事件概述

在最新一期的网络攻击系列报告中，我们深入分析了针对零售企业的真实攻击案例。数据显示，60%的零售企业曾因网络攻击遭遇业务中断，43%在过去一年发生过安全泄露事件。本文揭示了单个安全警报如何发现重大持续性网络威胁，攻击者如何利用未修复的SharePoint漏洞和身份信息渗透网络，以及微软事件响应团队如何快速介入提供取证分析和可行建议。

[下载完整网络攻击报告]

事件经过

本次分析包含两个关联事件：响应1和响应2。

响应1 始于某零售客户收到名为“可能的Web Shell安装”的Microsoft Defender Experts警报。调查发现其SharePoint服务器上存在恶意ASPX文件，与CVE-2025-49706和CVE-2025-49704漏洞相关。这些漏洞允许攻击者伪造身份并注入远程代码。

响应2 始于单个身份信息泄露。攻击者通过滥用自助密码重置功能获得持久性访问，并使用Microsoft Entra ID和Microsoft Graph API映射组织身份结构。攻击者随后使用Azure虚拟桌面和远程桌面协议(RDP)提升访问权限，部署PsExec和SQL Server Management Studio等工具，并通过Teleport、Azure CLI和Rsocx代理维持控制。后续还进行了凭据操纵和目录探测，这些活动均被Entra ID风险事件确认。

在这两个案例中，客户都迅速联系了DART团队，这有助于确认泄露范围并评估攻击者活动和持久化机制。

关键发现：身份管理薄弱 标准用户与特权用户之间缺乏账户分离显著增加了横向移动风险。20个账户中有9个拥有提升权限但未进行适当分级。

微软响应措施

DART通过执行一系列全面行动迅速处理了两起安全事件，旨在恢复控制、遏制威胁并增强长期韧性。团队首先通过Active Directory接管和Entra ID隔离重新掌控身份系统（包括本地和云环境）。通过降低受损账户权限、撤销令牌以及识别持久化机制（如Teleport和多因素认证设备注册）来消除威胁参与者访问权限。数小时内即检测并清除了恶意Web Shell，展示了快速遏制能力。

为调查和修复事件，微软在关键基础设施上部署了专有取证工具，实现根本原因分析和业务恢复。团队还指导受影响组织按照零信任原则增强安全配置，包括强制实施MFA。来自Defender和Microsoft Sentinel的威胁情报确认了系统性身份泄露，促使修复易受攻击系统并分阶段执行大规模密码重置及用户身份重新认证。此外，勒索软件逆向工程揭示了对ESXi目录的针对性攻击，为后续缓解策略提供了依据。

新型攻击者行为 攻击者使用自定义混淆Web Shell绕过了基础检测，凸显了行为分析对于检测快速演变战术的重要性。

客户防护建议

针对响应1事件，我们建议所有客户采取关键安全措施来强化本地SharePoint环境并减少已知漏洞暴露风险。客户可通过以下方式降低风险：

• 在所有设备上部署端点检测与响应(EDR)
• 执行定期漏洞扫描
• 加强身份和访问控制
• 实施集中日志记录和威胁情报
• 保留证据并维护健全的事件响应计划

监控行为异常、可疑进程和恶意软件指标的工具对于防护当今威胁参与者日益必要。

及时修补（特别是已知被利用漏洞）仍是客户的关键防御措施。定期执行安全卫生实践——如对所有账户强制实施MFA、清理闲置凭据和应用最小权限原则——可在威胁快速变化时实时提升防御能力。

网络攻击速度升级 攻击者速度值得关注。我们在系统遭入侵后瞬间观察到了“键盘手”行为，凸显了实时检测与响应的重要性。

关于网络攻击系列

通过网络攻击系列报告，客户可了解DART如何调查独特且显著的网络攻击。每个攻击故事我们都分享：

• 攻击发生方式
• 安全泄露发现过程
• 微软调查和威胁驱逐过程
• 避免类似攻击的策略

虽然本次零售客户是攻击目标，但这些事件强烈提醒所有客户：主动修补、身份分段和持续监控是防御现代网络威胁的基本安全实践。DART由精通全球安全事件处理的资深调查员、研究员、工程师和分析师组成，在网络安全事件前、中、后期为客户提供专属专家支持。

了解更多

要了解DART能力，请访问我们的网站，或联系您的微软客户经理或首要支持联系人。要了解上述网络安全事件的更多见解和保护组织的方法，请下载完整报告。

[下载完整网络攻击报告]

要了解微软安全解决方案，请访问我们的网站。收藏安全博客以获取专家安全事务报道，同时在LinkedIn（Microsoft Security）和X（@MSFTSecurity）上关注我们获取最新网络安全新闻和更新。

1零售网络安全统计：2025年市场数据报告