360-2017年應(yīng)急響應(yīng)分析報(bào)告

1、免費(fèi)獲取群內(nèi)1、2、5+；當(dāng)日華爾街日?qǐng)?bào)、3、每周4、每月匯總500+份當(dāng)月（增值服務(wù)）掃一掃 關(guān)注公號(hào)回復(fù)：加入“起點(diǎn)財(cái)經(jīng)”群。摘要2017 年全年 360 安服團(tuán)隊(duì)共參與和處置了 199 起應(yīng)急響應(yīng)事件.行業(yè)應(yīng)急處置排三位的分別為部門（59 起）、事業(yè)（24 起）、金融機(jī)構(gòu)（16起），占到所有行業(yè)應(yīng)急處置的 29.6%、12.1%、8.0%，三者之和約占應(yīng)急處置事件總量的 49.6%。在 2017 年 360 安服團(tuán)隊(duì)參與處置的所有機(jī)構(gòu)和企業(yè)的應(yīng)急響應(yīng)事件中，由行業(yè)自己發(fā)現(xiàn)的安全事件占 88%，而另有 12%的安全事件機(jī)構(gòu)和企業(yè)實(shí)際上是不自知的，他們是在得到了機(jī)構(gòu)或主管的通報(bào)才得知已被。安

2、全事件的影響范圍主要集中在外部和（42%）、服務(wù)器和數(shù)據(jù)庫(kù)（39%）。除此之外，還占有一定比例的還有辦公終端（9%）、重要業(yè)務(wù)系統(tǒng)（3%）。黑產(chǎn)活動(dòng)、敲詐仍然是者機(jī)構(gòu)、大中型企業(yè)的主要原因。開(kāi)展黑產(chǎn)活動(dòng)謀取暴利；利用者通過(guò)黑詞暗鏈、頁(yè)面、挖礦程序等機(jī)構(gòu)、大中型企業(yè)終端、服務(wù)器，對(duì)其實(shí)施敲詐。從上述數(shù)據(jù)可以看出，者對(duì)系統(tǒng)的所產(chǎn)生現(xiàn)象主要表現(xiàn)為導(dǎo)致生產(chǎn)效率低下、破壞性、聲譽(yù)影響、系統(tǒng)不可用。其中，導(dǎo)致生產(chǎn)效率低下占比 29.1%，破壞性攻擊占比 18%，聲譽(yù)影響占比 16%。：應(yīng)急響應(yīng)、安全服務(wù)、敲詐、黑產(chǎn)活動(dòng)、木馬目錄第一章前言1第二章應(yīng)急響應(yīng)監(jiān)測(cè)分析2一、二、三、四、五、六、七、月度行業(yè)趨勢(shì)分

3、析2分析2事件發(fā)現(xiàn)分析3影響范圍分布分析4意圖分布分析5現(xiàn)象統(tǒng)計(jì)分析6事件類型分布分析7第三章應(yīng)急響應(yīng)服務(wù)分析8一、（一）（二）（三）（四）（五）（六）（七）安全8網(wǎng)頁(yè)被篡改8子頁(yè)面8DDoSCC.8.8流量異常9異常進(jìn)程與異常外聯(lián)9安全總結(jié)及防護(hù)建議9二、 終端安全10（一）（二）（三）（四）運(yùn)行異常10. 10DDoS. 11終端安全總結(jié)及防護(hù)建議11三、 服務(wù)器安全11（一）（二）（三）（四）（五）運(yùn)行異常11木馬. 12. 12. 12DDoS服務(wù)器安全總結(jié)及防護(hù)建議12四、 郵箱安全13（一）（二）（三）郵箱異常14郵箱 DDoS. 14郵箱安全總結(jié)及防護(hù)建議14附錄 360 安服團(tuán)

4、隊(duì)15第一章前言當(dāng)前，網(wǎng)絡(luò)空間安全形勢(shì)日益嚴(yán)峻，國(guó)府機(jī)構(gòu)、大中型企業(yè)的門戶和重要造成嚴(yán)重的業(yè)務(wù)系統(tǒng)成為者的首要目標(biāo)，安全事件層出不窮、逐年增加，給各影響。為妥善處置和應(yīng)對(duì)機(jī)構(gòu)、大中型企業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生的突發(fā)事件，確保關(guān)鍵信息基礎(chǔ)設(shè)施的安全、穩(wěn)定、持續(xù)運(yùn)行，防止造成聲譽(yù)影響和經(jīng)濟(jì)損失，需進(jìn)一步加強(qiáng)與信息化應(yīng)急保障能力。2017 年，360 安全服務(wù)團(tuán)隊(duì)/360 安服團(tuán)隊(duì)共為各地 100 余家機(jī)構(gòu)、大中型企業(yè)提供了應(yīng)急響應(yīng)服務(wù)，參與和協(xié)助處置各類應(yīng)急響應(yīng)事件 199 次，第一時(shí)間恢復(fù)系統(tǒng)運(yùn)行，最大限度減少突發(fā)安全事件對(duì)機(jī)構(gòu)、大中型企業(yè)的門戶和業(yè)務(wù)系統(tǒng)造成的損失和對(duì)公眾的不良影響，提高了公眾服

