场景:某金融科技企业SOC,周一早高峰,威胁情报平台弹出一则异常DNS解析告警,指向已知的C2域名。值班分析师随即启动应急响应流程。
攻击 / 事件时间线
初始访问与潜伏
攻击者通过钓鱼邮件,诱导一名运维人员点击了伪装成‘季度绩效考核表’的恶意宏文档。文档中的VBA脚本执行PowerShell命令,下载并运行了经过混淆的Cobalt Strike Beacon。Beacon利用Windows计划任务实现持久化,并设置了一个看似正常的系统服务名称‘WindowsUpdateTask’,成功绕过EDR初始检测。
Cobalt StrikePowerShellVBA宏
横向移动与权限提升
Beacon上线后,攻击者开始侦察内网。通过BloodHound分析AD域环境,发现运维人员账号所在的‘Server_Admin’组拥有对核心SQL数据库服务器的DCOM远程调用权限。攻击者利用该权限,通过Cobalt Strike的‘jump psexec’模块横向移动到数据库服务器,并运行Mimikatz抓取本地管理员明文密码,成功提权至域管理员账户。
BloodHoundMimikatzCobalt Strike
数据窃取与告警触发
获得域管理员权限后,攻击者登录到文件共享服务器,使用7-Zip打包了包含客户身份信息、交易记录的敏感文件夹,共计约5GB。打包后的ZIP文件被上传至一个合法的云存储服务(如Mega.nz),但使用了与公司域名相似的子域名进行解析,触发了SOC的威胁情报告警。
7-ZipMega.nzDNS隧道
溯源分析与应急响应
SOC团队根据告警,迅速提取了可疑DNS请求的源IP,发现是运维人员的工作站。通过Sysmon日志(Event ID 1, 3, 11)完整还原了攻击链:从恶意宏文档的下载、PowerShell的执行、Beacon的注入、到横向移动和Mimikatz的执行。同时,在网络出口防火墙阻断了对C2域名的通信,并隔离了受感染主机。
Sysmon威胁情报平台EDR
蓝队视角 · 发现与处置
SOC团队通过威胁情报平台关联告警,定位到异常DNS请求。使用EDR对涉事主机进行取证,发现Cobalt Strike内存马。通过分析Sysmon日志,还原了攻击者从钓鱼邮件到数据外传的全过程。立即隔离涉事主机和域控,吊销被盗用的域管理员凭证,并在防火墙上封禁C2与云存储域名。最终,通过备份数据恢复文件服务器,并对外发布数据泄露通告。
涉及关键技术 / 工具
Cobalt Strik Beacon内存马检测基于Sysmon日志的攻击链还原Mimikatz凭证窃取防护
防护经验总结
- 启用AppLocker或WDAC策略,禁止非授信路径下的脚本(如PowerShell、VBS)执行。
- 对域管理员组实施‘跳板机’策略,所有高权限操作必须在专用跳板机上进行,并启用PAM(特权访问管理)方案。
- 在DNS日志中开启Response Policy Zone (RPZ) 功能,自动拦截对已知C2及可疑域名的解析请求。
#SOC#数据泄露#Cobalt Strike#Mimikatz#攻击链还原