目标存在未修复的act_runner服务。
Giteaact_runnerCVE-2026-58053
提权与持久化
逃逸至宿主机后,攻击者立即下载并执行Mimikatz进行凭证窃取,获取了本地管理员账号哈希。随后通过计划任务建立持久化后门,并部署Cobalt Strike Beacon作为C2通道。值得一提的是,攻击者使用了经过混淆的Beacon配置,规避了传统签名检测。同时,攻击者还修改了系统日志配置,尝试关闭Windows EventLog服务以掩盖痕迹。
MimikatzCobalt Strike计划任务
横向移动
利用窃取的域管理员凭证,攻击者通过WMI与PsExec在研发网段内部署横向移动工具。攻击者重点扫描了Jenkins服务器和代码仓库服务器,并尝试使用BloodHound绘制域环境攻击路径。在成功获取一台GitLab服务器权限后,攻击者提取了多个私有仓库的SSH密钥,为后续数据窃取做准备。
BloodHoundPsExecWMI
数据窃取与告警触发
攻击者通过压缩工具将窃取的源代码与数据库备份打包,并通过HTTPS协议外传至境外VPS。然而,由于数据包体积异常(单次外传超过2GB),触发了SOC部署的Zeek网络流量监控告警。同时,Sysmon日志记录了可疑的rundll32.exe进程创建行为,与已知APT组织Turla的StockStay木马行为高度吻合。
ZeekSysmonStockStay
蓝队视角 · 发现与处置
SOC值班人员收到Zeek告警后,立即启动应急响应流程。第一步:通过ELK平台关联Sysmon日志,发现异常进程链(svchost.exe -> rundll32.exe -> powershell.exe)。第二步:利用YARA规则扫描涉事主机内存,检出Cobalt Strike Beacon的Malleable C2配置。第三步:基于外联IP进行威胁情报碰撞,确认该IP属于Turla曾使用的C2基础设施。48小时内,蓝队完成攻击路径还原、证据固定与攻击者画像,并上报监管部门。
涉及关键技术 / 工具
Gitea act_runner容器逃逸漏洞(CVE-2026-58053)利用基于Sysmon与YARA的恶意进程链溯源Zeek网络流量分析与威胁情报碰撞
防护经验总结
- 立即升级Gitea至最新版本,并严格限制act_runner的容器运行时权限,移除--privileged标志并启用Seccomp profile。
- 部署终端检测与响应(EDR)系统,配置Sysmon规则监控异常进程创建(如rundll32.exe执行非标准DLL)。
- 建立数据外传基线模型,对单次外传超过500MB的HTTPS流量实施实时告警与阻断策略。
#HVV#容器逃逸#APT溯源#Gitea漏洞#Turla