场景:某金融企业SOC在HVV期间遭遇EDR告警风暴,单日告警量从500激增至5000+。安全团队需从海量告警中精准定位真实威胁,避免错过关键攻击。
攻击 / 事件时间线
告警风暴触发
HVV第二日上午10:00,SOC大屏告警数呈指数级增长。EDR(CrowdStrike)报告大量可疑进程创建、注册表修改和网络连接事件。初步分析发现,多数告警指向正常业务软件更新和系统补丁推送,但混杂着异常行为:某财务终端出现powershell.exe -enc命令执行,且父进程为svchost.exe,这立即触发了SOC的警觉。
CrowdStrike FalconPowerShellSysmon
威胁研判与过滤
安全分析师立即对可疑告警进行分级。首先,利用EDR的进程树功能,追溯powershell.exe的父进程链,发现其父进程实际为wmic.exe,而wmic.exe又由explorer.exe启动,行为可疑。其次,通过YARA规则扫描该终端内存,匹配到Cobalt Strike的beacon载荷特征。同时,检查网络流量日志,发现该终端与外部IP(103.xxx.xxx.xxx)建立HTTPS加密通道,且流量模式与C2通信高度吻合。
YARACobalt StrikeWireshark
攻击链还原
深入调查发现,攻击者通过钓鱼邮件(伪装为财务对账单)诱导财务人员点击,下载并执行了LNK文件。该LNK文件利用白加黑技术,加载了合法的mshta.exe,随后执行VBScript脚本,下载Cobalt Strike的beacon。攻击者利用beacon在终端上执行whoami、net group等命令,试图进行内网侦察,并计划通过Mimikatz抓取域管理员凭证。
LNK文件mshta.exeMimikatz
蓝队视角 · 发现与处置
SOC团队立即对该终端进行隔离,切断其所有内外网通信。同时,利用EDR的远程取证功能,提取了完整的进程内存和磁盘快照。通过分析内存中的beacon配置,成功提取到C2域名和备用IP。随后,在防火墙上封禁相关IP和域名,并基于IOC(威胁情报指标)在全局EDR策略中创建阻止规则。最后,对全公司所有用户进行钓鱼邮件演练,并强化应用白名单策略,禁止非授权脚本执行。
涉及关键技术 / 工具
EDR进程树溯源YARA内存扫描白加黑LNK文件攻击
防护经验总结
- 1. 建立告警分级机制:将EDR告警按严重程度分为红、黄、蓝三级,优先处理与系统进程、脚本执行相关的红色告警,避免被海量误报淹没。
- 2. 强化终端应用白名单:部署AppLocker或WDAC,仅允许经过签名的可执行文件和脚本运行,从根本上阻断白加黑攻击。
- 3. 实施最小权限原则:降低域用户权限,禁止普通用户使用PowerShell、cmd等管理工具,减少攻击者横向移动的武器库。
#EDR#告警过滤#HVV#Cobalt Strike#钓鱼攻击#白加黑