5、務(wù)滿足度。同時(shí)，為業(yè)建立完善的應(yīng)急響應(yīng)體系提供技術(shù)支撐。機(jī)構(gòu)、大中型企應(yīng)急響應(yīng)服務(wù)是安全防護(hù)的最后一道防線，鞏固應(yīng)急防線對(duì)安全能力建設(shè)至關(guān)重要。360 構(gòu)建了全流程的應(yīng)急響應(yīng)服務(wù)體系，為全生命周期的應(yīng)急服務(wù)。機(jī)構(gòu)、大中型企業(yè)提供高效、實(shí)時(shí)、1第二章應(yīng)急響應(yīng)監(jiān)測(cè)分析2017 年 360 安服團(tuán)隊(duì)共參與和處置了 199 起一時(shí)間協(xié)助用戶處理安全事故，確保了用戶門戶范圍內(nèi)的應(yīng)急響應(yīng)事件，第和重要業(yè)務(wù)系統(tǒng)的持續(xù)安全穩(wěn)定運(yùn)行。為進(jìn)一步提高機(jī)構(gòu)、大中型企業(yè)對(duì)突發(fā)安全事件的認(rèn)識(shí)，增強(qiáng)安全防護(hù)意識(shí)，同時(shí)強(qiáng)化第安全服務(wù)商的應(yīng)急響應(yīng)能力，對(duì) 2017 年全年處置的所有應(yīng)急響應(yīng)事件從不同維度進(jìn)行統(tǒng)計(jì)分析，反映全年的

6、應(yīng)急響應(yīng)情況和者的目的及意圖。一、月度趨勢(shì)分析2017 年全年 360 安服團(tuán)隊(duì)共參與和處置了 199 起勢(shì)分布如下圖所示：應(yīng)急響應(yīng)事件，月度趨從上述數(shù)據(jù)中可以看到，每年年初和年底發(fā)生的應(yīng)急響應(yīng)事件請(qǐng)求存在較大反差，年初處置的安全應(yīng)急請(qǐng)求較少，年底相對(duì)較多，3 月份到 10 月份整體上處置的安全應(yīng)急請(qǐng)求趨于平穩(wěn)。對(duì)機(jī)構(gòu)、大中型企業(yè)的從未間斷過(guò)，在重要時(shí)期的更加頻繁。所以，機(jī)構(gòu)、大中型企業(yè)應(yīng)做好全年的安全防護(hù)工作，特別是重要時(shí)期的安全保障工作，同時(shí)建立完善的應(yīng)急響應(yīng)機(jī)制。二、行業(yè)分析通過(guò)對(duì) 2017 年全年應(yīng)急響應(yīng)事件行業(yè)分類分析，匯總出行業(yè)應(yīng)急處置數(shù)量圖所示：，如下2三位的分別為部門（59 起

7、）、事業(yè)單從上述數(shù)據(jù)中可以看出，行業(yè)應(yīng)急處置排位（24 起）、金融機(jī)構(gòu)（16 起），占到所有行業(yè)應(yīng)急處置的 29.6%、12.1%、8.0%，三者之和約占應(yīng)急處置事件總量的 49.6%，即全年應(yīng)急響應(yīng)事件一半是出在部門、事業(yè)、金融機(jī)構(gòu)。而交通了各行業(yè)的 33%。、能源、IT、所產(chǎn)生的應(yīng)急響應(yīng)事件也占到從行業(yè)其次為交通可知者的主要、能源、IT對(duì)象為各級(jí)部門、事業(yè)以及金融機(jī)構(gòu)，、和，從中竊取數(shù)據(jù)、敲詐。上述機(jī)構(gòu)在原有安全防護(hù)基礎(chǔ)上，應(yīng)進(jìn)一步強(qiáng)化安全技術(shù)和管理建設(shè)，同時(shí)應(yīng)與第商建立良好的應(yīng)急響應(yīng)溝通和處置機(jī)制。安全服務(wù)三、事件發(fā)現(xiàn)分析通過(guò)對(duì) 2017 年全年應(yīng)急響應(yīng)事件圖所示：發(fā)現(xiàn)類型分析，匯總出事

