研报速递攻防实战复盘
供应链沦陷:券商数据泄露48小时
2026年06月12日 · 周五
真实攻击复盘
高级
场景:某知名券商香港子公司,2026年6月10日。SOC监测到异常出站流量,指向境外IP,同时收到供应商系统遭入侵的告警。一场针对金融供应链的精准打击拉开序幕。
攻击 / 事件时间线
1
初始访问
攻击者并未直接攻击券商边界,而是瞄准其合作的客户关系管理(CRM)系统供应商。通过社工手段获取供应商一名运维人员的VPN凭证,利用该VPN进入供应商内网。随后,攻击者扫描发现供应商与券商之间维护用的SSH隧道,利用弱口令(admin/123456)成功登录隧道跳板机,完成从供应商到券商网络的横向跳跃。整个过程中,券商侧防火墙未对来自“可信供应商”的SSH连接做深度检测。
VPN凭证弱口令扫描SSH隧道
2
权限维持与数据收集
进入券商DMZ区后,攻击者部署了经过混淆的Cobalt Strike Beacon,配置了域前置(Domain Fronting)技术,将C2流量伪装成对阿里云OSS的正常HTTPS请求,成功绕过券商出口流量检测设备。随后,攻击者使用SharpHound对AD环境进行信息收集,发现一名SQL Server服务账户拥有对文件服务器的读写权限。通过窃取该账户的NTLM Hash,攻击者直接登录文件服务器,打包了包含客户KYC资料的Excel文件(约12GB),并通过分卷压缩、加密后,利用合法的rclone工具同步至攻击者控制的海外云存储。
Cobalt StrikeSharpHoundrclone
3
告警触发与应急响应
数据泄露发生3小时后,券商SOC的UEBA平台触发告警:文件服务器在非工作时段出现异常的大规模文件读取行为,且目标账号为从未在该服务器上出现过的SQL服务账户。同时,Sysmon日志显示该服务器上出现了非标准进程rclone.exe。安全分析师立即研判为数据泄露事件,手动阻断该服务器所有出站连接,并提取进程内存镜像和网络流量PCAP包。
UEBASysmon进程内存分析
蓝队视角 · 发现与处置
SOC在接到UEBA告警后,10分钟内完成研判并启动应急响应。第一步:隔离失陷文件服务器,切断出网权限。第二步:溯源分析,通过Sysmon日志还原攻击链,发现SSH隧道异常登录。第三步:联合供应商紧急封禁VPN账号,重置该SSH隧道密钥。第四步:全网搜索Cobalt Strike Beacon的IoC(如特定JA3指纹、域名),在另2台服务器上发现潜伏Agent,及时清除。第五步:发布客户风险提示,并上报香港证监会。
涉及关键技术 / 工具
供应链攻击Cobalt Strike域前置rclone数据外传
防护经验总结
- 对第三方供应商的远程维护通道实施严格的零信任访问控制,例如强制使用堡垒机、动态口令、会话录像审计,禁止直接SSH隧道。
- 部署UEBA规则,重点关注非运维账户的异常文件访问行为(如SQL服务账户读取文件服务器),并关联登录源IP的异常地理解析。
- 所有出站流量应进行SSL/TLS解密检测,防止域前置或HTTPS隧道逃逸,同时建立白名单机制,仅允许指定的云存储域名进行数据同步。
#供应链攻击#数据泄露#Cobalt Strike#金融安全#应急响应
数据安全早知道 · 攻防实战专栏
⚠️ 免责声明
本文内容源自公开披露的安全事件或高仿真模拟场景,所有涉及的组织、系统、技术细节均经过脱敏处理,仅供安全学习与交流参考,不构成任何技术指导或合规建议。
数安早知道
🔗 数据安全与信息安全知识库 datasafe.website
— 点击上方链接访问知识库,获取更多安全资讯 —
发表评论
发表评论: