# 纵向案例:医疗行业多网段跨域攻击
> 目标:某市级中心医院 | 关联单位:某市级人民医院、某其他市级远程医疗系统
> 网络范围:外网 → 内网(3个C段)→ 专网(4个C段) | 涉及系统:HIS / PACS / OA / EDR / 医保 / 疾控
> 上线主机:9台(含跨单位 SYSTEM 权限主机) | 全程无物理接触
---
## 一、攻击阶段总览
```
外网入口 ──WebService 任意文件上传──▶ 某医疗服务器 ──凭据横向──▶ 内网 21 台主机
│
┌──────────────┤
▼ ▼
火绒集控中心投毒 卫生网 / 电子健康卡等
│ (5台 SYSTEM)
┌─────┴─────┐
▼ ▼
信息科管理员 PC 其他终端
(frp 隧道)
│
┌─────────┼─────────┐
▼ ▼ ▼
PACS 影像 远程医疗系统 外部关联医院
(MSSQL→SYSTEM) (Shiro RCE) (MSSQL→土豆提权→SYSTEM)
```
---
## 二、各阶段技术细节
### 阶段 1:外网突破 — SOAP WebService 任意文件上传
| 项目 | 内容 |
|------|------|
| 漏洞类型 | SOAP WebService 无鉴权任意文件上传 |
| 漏洞端点 | `/HDService.asmx` → `UploadLogFile` 接口 |
| 利用方式 | 构造 SOAP XML,将 Godzilla webshell 以 Base64 编码上传到 `/LogApp/` 目录 |
| 绕过手段 | Webshell 代码采用 Unicode 编码 + 随机注释 + AES 解密 + 内存动态加载,绕过主机杀软静态查杀 |
| Webshell | 哥斯拉(Godzilla),CSharpDynamicPayload,AES-Base64 加密通信 |
### 阶段 2:内网横向 — 凭据窃取 + 密码复用 + 投毒链
| 步骤 | 技术 | 工具 | 结果 |
|------|------|------|------|
| 提权 | 土豆系列(SweetPotato)本地特权提升 | SweetPotato | IIS APPPOOL → SYSTEM |
| C2 上线 | Cobalt Strike 4.x,Stageless Beacon | CS | 首台主机上线 |
| 凭据抓取 | LSASS 内存读取 NTLM Hash + 在线破解 | Mimikatz | 获取 Administrator 明文密码 |
| 内网扫描 | 3389 端口探测 + 密码复用验证 | fscan | 31 台开放 3389,21 台复用同一密码 |
| 集控投毒 | 登录火绒终端安全管理中心 → 文件分发 → 上传木马 → "以系统权限运行" → 投放到全部终端 | 火绒 V2 集控 | 信息科管理员 PC、其他终端上线 CS |
| 浏览器凭据 | 浏览器密码/历史/书签一键提取 | Pillager | OA / HIS / 运营门户等 10+ 系统账号密码 |
| 内网隧道 | frp SOCKS5 代理,穿透内网访问专网 | frpc | 打通至 10 段专网 |
### 阶段 3:专网深度渗透 — 多系统逐一击破
| 目标系统 | 漏洞/入口 | 利用链 | 权限 |
|----------|----------|--------|------|
| **PACS 影像系统** | IIS 目录遍历 → `DBSetting.aspx` 明文泄露 MSSQL SA 弱密码 | MSSQL 日志备份写入 Godzilla webshell → 上线 CS | WEBSHELL |
| **远程医疗系统** | Apache Shiro RememberMe 反序列化 (CVE-2016-4437) | 硬编码密钥,AES-GCM,CommonsCollectionsK1 利用链 → AllEcho 回显 RCE | RCE(次日被 EDR 阻断) |
| **外部关联医院 HIS** | MSSQL SA 密码复用 | MDUT CLR 方式上传免杀 webshell → BadPotato 提权 → SYSTEM → CS TCP 正向直连上线 | SYSTEM |
| **医保/疾控/出生证明** | 信息科管理员 PC 已有专网路由 | 通过 frp 隧道直接访问 | 可达(未深入) |
---
## 三、免杀对抗与安全产品对抗
| 安全产品 | 对抗结果 |
|----------|----------|
| **火绒终端安全管理系统 V2** | 集控中心被攻破,控制台登录 → 文件分发功能被用于全网投毒 |
| **某品牌 EDR(终端防御)** | Shiro 利用链于次日被阻断;但采用 AES-CBC 加密 + SharpDinvokeLoader 加载的 Stageless Beacon 成功落地并长期存活 |
| **某品牌主机监控审计** | 未产生有效告警 |
| **Microsoft Security Essentials** | 未检出 Godzilla webshell 及内存 Beacon |
| **Windows Defender** | 未检出 |
**免杀方案**:
- Webshell:Godzilla 特战版 V4.15 + BypassGodzilla 生成器(混淆 + 加密 + 内存加载)
- CS Beacon:AES-CBC 加密 + SharpDinvokeLoader 内存加载,回避静态特征
- 进程伪装:`secinit.exe` / `svchost.exe`
---
## 四、攻击成果
| 指标 | 数值 |
|------|------|
| 上线主机 | **9 台**(3 台出网 Beacon + 6 台内网正向直连) |
| 最高权限主机 | **6 台 SYSTEM**(含外部关联医院跨单位主机) |
| 横向移动主机 | **21 台**(密码复用 3389) |
| 获取凭据 | **15+ 组**(含 OA/HIS/火绒/MSSQL SA/Windows 管理员) |
| 涉及网段 | **7 个 C 段**(3 内网 + 4 专网) |
| 涉及单位 | **3 家**(目标医院 / 外部关联医院 / 远程医疗系统) |
| 安全产品击穿 | **4 款**(火绒 / 某品牌 EDR / MSSE / Defender) |
---
## 五、核心能力展示
1. **多网段跨域渗透**:从外网 Web 入口逐层穿透至内网、专网,最终到达医保网、疾控网的边界
2. **漏洞挖掘与利用**:WebService 文件上传、Shiro 反序列化、IIS 列目录、MSSQL 日志备份写 Shell 等多种手法
3. **凭据攻击链**:Mimikatz 抓 Hash → 在线破解 → fscan 批量验证复用 → Pillager 浏览器凭据 → 火绒集控后台登录
4. **供应链 / 信任链攻击**:攻陷安全产品(火绒集控)反向投毒全网终端
5. **免杀对抗**:在火绒 + 某品牌 EDR + Defender 多层防护下保持 Webshell 和 Beacon 长期存活
6. **隧道与代理**:frp SOCKS5 搭建内网代理,打通跨网段访问通道
7. **跨单位横向**:通过 MSSQL SA 密码复用,从目标医院横向至外部关联医院并获取 SYSTEM
|
评论交流