8、件發(fā)現(xiàn)情況，如下3在 2017 年 360 安服團(tuán)隊(duì)參與處置的所有機(jī)構(gòu)和企業(yè)的應(yīng)急響應(yīng)事件中，由行業(yè)自己發(fā)現(xiàn)的安全事件占 88%，而另有 12%的安全事件機(jī)構(gòu)和企業(yè)。實(shí)際上是不自知的，他們是在得到了機(jī)構(gòu)或主管的通報(bào)才得知已被雖然機(jī)構(gòu)和企業(yè)自行發(fā)現(xiàn)的安全事件占到了 88%，但并不代表其具備了潛在事件總量 39%的事件是的發(fā)現(xiàn)能力。實(shí)際上，僅有占安全機(jī)構(gòu)和企業(yè)通過(guò)內(nèi)部安全運(yùn)營(yíng)巡檢的方式查出的，而其余 49%的安全事件能夠被發(fā)現(xiàn)，則完全是因?yàn)槠渚W(wǎng)絡(luò)系統(tǒng)已經(jīng)出現(xiàn)了顯著的跡象，或者是已經(jīng)遭到了者的敲詐。更有甚者，某些實(shí)際上是在已經(jīng)遭遇了巨大的損失后才發(fā)現(xiàn)自己的網(wǎng)絡(luò)系統(tǒng)遭到了。從上述數(shù)據(jù)中可以看出，乏主動(dòng)

9、發(fā)現(xiàn)隱蔽性較好地機(jī)構(gòu)、大中型企業(yè)仍然普遍缺乏足夠的安全監(jiān)測(cè)能力，缺的能力。四、影響范圍分布分析通過(guò)對(duì) 2017 年全年應(yīng)急響應(yīng)事件處置陷區(qū)域分布，如下圖所示：分析，匯總出安全事件的影響范圍分布即失442%）、從上述數(shù)據(jù)中可以看出，安全事件的影響范圍主要集中在外部和服務(wù)器和數(shù)據(jù)庫(kù)（39%）。除此之外，還占有一定比例的還有辦公終端（9%）、重要業(yè)務(wù)系統(tǒng)（3%）。從影響范圍分布可知，者的主要對(duì)象為機(jī)構(gòu)、大中型企業(yè)的互聯(lián)網(wǎng)門戶網(wǎng)站、到多重安全、業(yè)務(wù)系統(tǒng)服務(wù)器以及數(shù)據(jù)庫(kù)，其主要原因是門戶在互聯(lián)網(wǎng)上受，者通過(guò)對(duì)的，實(shí)現(xiàn)敲詐、滿足個(gè)人利益需求；而網(wǎng)站、敲詐服務(wù)器和數(shù)據(jù)庫(kù)運(yùn)行業(yè)務(wù)系統(tǒng)、存放重要數(shù)據(jù)，也成為者進(jìn)

10、行黑產(chǎn)活動(dòng)、等違法行為的主要目標(biāo)。基于此，、機(jī)構(gòu)、大中型企業(yè)應(yīng)強(qiáng)化對(duì)互聯(lián)網(wǎng)門戶的安全防護(hù)建設(shè)，加強(qiáng)對(duì)內(nèi)網(wǎng)中服務(wù)器和數(shù)據(jù)庫(kù)、終端以及業(yè)務(wù)系統(tǒng)的安全防護(hù)保障和數(shù)據(jù)安全管理。五、意圖分布分析通過(guò)對(duì) 2017 年全年應(yīng)急響應(yīng)事件處置分析，匯總出者機(jī)構(gòu)、大中型企業(yè)的意圖分布，如下圖所示：5從上述數(shù)據(jù)中可以看出，黑產(chǎn)活動(dòng)、敲詐仍然是者機(jī)構(gòu)、大中型企業(yè)開(kāi)展黑產(chǎn)活動(dòng)謀取暴利；的主要原因利用者通過(guò)黑詞暗鏈頁(yè)面、挖礦程序等機(jī)構(gòu)、大中型企業(yè)終端、服務(wù)器，對(duì)其實(shí)施敲詐的主要原因是為獲取暴利，實(shí)現(xiàn)自身最大利益。對(duì)于大部分攻擊者而言，其進(jìn)行APT和出于政治原因意圖的存在，說(shuō)明具有組織性、針對(duì)性的團(tuán)隊(duì)對(duì)政府機(jī)構(gòu)、大中型企業(yè)

11、的目的不單單是為錢財(cái)，而有可能出于政治意圖，竊取國(guó)家層面、重點(diǎn)領(lǐng)域的數(shù)據(jù)。雖然 APT和出于政治原因的數(shù)量相對(duì)較少，但其危害性較重，所以機(jī)構(gòu)、大中型企業(yè)，特別是機(jī)構(gòu)，應(yīng)強(qiáng)化整體安全防護(hù)體系建設(shè)。響應(yīng)事件的減少，表明業(yè)務(wù)、運(yùn)維的安全意識(shí)有所。六、現(xiàn)象統(tǒng)計(jì)分析通過(guò)對(duì) 2017 年全年應(yīng)急響應(yīng)事件處置分析，匯總出現(xiàn)象，如下圖所示：6從上述數(shù)據(jù)可以看出，者對(duì)系統(tǒng)的所產(chǎn)生現(xiàn)象主要表現(xiàn)為導(dǎo)致生產(chǎn)效率低下、破壞性、聲譽(yù)影響、系統(tǒng)不可用。其中，導(dǎo)致生產(chǎn)效率低下占比 29.1%，者通過(guò)挖礦、服務(wù)等使服務(wù)器者通過(guò)利用服務(wù)CPU 占用率異常高，從而造成生產(chǎn)效率低下；破壞性占比 18%，器、配置不當(dāng)、弱口令、Web等

