2021-2022應(yīng)急響應(yīng)典型案例集研究報告

2021-2022應(yīng)急響應(yīng)典型案例

集研究報告2021年7月前言應(yīng)急響應(yīng)是網(wǎng)絡(luò)安全工作中的重要組成部分,當(dāng)政企機構(gòu)發(fā)生重大網(wǎng)絡(luò)安全事件時,往往意味著其背后存在著諸多的危險和隱患,應(yīng)急響應(yīng)事件的發(fā)生是長期網(wǎng)絡(luò)安全監(jiān)測不足，大量安全隱患未得到有效的及時處置等ー系列安全問題最終隱患的集中爆發(fā)。就像ー起火災(zāi)的爆發(fā),映射著長期的消防建設(shè)不足。通過應(yīng)急響應(yīng)往往能夠快速地發(fā)現(xiàn)政企機構(gòu)網(wǎng)絡(luò)安全建設(shè)中的典型不足。從應(yīng)急響應(yīng)事件來看，每次在應(yīng)急響應(yīng)結(jié)束后我們都會給政企機構(gòu)提供很多的整改意見，政企機構(gòu)在這些安全建議的基礎(chǔ)上也會進行大量的建設(shè)和提高,從而避免應(yīng)急事件的反復(fù)發(fā)生。我們在本書當(dāng)中為大家整理了奇安信歷年來處置過的幾千起應(yīng)急響應(yīng)中精選的50個典型的案例，一方面通過網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件來分析機構(gòu)的安全隱患，另ー方面，我們也可以通過應(yīng)急響應(yīng)案例來幫助更多企業(yè),一旦發(fā)生安全事故、安全風(fēng)險時有更多的經(jīng)驗和參考方法進行應(yīng)急響應(yīng)的處置,希望通過案例的分享能夠幫助我們的廣大政企機構(gòu)提前防御、提早發(fā)現(xiàn)、及時處置。通過近6年的應(yīng)急響應(yīng)工作,我們發(fā)現(xiàn)以下幾個典型特點。第一，勒索病毒的攻擊愈演愈烈，包括在國外發(fā)生的多起重大事件,國內(nèi)也不斷有相關(guān)攻擊案例的發(fā)生。同時,挖礦木馬也越來越流行;第二,政企機構(gòu)在網(wǎng)絡(luò)安全建設(shè)中網(wǎng)絡(luò)安全防護存在短板,常見如:弱口令、永恒之藍漏洞補丁下載不及時、員エ缺乏安全意識等問題尤其明顯;第三，應(yīng)急響應(yīng)事件受影響范圍主要集中在業(yè)務(wù)專網(wǎng)，平均占比可達60%以上,其次是辦公終端;第四,敲詐勒索、黑產(chǎn)活動是攻擊者攻擊政企機構(gòu)的主要原因,而對政企機構(gòu)所產(chǎn)生的后果也尤為嚴(yán)重,主要表現(xiàn)為導(dǎo)致生產(chǎn)效率低下,數(shù)據(jù)丟失和系統(tǒng)/網(wǎng)絡(luò)不可用等,對政企機構(gòu)日常工作和運營造成了較大影響;第五,攻擊者除利用病毒和木馬攻擊外，利用漏洞攻擊和釣魚郵件攻擊的事件也在不斷增多,常見漏洞如永恒之藍漏洞、任意文件上傳、weblogic反序列化漏洞；第六,通過對這6年政企單位應(yīng)急響應(yīng)事件發(fā)現(xiàn)數(shù)據(jù)進行對比,政企機構(gòu)單位自行發(fā)現(xiàn)能力雖逐年上升,然而,其中被攻擊者勒索后オ發(fā)現(xiàn)事件的占比卻高于政企機構(gòu)日常安全運營巡檢發(fā)現(xiàn)入侵跡象的占比，這說明國內(nèi)政企機構(gòu)的日常安全運營建設(shè)水平仍有待大幅提高。本書主要分為兩個部分,第一部分結(jié)合2021年最新的應(yīng)急響應(yīng)事件通過數(shù)據(jù)來表現(xiàn)當(dāng)前網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的基本形勢；第二部分ー共分為十個章節(jié),分別對勒索類、挖礦類、蠕蟲類、篡改類等10種類型的典型案例進行介紹,希望能夠通過應(yīng)急響應(yīng)數(shù)據(jù)和典型案例為政企機構(gòu)的日常安全建設(shè)提供參考,使應(yīng)急響應(yīng)事件發(fā)生的越來越少,一旦發(fā)生安全事件時響應(yīng)越來越快，損失降到越來越低，這也是我們應(yīng)急響應(yīng)工作的主要意義。