参考答案1
上个月处理过某制造企业的勒索病毒事件,他们内网多台服务器突然蓝屏,EDR告警显示有大量VSS卷影副本删除操作。我到现场先用Volatility分析内存转储,发现powershell进程注入lsass的恶意线程,溯源到钓鱼邮件里的带密码的Excel附件,攻击链用了Qakbot加载Cobalt Strike。最棘手的是对方用了无文件攻击,只在内存驻留的BEACON,传统杀软完全没检出。当时紧急隔离时发现横向移动用了PetitPotam协议,域控被打了PrintNightmare漏洞,最后通过Wireshark解密Kerberos流量,发现攻击者伪造的黄金票据。我们48小时内遏制了扩散,用Velociraptor全网扫描残留攻击载荷,还发现他们在NAS里藏了ICMP隧道后门。事后帮客户重建了WSUS补丁策略,并在核心交换机部署了NetFlow异常检测模型
答题人:黄金