12、系統(tǒng)安全缺陷，對(duì)系統(tǒng)實(shí)施破壞性；聲譽(yù)影響占比 16%，主要體現(xiàn)在對(duì)機(jī)構(gòu)、大中型企業(yè)門戶進(jìn)行的網(wǎng)頁(yè)篡改、黑詞暗鏈、 不可用占比敏感信息子頁(yè)面等，對(duì)和企業(yè)造成嚴(yán)重的聲譽(yù)影響，特別是機(jī)構(gòu)；系統(tǒng)10%，主要表現(xiàn)為者通過(guò)對(duì)系統(tǒng)的，直接造成業(yè)務(wù)系統(tǒng)宕機(jī)。同時(shí)，、數(shù)據(jù)丟失、網(wǎng)絡(luò)不可用也是產(chǎn)生的現(xiàn)象，對(duì)機(jī)構(gòu)、大中型企業(yè)造成嚴(yán)重。從現(xiàn)象統(tǒng)計(jì)看者對(duì)系統(tǒng)的具備破壞性、針對(duì)性，嚴(yán)重影響系統(tǒng)正常運(yùn)行。七、事件類型分布分析通過(guò)對(duì) 2017 年全年應(yīng)急響應(yīng)事件處置分析，匯總出事件類型分布，如下圖所示：從上述數(shù)據(jù)可以看出，安全事件類型主要表現(xiàn)在服務(wù)器告警、網(wǎng)頁(yè)被篡改、運(yùn)行異常/異常外聯(lián)、PC告警等方面。，占 28%，成為攻其

13、中，服務(wù)器擊者主要的告警是者利用對(duì)服務(wù)器進(jìn)行的；網(wǎng)頁(yè)被篡改是者對(duì)互聯(lián)網(wǎng)門戶進(jìn)行的常見(jiàn)，占 12%，嚴(yán)重?fù)p害機(jī)構(gòu)、大中型企業(yè)的聲譽(yù)；運(yùn)行異常/異常外聯(lián)是者利用不同的造成服務(wù)器、系統(tǒng)運(yùn)行異?；虍惓Ｍ饴?lián)，降低生產(chǎn)效率；PC告警是者利用感染對(duì)辦公終端進(jìn)行，占 8%，是對(duì)終端的主要。/遲緩、webs除此之外，還有流量監(jiān)測(cè)異常、被通報(bào)安全事件、無(wú)法告警等安全事件類型。所以，作為機(jī)構(gòu)、大中型企業(yè)的安全和安全主管，應(yīng)清楚地認(rèn)識(shí)到者可通過(guò)不同的方式，對(duì)安全防護(hù)需要。的服務(wù)器或系統(tǒng)進(jìn)行，單一、的安全防護(hù)措施已7第三章應(yīng)急響應(yīng)服務(wù)分析根據(jù) 2017 年 360 安服團(tuán)隊(duì)的現(xiàn)場(chǎng)處置情況，機(jī)構(gòu)、大中型企業(yè)在自行發(fā)現(xiàn)或被

14、通告事件，并主動(dòng)尋求應(yīng)急響應(yīng)服務(wù)時(shí)，絕大多數(shù)情況是因?yàn)榛ヂ?lián)網(wǎng)（DMZ 區(qū)）、辦公區(qū)終端、質(zhì)量。重要業(yè)務(wù)服務(wù)器以及郵件服務(wù)器等遭到了網(wǎng)絡(luò)，影響了系統(tǒng)運(yùn)行和服務(wù)下面將分別對(duì)這四類對(duì)象從主要現(xiàn)象、主要危害、行分類分析。方法，以及者的主要目的進(jìn)一、安全（一） 網(wǎng)頁(yè)被篡改主要現(xiàn)象：首頁(yè)或關(guān)鍵頁(yè)面被篡改，出現(xiàn)各種不良信息，甚至信息。主要危害：散步各類不良或低其公。信息，影響機(jī)構(gòu)、企業(yè)聲譽(yù)，特別是機(jī)構(gòu)，降方法：利用 webs等木馬后門，對(duì)網(wǎng)頁(yè)實(shí)施篡改。目的：宣泄對(duì)社會(huì)或的不滿；炫技或挑釁中招企業(yè)；對(duì)企業(yè)進(jìn)行敲詐。（二）子頁(yè)面主要現(xiàn)象：存在、等子頁(yè)面。主要危害：通過(guò)搜索引擎搜索相關(guān)，將出現(xiàn)、等信息；通過(guò)搜索引