TOC\o"1-5"\h\z第一章網(wǎng)絡(luò)安全應(yīng)急響應(yīng)形勢綜述 1ー、應(yīng)急響應(yīng)事件受害者分析 2（-） 行業(yè)現(xiàn)狀分析 2（-） 事件發(fā)現(xiàn)分析 2影響范圍分析 3攻擊影響分析 4應(yīng)急響應(yīng)事件攻擊者分析 5（一） 攻擊意圖分析 5（-） 攻擊類型分析 5（三）惡意程序分析 6（四）漏洞利用分析 7第二章勒索類事件典型案例 8服務(wù)器存漏洞感染勒索病毒 8（-）事件概述 8（二）防護建議 8二、終端電腦遭遇釣魚郵件感染勒索病毒 8（-）事件概述 8（二）防護建議 9エ業(yè)生產(chǎn)網(wǎng)與辦公網(wǎng)邊界模糊,感染勒索病毒 9（-）事件概述 9（二）防護建議 9四'服務(wù)器配置不當(dāng)感染勒索病毒 9（-）事件概述 9（二）防護建議 10五'專網(wǎng)被攻擊,58家醫(yī)院連鎖感染勒索病毒 10（-）事件概述 10（二）防護建議 11六、0A服務(wù)器遠程桌面映射公網(wǎng),感染勒索病毒 11（-）事件概述 11（二）防護建議 12七'內(nèi)網(wǎng)主機使用弱口令致感染勒索病毒 12（-）事件概述 12（二）防護建議 12ハ、8003端口映射在公網(wǎng)感染勒索病毒 13(-)事件概述 13(-) 防護建議 13九、私自下載破解軟件致服務(wù)器感染勒索病毒 13(-) 事件概述 13(-) 防護建議 14十、服務(wù)器補丁安裝不及時感染勒索病毒 14(-) 事件概述 14(-) 防護建議 14十ー、擅自修改網(wǎng)絡(luò)配置致服務(wù)器感染勒索病毒 14(-) 事件概述 14(-) 防護建議 15十二、用戶名口令被暴力破解感染勒索病毒 15(-) 事件概述 16(二)防護建議 16第三章挖礦類事件典型案例 17一、官網(wǎng)存在上傳漏洞感染挖礦木馬 17(-)事件概述 17(二)防護建議 17二、誤點惡意鏈接感染挖礦木馬 17(-)事件概述 18(二)防護建議 18三、軟件升級包攜帶“永恒之藍下載器”致專網(wǎng)感染挖礦木馬 18(-)事件概述 18(二)防護建議 20四'"永恒之藍下載器”致內(nèi)網(wǎng)挖礦木馬 20(-)事件概述 20(二)防護建議 20五'安全防護不到位致終端和服務(wù)器感染挖礦木馬 21(-)事件概述 21(二)防護建議 21六、SSH私鑰本地保存致虛擬機感染挖礦木馬 22(-)事件概述 22(二)防護建議 22七'網(wǎng)站存漏洞致服務(wù)器感染挖礦木馬 22(-) 事件概述 23(~) 防護建議 23ハ、服務(wù)器使用弱ロ令導(dǎo)致感染挖礦木馬 24(-) 事件概述 24(-) 防護建議 24九、應(yīng)用服務(wù)平臺使用弱口令導(dǎo)致感染挖礦木馬 24(-) 事件概述 24(-) 防護建議 25十、U盤未管控導(dǎo)致主機感染挖礦木馬 25(-) 事件概述 25(-) 防護建議 25第四章蠕蟲類事件典型案例 27ー、服務(wù)器弱口令導(dǎo)致感染蠕蟲病毒 27(-) 事件概述 27(-) 防護建議 27瀏覽惡意鏈接感染蠕蟲病毒 28(-) 事件概述 28(二)防護建議 28三、U盤未合理管控導(dǎo)致感染蠕蟲病毒 28(-) 事件概述 28(-) 防護建議 29第五章篡改類事件典型案例 30ー、Redis未授權(quán)訪問漏洞致官網(wǎng)被植入黑鏈 30(-) 事件概述 30(-) 防護建議 30二、網(wǎng)站W(wǎng)EB漏洞致網(wǎng)站被掛馬 30(-) 事件概述 31(二)防護建議 31三