场景:某大型金融企业于2026年7月HVV期间,SOC系统在凌晨2:47触发一条源自内部OA服务器的异常DNS查询告警,疑似Cobalt Strike Beacon通信,蓝队随即启动溯源。
攻击 / 事件时间线
初始访问:钓鱼邮件挂载Agent
攻击者利用HR部门近期发送的'社保基数调整通知'为主题,向15名员工发送含有恶意宏的Office文档。其中一名财务人员Win10主机未开启宏安全提示,双击后宏代码执行PowerShell命令,从远程C2(domain: update.azurefd[.]net)下载并执行了经过AES加密的Agent载荷。Agent落地后首先进行进程伪装,注入到合法进程 svchost.exe 中,并设置注册表Run键实现持久化。
恶意宏PowerShellAES加密
提权与横向移动:利用NTLM Relay
Agent通过内网扫描发现OA服务器存在SMB签名未强制开启的配置缺陷。攻击者使用Impacket套件的ntlmrelayx.py脚本,结合Responder进行LLMNR/NBT-NS投毒,劫持另一台运维主机的NTLMv2哈希,中继到OA服务器完成身份认证,成功获取了本地管理员权限。随后使用Mimikatz在OA服务器内存中抓取到域管理员账户的明文密码。
ImpacketResponderMimikatz
横向移动与数据收集:RDP跳板与压缩窃取
利用域管理员凭证,攻击者通过RDP跳板登录到核心数据库前置机(Windows Server 2022)。在此主机上,攻击者部署了7-Zip命令行工具,将包含客户信息、交易记录的几个共享文件夹打包为加密压缩包,并通过分片上传至公网对象存储(阿里云OSS),以规避流量检测。整个过程中,攻击者始终保持着低频率的DNS-over-HTTPS(DoH)心跳,试图隐藏C2流量。
RDP7-ZipDoH
告警触发:异常DNS查询与Sysmon日志
SOC部署的Zeek(Bro)IDS捕获到OA服务器向一个从未解析过的 .xyz 域名进行了高频率、低TTL的DNS查询。同时,Sysmon事件ID 1(进程创建)记录了OA服务器上非计划内的rundll32.exe执行了可疑的DLL命令。SIEM平台关联两个事件后,判定为高置信度告警(Critical),自动生成工单并通知值班分析师。
ZeekSysmonSIEM
蓝队视角 · 发现与处置
值班分析师立即通过EDR(CrowdStrike)对OA服务器执行隔离操作,切断横向移动能力。随后提取可疑进程的内存镜像,使用Volatility分析发现注入的Agent DLL。结合Zeek日志逆向解析出C2域名,通过威胁情报平台确认其为恶意基础设施。最后,通过解析域控日志(Event ID 4624)与网络连接日志,完整还原了攻击者从初始失陷到横向移动至数据库前置机的完整路径,并定位到最初的失陷主机(财务人员PC)。
涉及关键技术 / 工具
Sysmon进程树分析NTLM Relay攻击Volatility内存取证
防护经验总结
- 强制启用SMB签名(组策略:Microsoft网络服务器/客户端: digitally sign communications),并在所有Windows主机上禁用LLMNR和NetBIOS over TCP/IP。
- 部署EDR并启用脚本监控(Script Block Logging),对PowerShell、WMI、MSHTA等执行动作进行严格记录和告警。
- 建立基于Zeek/Suricata的DNS隧道检测规则,对高频率、非常见TLD、低TTL的DNS查询进行实时告警。
#红蓝对抗#HVV#横向移动#日志溯源#金融行业