15、擎搜索、信息，也會(huì)出現(xiàn)相關(guān)；對(duì)于被植入網(wǎng)頁(yè)的情況，當(dāng)用戶相關(guān)網(wǎng)站頁(yè)面時(shí)，安全可能不會(huì)給出風(fēng)險(xiǎn)提示。對(duì)于難度相對(duì)較大。而言，該現(xiàn)象的出現(xiàn)將嚴(yán)重降低的性及在民眾中的公，挽回利用 webs方法：等木馬后門，對(duì)進(jìn)行子頁(yè)面的植入。目的：的 SEO 優(yōu)化；為網(wǎng)絡(luò)詐騙提供“相對(duì)安全”頁(yè)面。（三） DDoS主要現(xiàn)象：機(jī)構(gòu)或企業(yè)無(wú)法、遲緩。主要危害：業(yè)務(wù)中斷，用戶無(wú)法。特別是對(duì)于官網(wǎng)，影響民眾網(wǎng)上辦事，降低公利用多類型DDoS 技術(shù)對(duì)方法：進(jìn)行分布式抗服務(wù)。目的：敲詐或企業(yè)；企業(yè)間的競(jìng)爭(zhēng)；宣泄對(duì)的不滿。（四） CC主要現(xiàn)象：無(wú)法、網(wǎng)頁(yè)緩慢、業(yè)務(wù)異常。8主要危害：業(yè)務(wù)中斷，用戶無(wú)法、網(wǎng)頁(yè)緩慢。方法：主要采用發(fā)起遍

16、歷數(shù)據(jù)行為、發(fā)起 SQL 注入行為、發(fā)起頻繁請(qǐng)求行為等方式進(jìn)行。目的：敲詐；競(jìng)爭(zhēng)；宣泄對(duì)的不滿。（五）流量異常主要現(xiàn)象：異?，F(xiàn)象不明顯，偶發(fā)性流量異常偏高，且非業(yè)務(wù)繁忙時(shí)段也會(huì)出現(xiàn)流量異常偏高。主要危害：盡管從表面上看，受到的影響不大。但實(shí)際上，已經(jīng)處于被控制的高度狀態(tài)，各種有危害的都有可能發(fā)生。方法：利用 webs等木馬后門，控制；某些者甚至?xí)詾樘澹瑢?duì)企業(yè)的網(wǎng)絡(luò)實(shí)施滲透。目的：對(duì)進(jìn)行掛馬、篡改、暗鏈植入、頁(yè)面植入、數(shù)據(jù)竊取等。（六） 異常進(jìn)程與異常外聯(lián)主要現(xiàn)象：操作系統(tǒng)響應(yīng)緩慢、非繁忙時(shí)段流量異常、存在異常系統(tǒng)進(jìn)程以及服務(wù)，存在異常的外連現(xiàn)象。主要危害：系統(tǒng)異常，系統(tǒng)資源耗盡，業(yè)務(wù)無(wú)法正

17、常；同時(shí)，也可能會(huì)成為攻擊者的跳板，或者是對(duì)其他發(fā)動(dòng)DDoS的源。方法：使用系統(tǒng)資源對(duì)外發(fā)起DDoS實(shí)施。作為 IP；將，隱藏者，目的：長(zhǎng)期潛伏，竊取重要數(shù)據(jù)信息。（七）安全總結(jié)及防護(hù)建議1) 安全以上六類安全，是機(jī)構(gòu)、大中型企業(yè)門戶所的主要，也是網(wǎng)站安全應(yīng)急響應(yīng)服務(wù)所要解決的主要問(wèn)題。通過(guò)對(duì)現(xiàn)場(chǎng)處置情況的匯總和分析得知，主要采用以下對(duì)實(shí)施：第一、利用門戶弱口令以及第利用該 websTomcat、IIS 等中間件已有組件或服務(wù)配置不當(dāng)?shù)?，?webs對(duì)服務(wù)器進(jìn)行操作；、各類應(yīng)用上傳、上傳至門戶 web 服務(wù)器，第二、利用已有上傳，如挖礦木馬等，造成運(yùn)行異常；第三、利用多類型 DDoS技術(shù)（SY

