场景:2026年7月,某大型金融企业SOC监测到内网核心服务器出现反常的出站ICMP流量,但EDR未产生高优告警。安全分析师介入后发现,攻击者利用大模型生成的定制化载荷,已绕过所有传统检测机制。
攻击 / 事件时间线
初始渗透
攻击者利用最新爆发的Gitea act_runner容器逃逸漏洞(CVE-2026-58053),通过供应链攻击投递恶意CI/CD镜像至开发环境。容器逃逸后,攻击者并未立即执行横向移动,而是利用大模型生成了一段与系统正常API调用模式完全一致的PowerShell脚本,该脚本通过Windows管理规范(WMI)持久化,绕过了基于行为基线的EDR检测。
CVE-2026-58053 Exploit定制化PowerShell脚本WMI
提权与静默
获得初始立足点后,攻击者部署了一个轻量级C2框架,该框架的通信协议模仿了金融机构常用的HTTPS API流量,并利用了合法的SSL证书。为提升权限,攻击者并未使用传统的Mimikatz,而是通过大模型分析系统补丁状态后,生成了一段针对未公开内存漏洞的Shellcode,成功从普通域用户提权至域管理员。整个过程未触发任何Sysmon的进程创建告警。
定制化Shellcode伪造HTTPS C2域环境分析工具
横向移动与数据窃取
攻击者以内网扫描工具发现一台未打补丁的备份服务器,利用PsExec的改良版本(修改了默认管道名)进行横向移动。访问核心数据库后,攻击者并未批量导出数据,而是使用一个名为“DataMosaic”的定制工具,将敏感数据拆分成数千个小片段,混杂在正常的数据库备份流中,分批通过合法的数据库同步端口(1433)外传,完美避开了数据防泄漏(DLP)系统的文件类型和流量阈值检测。
改良版PsExecDataMosaic内网扫描器
蓝队视角 · 发现与处置
SOC分析师首先注意到核心DNS服务器上出现异常的解码请求,指向一个罕见的外部域名。关联日志后,发现该域名与一周前GitHub上泄露的一份内部证书有关。通过深度包检测(DPI)对加密流量进行元数据分析,发现存在周期性的、大小固定的数据包,与常规API调用不符。蓝队随即启动应急响应,在核心交换机部署抓包点,并利用YARA规则对内存进行扫描,在备份服务器内存中捕获到了“DataMosaic”的进程残留。最终通过隔离受感染服务器、吊销泄露证书、并阻断C2域名,切断了攻击者的数据外泄通道。
涉及关键技术 / 工具
大模型辅助生成的定制化载荷基于合法流量的隐蔽C2通信分片式数据窃取技术
防护经验总结
- 对所有CI/CD管道进行严格的镜像签名验证,并部署运行时容器安全监控,防止供应链投毒。
- 建立基于元数据的加密流量分析能力,不依赖解密,通过流量大小、频率、目的IP声誉来识别异常。
- 强化数据外泄检测策略,针对数据库端口(如1433、3306)配置基于数据包大小分布和连接时长的异常检测模型。
#攻防实战#金融行业#AI对抗#数据窃取#容器安全