事件背景
在最新版网络攻击系列报告中,我们深入分析了针对零售企业的真实攻击案例。数据显示60%的零售企业曾因网络攻击遭遇运营中断,43%企业在过去一年发生过安全泄露事件。本文揭示了单个告警如何发现重大持续性网络威胁,攻击者如何利用未修复的SharePoint漏洞和身份认证漏洞渗透网络,以及微软事件响应团队如何通过取证分析和行动指南快速介入。
[下载完整网络攻击报告]
攻击过程
本次分析包含两个关联事件:响应1和响应2。
响应1 始于零售客户收到Microsoft Defender Experts名为“疑似Web Shell安装”的告警。调查发现其SharePoint服务器上存在恶意ASPX文件,与CVE-2025-49706和CVE-2025-49704漏洞相关,这些漏洞允许攻击者伪造身份并注入远程代码。
响应2 始于单个身份凭证泄露。攻击者滥用自助密码重置功能维持访问权限,并通过Microsoft Entra ID和Microsoft Graph API映射企业身份结构。攻击者进一步使用Azure虚拟桌面和远程桌面协议(RDP)提升权限,部署PsExec和SQL Server Management Studio等工具,并通过Teleport、Azure CLI和Rsocx代理维持控制。后续还出现凭据操纵和目录遍历行为,这些活动均被Entra ID风险事件记录。检测与响应团队(DART)再次提供专业支持以遏制和分析威胁。
在这两个案例中,客户都及时联系DART,这有助于确认入侵范围并评估攻击者活动与持久化机制。
关键发现:身份管理弱点 普通用户与特权用户之间缺乏账户隔离显著增加了横向移动风险。20个账户中有9个拥有不当提升的权限。
微软应对措施
DART通过执行全面措施快速应对两起安全事件,旨在恢复控制、遏制威胁并增强长期韧性。团队首先通过Active Directory接管和Entra ID隔离重新掌控本地和云身份系统;通过降低受损账户权限、撤销令牌及识别持久化机制(如Teleport和MFA设备注册)消除威胁主体访问权限;数小时内检测并清除了恶意Web Shell,展现出快速遏制能力。
为调查和修复事件,微软在关键基础设施部署专有取证工具,实现根本原因分析和运营恢复。团队还指导受影响组织按照零信任原则增强安全配置,包括强制实施MFA。Defender和Microsoft Sentinel的威胁情报确认了系统性身份泄露,推动修复脆弱系统并分阶段执行大规模密码重置及用户身份重新认证。此外,勒索软件逆向工程揭示了对ESXi目录的针对性攻击,为后续缓解策略提供依据。
新型攻击者行为 攻击者使用自定义混淆Web Shell绕过基础检测,凸显行为分析对检测快速演变战术的重要性。
客户防护建议
针对响应1事件,我们建议所有客户采取关键安全措施强化本地ShareSharePoint环境并减少已知漏洞暴露风险。客户可通过以下方式降低风险:在所有设备部署端点检测与响应(EDR)、定期执行漏洞扫描、加强身份与访问控制。还应实施集中日志记录和威胁情报,同时保留证据并维护健全的事件响应计划。监控行为异常、可疑进程和恶意软件指标的工具有助于防范现代威胁主体。
及时修补——特别是已知被利用漏洞——仍是客户的关键防御手段。定期执行安全卫生实践(如对所有账户强制MFA、清理闲置凭证、应用最小权限原则)可在威胁快速变化时实时提升防御能力。
网络攻击加速趋势 攻击者速度值得关注。我们在入侵发生后瞬间观察到“键盘手”行为,凸显实时检测与响应的重要性。
活动预告
准备好为AI时代强化安全策略了吗?立即注册9月30日举办的Microsoft Secure大会,探索最新AI优先解决方案。随后参加11月17-21日在旧金山或在线举办的Microsoft Ignite大会,深入探索更多创新技术,连接行业专家,体验动手实验室并获得认证。
关于网络攻击系列
通过网络攻击系列报告,客户可了解DART如何调查独特且显著的网络攻击。每个攻击故事都包含:
- 攻击发生过程
- 安全泄露发现方式
- 微软调查与威胁驱逐过程
- 避免类似攻击的策略
虽然本次零售客户是攻击目标,但这些事件警示所有客户:主动修补、身份分层和持续监控是防御现代网络威胁的重要安全实践。DART由精通全球安全事件处理的调查员、研究员、工程师和分析师组成,在网络安全事件前、中、后期为客户提供专属专家支持。
扩展资源
了解更多DART能力,请访问我们的网站或联系微软客户经理/高级支持联系人。了解更多上述网络安全事件详情,包括防护组织的更多见解与信息,请下载完整报告。
[下载完整网络攻击报告]
了解更多微软安全解决方案,请访问我们的网站。收藏安全博客以获取专家安全报道,并通过LinkedIn(Microsoft Security)和X(@MSFTSecurity)关注我们获取最新网络安全动态。