18、N Flood、ACK Flood、UDP Flood、ICMPFlood 等），對(duì)實(shí)施 DDoS；第四、發(fā)起遍歷數(shù)據(jù)、SQL 注入、頻繁請(qǐng)求等方式進(jìn)行攻擊。2) 安全防護(hù)建議9針對(duì)所的安全以及可能造成的安全損失，機(jī)構(gòu)、大中型企業(yè)應(yīng)采取以下安全防護(hù)措施：第一、針對(duì)對(duì)，建立完善的監(jiān)測(cè)行為進(jìn)行防護(hù)；機(jī)制，及時(shí)發(fā)現(xiàn)行為，啟動(dòng)應(yīng)急預(yù)案并有效加強(qiáng)控制 ACL 策略，細(xì)化策略粒度，按區(qū)域按業(yè)務(wù)嚴(yán)格限制各網(wǎng)絡(luò)第二、區(qū)域以及服務(wù)器之間的口，其他端口一律，采用白機(jī)制只允許開(kāi)放特定的業(yè)務(wù)必要端，僅管理員 IP 可對(duì)管理端口進(jìn)行，如 FTP、數(shù)據(jù)庫(kù)服務(wù)、桌面等管理端口；第三、配置并開(kāi)啟應(yīng)用日志，對(duì)應(yīng)用日志進(jìn)行定期異

19、地歸檔、備份，避免在攻擊行為發(fā)生時(shí)，導(dǎo)致無(wú)法對(duì)途徑、行為進(jìn)行溯源等，加強(qiáng)安全溯源能力；第四、加強(qiáng)防御能力，建議在服務(wù)器上安裝相應(yīng)的防或部署防病毒網(wǎng)關(guān)，即時(shí)對(duì)力；庫(kù)進(jìn)行更新，并且定期進(jìn)行全面掃描，加強(qiáng)防御能第五、定期開(kāi)展對(duì)系統(tǒng)、應(yīng)用以及網(wǎng)絡(luò)層面的安全評(píng)估、滲透測(cè)試以及代碼審計(jì)工作，主動(dòng)發(fā)現(xiàn)目前存在的安全隱患；第六、建議部署全流量監(jiān)測(cè)設(shè)備，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)流量，同時(shí)可進(jìn)一步加強(qiáng)追蹤溯源能力，對(duì)安全事件發(fā)生時(shí)可提供可靠的追溯依據(jù)；第七、加強(qiáng)日常安全巡檢制度，定期對(duì)系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合、安全日志以及安全策略情況進(jìn)行檢查，常態(tài)化工作。二、終端安全（一） 運(yùn)行異常主要現(xiàn)象：操作系統(tǒng)響應(yīng)緩慢、非繁忙時(shí)段流量異

20、常、存在異常系統(tǒng)進(jìn)程以及服務(wù)、存在異常的外連現(xiàn)象。主要危害：被的終端被者控制；機(jī)構(gòu)和企業(yè)的敏感、數(shù)據(jù)可能被竊取。個(gè)別情況下，會(huì)造成比較嚴(yán)重的系統(tǒng)數(shù)據(jù)破壞。方法：針對(duì)機(jī)構(gòu)、企業(yè)辦公區(qū)終端的，很多情況下是由高級(jí)者發(fā)動(dòng)的，而高級(jí)者的行動(dòng)往往動(dòng)作很小，技術(shù)也更隱蔽，所以通常情況下，并沒(méi)有太多的異常現(xiàn)象，被者往往很難發(fā)覺(jué)。目的：長(zhǎng)期潛伏，收集信息，以便于進(jìn)一步滲透；竊取重要數(shù)據(jù)并外傳；使用終端資源對(duì)外發(fā)起 DDoS。（二）主要現(xiàn)象：內(nèi)網(wǎng)終端出現(xiàn)藍(lán)屏、反復(fù)重啟和文檔被加密的現(xiàn)象。主要危害：。機(jī)構(gòu)、企業(yè)向者付費(fèi)用；造成內(nèi)網(wǎng)終端無(wú)法正常運(yùn)行；數(shù)據(jù)可能方法：通過(guò)弱口令探測(cè)、系統(tǒng)、等方式，使內(nèi)網(wǎng)終端10。目的：向

21、機(jī)構(gòu)、企業(yè)錢財(cái)，以到達(dá)自身目的。（三） DDoS主要現(xiàn)象：內(nèi)網(wǎng)終端不斷進(jìn)行的請(qǐng)求。主要危害：造成內(nèi)網(wǎng)終端資源的浪費(fèi)；等。者可能對(duì)內(nèi)網(wǎng)進(jìn)行，造成業(yè)務(wù)中止、數(shù)據(jù)方法：可通過(guò)網(wǎng)絡(luò)連接、異常進(jìn)程、系統(tǒng)進(jìn)程注入可疑 DLL 模塊以及異常啟動(dòng)項(xiàng)等多種方式進(jìn)行。目的：使用機(jī)構(gòu)、企業(yè)的內(nèi)網(wǎng)終端資源對(duì)外發(fā)起 DDoS，以達(dá)到敲詐、勒索以及競(jìng)爭(zhēng)等目的。（四） 終端安全總結(jié)及防護(hù)建議1) 安全以上三類終端安全，是機(jī)構(gòu)、大中型企業(yè)內(nèi)網(wǎng)終端所的主要，也是終端安全應(yīng)急響應(yīng)所要解決的主要問(wèn)題。通過(guò)對(duì)現(xiàn)場(chǎng)處置情況的匯總和分析得知，主要采用以下對(duì)終端實(shí)施：第一、 通過(guò)弱口令、系統(tǒng)、社會(huì)人工學(xué)以及其他等，使內(nèi)網(wǎng)終端；第二、 通過(guò)

