零售业面临威胁:一次警报如何揭露持续性网络攻击

微软安全团队通过一次"可能的Web Shell安装"警报,发现零售企业遭受持续性网络攻击。攻击者利用未修复的SharePoint漏洞和身份认证弱点渗透网络,微软DART团队迅速介入提供取证分析和应对指导。

事件概述

在最新一期的网络攻击系列报告中,我们深入分析了针对零售企业的真实攻击案例。数据显示,60%的零售企业报告因网络攻击导致业务中断,43%的企业在过去一年遭遇安全泄露。本文揭示了一个单一警报如何导致发现重大持续性网络威胁的过程,攻击者如何利用未修补的SharePoint漏洞和受损身份凭证渗透网络,以及微软事件响应团队如何迅速介入提供取证分析和可操作指导。

[下载完整的网络攻击报告]

发生了什么?

我们详细研究的案例分为两个部分 - 响应1和响应2。

响应1始于某零售客户收到名为"可能的Web Shell安装"的Microsoft Defender Experts警报。调查发现其SharePoint服务器上存在恶意ASPX文件,与漏洞CVE-2025-49706和CVE-2025-49704相关。这些漏洞允许攻击者伪造身份并注入远程代码。

响应2始于单个身份凭证泄露。攻击者通过滥用自助密码重置功能获得持久性访问,并使用Microsoft Entra ID和Microsoft Graph API映射组织的身份结构。问题升级后,攻击者使用Azure Virtual Desktop和远程桌面协议(RDP)提升访问权限,部署了PsExec和SQL Server Management Studio等工具,并使用Teleport、Azure CLI和Rsocx代理维持控制。随后进行了凭证操纵和目录探索,这些活动通过Entra ID风险事件得到确认。检测与响应团队(DART)再次提供专家支持以遏制和分析威胁。

在这两个案例中,客户都迅速联系了DART,这有助于验证泄露范围并评估攻击者活动和持久性机制。

洞察:身份管理弱点 标准用户和特权用户之间缺乏账户分离显著增加了横向移动风险。20个账户中有9个具有提升的访问权限,但没有适当的分层。

微软如何响应?

DART通过执行一系列全面行动迅速处理了这两起安全事件,旨在恢复控制、遏制网络威胁并增强长期韧性。团队首先通过Active Directory收回和Entra ID隔离重新掌控身份系统(包括本地和云环境)。通过降低受损账户权限、撤销令牌以及识别持久性机制(如Teleport和多因素认证设备注册),消除了威胁行为者的访问权限。恶意Web Shell在数小时内被检测和移除,展示了快速遏制能力。

为调查和修复事件,微软在关键基础设施上部署了专有取证工具,实现了根本原因分析和运营恢复。团队还指导受影响组织按照零信任原则增强安全配置,包括强制执行MFA。来自Defender和Microsoft Sentinel的威胁情报确认了系统性身份泄露,促使修补易受攻击系统并实施分阶段的大规模密码重置和用户身份重新认证。此外,勒索软件逆向工程揭示了对ESXi目录的有针对性攻击,为进一步的缓解策略提供了信息。

新的攻击者行为 攻击者使用自定义混淆的Web Shell绕过基本检测,这强调了行为分析对于检测快速演变战术的重要性。

客户如何做好准备?

在响应1的案例中,我们建议采取关键安全行动来加固本地SharePoint环境并减少对已知漏洞的暴露,这是我们向所有客户推荐的做法。客户可以通过在所有设备上部署端点检测和响应(EDR)、进行定期漏洞扫描以及加强身份和访问控制来降低风险。还应实施集中日志记录和威胁情报,同时保留证据并维护健全的事件响应计划。监控行为异常、可疑进程和恶意软件指标的工具对于防范当今的威胁行为者越来越必要。

及时修补 - 特别是针对已知被利用的漏洞 - 仍然是客户的关键防御措施。定期安全卫生实践 - 如对所有账户强制执行MFA、移除不活动的凭证以及应用最小特权原则 - 可以在威胁快速变化时实时改善防御。

网络攻击速度加快 攻击者的速度值得注意。我们在入侵后的瞬间就观察到了"键盘操作"行为,这凸显了实时检测和响应的重要性。

什么是网络攻击系列?

通过网络攻击系列,客户可以了解DART如何调查独特且显著的网络攻击。对于每个网络攻击故事,我们分享:

  • 网络攻击如何发生
  • 安全泄露如何被发现
  • 微软对威胁行为者的调查和驱逐
  • 避免类似网络攻击的策略

虽然这次零售客户是攻击者的目标,但这些事件鲜明地提醒我们,主动修补、身份分段和持续监控是所有客户防御现代网络威胁的基本安全实践。DART由高度专业化的调查员、研究员、工程师和分析师组成,专门处理全球安全事件。我们在网络安全事件之前、期间和之后都有专门专家为客户提供服务。

通过Microsoft Security了解更多

要了解有关DART能力的更多信息,请访问我们的网站,或联系您的微软客户经理或首要支持联系人。要了解上述网络安全事件的更多信息,包括更多见解和保护您自己组织的信息,请下载完整报告。

[下载完整的网络攻击报告]

要了解有关Microsoft Security解决方案的更多信息,请访问我们的网站。收藏安全博客以了解我们关于安全事务的专家报道。同时,在LinkedIn(Microsoft Security)和X(@MSFTSecurity)上关注我们,获取网络安全的最新新闻和更新。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次