钓鱼攻击杀伤链可视化

从初始入侵到数据外泄的完整攻击流程

BAS AI 黑客

C2: 185.143.223.47

1

钓鱼邮件

"拥抱AI变革"通知

2

恶意软件执行

Cobalt Strike DLL

3

C2通道

api.cloudfront[.]com

4

凭据窃取

Mimikatz + Chrome

5

云文档访问

语雀API Token

6

数据库服务器访问

10.8.8.88

7

数据外泄

DNS隧道传输

C2连接

数据外泄完成

攻击时间线与安全告警

检测到钓鱼邮件

邮件安全网关

[严重] 检测到仿冒发件人邮件 | 发件人: itsupport@fakecompany[.]com → 目标: victim@corp.com

恶意进程注入

终端检测与响应 (EDR)

[高危] 可疑进程注入行为 | 进程: C:\Windows\System32\explorer.exe → 加载内存模块: a09xdf.dll

可疑C2通信

网络流量分析 (NTA)

[紧急] 异常外联行为 | 目标IP: 54.231.1.1(归属AWS新加坡) | 协议: HTTPS

检测到凭据窃取

身份认证异常检测 (UEBA)

[高危] 异常浏览器会话 | 用户: Victim_Account | IP来源: 172.16.1.23 → 登录设备指纹突变

敏感数据访问

DLP (数据防泄漏)

[严重] 敏感数据访问行为 | 用户: Victim_Account | 操作: 下载文档ID: YUQUE-1234

数据库服务器入侵

HIDS (主机入侵检测)

[紧急] 非常规时间SSH登录 | 账号: dba_admin | 来源IP: 10.8.8.12 | 操作: 执行SHOW DATABASES

检测到数据外泄

全流量威胁回溯

[严重] 异常数据传输 | 协议: DNS TXT记录 | 目标域: xyz.attacker[.]com | 数据量: 142MB

Made with DeepSite LogoDeepSite - 🧬 Remix