22、網(wǎng)絡(luò)連接、異常進(jìn)程、系統(tǒng)進(jìn)程注入可疑 DLL 模塊以及異常啟動(dòng)項(xiàng)等多種方式進(jìn)行。2) 安全防護(hù)建議針對(duì)內(nèi)網(wǎng)終端所的安全取以下安全防護(hù)措施：以及可能造成的安全損失，機(jī)構(gòu)、大中型企業(yè)應(yīng)采第一、 定期給終端系統(tǒng)及安裝補(bǔ)丁，防止因?yàn)槔脦?lái)的；第二、 采用的防，并定時(shí)更新，抵御常見(jiàn)木馬；第三、 在網(wǎng)絡(luò)層面采用能夠?qū)θ髁窟M(jìn)行持續(xù)和分析的設(shè)備，對(duì)已知安全事件進(jìn)行定位溯源，對(duì)未知的高級(jí)進(jìn)行發(fā)現(xiàn)和捕獲；機(jī)構(gòu)和企業(yè)的 IP 和終端位置信息關(guān)聯(lián)，并第四、 完善到日志中，方便根據(jù) IP 直接定位機(jī)器位置；第五、 加強(qiáng)員工對(duì)終端安全操作和管理培訓(xùn)，提高員工安全意識(shí)。三、服務(wù)器安全（一） 運(yùn)行異常主要現(xiàn)象：操作系統(tǒng)響

23、應(yīng)緩慢、非繁忙時(shí)段流量異常、存在異常系統(tǒng)進(jìn)程以及服務(wù)、存11在異常的外連現(xiàn)象。主要危害：被的服務(wù)器被者控制；機(jī)構(gòu)和企業(yè)的敏感、數(shù)據(jù)可能被竊取。個(gè)別情況下，會(huì)造成比較嚴(yán)重的系統(tǒng)數(shù)據(jù)破壞。方法：針對(duì)機(jī)構(gòu)、企業(yè)服務(wù)器的，很多情況下是由高級(jí)者發(fā)動(dòng)的，攻擊過(guò)程往往更加隱蔽，更加難以被發(fā)現(xiàn)，技術(shù)也更隱蔽。通常情況下，并沒(méi)有太多的異常現(xiàn)象。目的：長(zhǎng)期潛伏，收集信息，以便于進(jìn)一步滲透；竊取重要數(shù)據(jù)并外傳；使用服務(wù)器資源對(duì)外發(fā)起 DDoS。（二） 木馬主要現(xiàn)象：服務(wù)器無(wú)法正常運(yùn)行或異常重啟、管理員無(wú)法正常登陸進(jìn)行管理、重要業(yè)務(wù)中斷、服務(wù)器響應(yīng)緩慢等。主要危害：被的服務(wù)器被者控制；機(jī)構(gòu)和企業(yè)的敏感、數(shù)據(jù)可能被竊取

24、。個(gè)別情況下，會(huì)造成比較嚴(yán)重的系統(tǒng)數(shù)據(jù)破壞。方法：。通過(guò)利用弱口令探測(cè)、系統(tǒng)、應(yīng)用等方式，種植進(jìn)行目的：利用內(nèi)網(wǎng)服務(wù)器資源進(jìn)行虛擬幣的挖掘，從而賺取相應(yīng)的虛擬幣，以到達(dá)獲利目的。（三）主要現(xiàn)象：內(nèi)網(wǎng)服務(wù)器文件被加密，無(wú)法打開(kāi)，索要天價(jià)贖金。主要危害：用戶無(wú)法打開(kāi)文件，機(jī)構(gòu)、企業(yè)向者付費(fèi)用；造成內(nèi)網(wǎng)服務(wù)器無(wú)法正常運(yùn)行；數(shù)據(jù)可能。方法：通過(guò)利用弱口令探測(cè)、共享文件夾加密、系統(tǒng)、數(shù)據(jù)庫(kù)等攻擊方式，使內(nèi)網(wǎng)服務(wù)器。目的：通過(guò)使服務(wù)器，向機(jī)構(gòu)、企業(yè)錢財(cái)，以到達(dá)自身目的。（四） DDoS主要現(xiàn)象：向發(fā)起大量異常網(wǎng)絡(luò)請(qǐng)求、請(qǐng)求等。主要危害：嚴(yán)重影響內(nèi)網(wǎng)服務(wù)器性能，如服務(wù)器 CPU 以及帶寬等，導(dǎo)致服務(wù)器上的業(yè)

25、務(wù)無(wú)法正常運(yùn)行；者可能竊取內(nèi)網(wǎng)數(shù)據(jù)，造成數(shù)據(jù)等。方法：可能利用弱口令、系統(tǒng)、應(yīng)用。等系統(tǒng)缺陷，通過(guò)種馬的方式，讓服務(wù)器DDoS 木馬，以此發(fā)起DDoS目的：使用機(jī)構(gòu)、企業(yè)的內(nèi)網(wǎng)服務(wù)器對(duì)外發(fā)起 DDoS以及競(jìng)爭(zhēng)等目的。，以達(dá)到敲詐、（五） 服務(wù)器安全總結(jié)及防護(hù)建議121) 安全以上四類服務(wù)器安全，是機(jī)構(gòu)、大中型企業(yè)內(nèi)網(wǎng)服務(wù)器所的主要，也是服務(wù)器安全應(yīng)急響應(yīng)服務(wù)所要解決的主要問(wèn)題。通過(guò)對(duì)現(xiàn)場(chǎng)處置情況的匯總和分析得知主要采用以下對(duì)服務(wù)器實(shí)施：第一、 通過(guò)弱口令探測(cè)、共享文件夾加密、系統(tǒng)；、數(shù)據(jù)庫(kù)以及 Webs等多種方式，內(nèi)網(wǎng)服務(wù)器第二、利用弱口令、系統(tǒng)、應(yīng)用等系統(tǒng)缺陷，通過(guò)種馬的方式，讓服務(wù)器各類木

26、馬（如挖礦木馬、DDoS 木馬等），以此實(shí)現(xiàn)目的。2) 安全防護(hù)建議針對(duì)內(nèi)網(wǎng)服務(wù)器所的安全采取以下安全防護(hù)措施：以及可能造成的安全損失，機(jī)構(gòu)、大中型企業(yè)應(yīng)第一、 及時(shí)清除發(fā)現(xiàn)的 webs后門、木馬文件、挖礦程序。在不影響系統(tǒng)正常運(yùn)行的前提下，建議重新安裝操作系統(tǒng)，并重新部署應(yīng)用，以保證程序被徹底；第二、 對(duì)受害內(nèi)網(wǎng)機(jī)器進(jìn)行全盤查殺，可進(jìn)行全盤重裝系統(tǒng)更好，同時(shí)該機(jī)器所屬使用者的相關(guān)賬號(hào)信息應(yīng)及時(shí)更改；第三、 系統(tǒng)相關(guān)用戶杜絕使用弱口令，設(shè)置高復(fù)雜強(qiáng)度的，盡量包含大小寫字母、數(shù)字、特殊符號(hào)等的混合出現(xiàn)；，加強(qiáng)運(yùn)維安全意識(shí)，重用的情況第四、 有效加強(qiáng)控制 ACL 策略，細(xì)化策略粒度，按區(qū)域按業(yè)務(wù)嚴(yán)

27、格限制各個(gè)網(wǎng)絡(luò)區(qū)域以及服務(wù)器之間的其他端口一律理端口；，采用白機(jī)制只允許開(kāi)放特定的業(yè)務(wù)必要端口，僅管理員 IP 可對(duì)管理端口進(jìn)行，如桌面等管第五、服務(wù)器主動(dòng)發(fā)起外部連接請(qǐng)求，對(duì)于需要向外部服務(wù)器推送共享數(shù)據(jù)的，加入相關(guān)策略，對(duì)主動(dòng)連接 IP 范圍進(jìn)行限應(yīng)使用白制；的方式，在出口第六、 加強(qiáng)防御能力，建議在服務(wù)器上安裝相應(yīng)的防或部署防網(wǎng)關(guān)，防御能力；即時(shí)對(duì)庫(kù)進(jìn)行更新，并且定期進(jìn)行全面掃描，加強(qiáng)第七、 建議增加流量監(jiān)測(cè)設(shè)備的日志周期，定期對(duì)流量日志進(jìn)行分析，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)流量，同時(shí)可進(jìn)一步加強(qiáng)追蹤溯源能力，對(duì)安全事件發(fā)生時(shí)可提供可靠的追溯依據(jù)；第八、 定期開(kāi)展對(duì)服務(wù)器系統(tǒng)、應(yīng)用以及網(wǎng)絡(luò)層面的安全評(píng)估、滲透測(cè)試以及代碼審計(jì)工作，主動(dòng)發(fā)現(xiàn)目前系統(tǒng)、應(yīng)用存在的安全隱患；第九、 加強(qiáng)日常安全巡檢制度，定期對(duì)系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合、安全日志以及安全策略情況進(jìn)行