網(wǎng)絡(luò)安全應(yīng)急響應(yīng)分析報(bào)告2024

安信安服團(tuán)隊(duì)月安信安服團(tuán)隊(duì)月主要觀點(diǎn)此可見，大中型政企機(jī)構(gòu)加大力度提升內(nèi)部員工網(wǎng)絡(luò)安早發(fā)現(xiàn)并修復(fù)潛在的威脅，防止實(shí)際攻擊的DDOS木馬、蠕蟲病毒、永恒之藍(lán)下載器木馬等關(guān)鍵詞：95015、應(yīng)急響應(yīng)、安全服務(wù)、弱 1 2 2 2 3 4 5 5 6 6 7 9 9 10 12 13 14 16 第一章網(wǎng)絡(luò)安全應(yīng)急響應(yīng)形勢綜述起，奇安信安服團(tuán)隊(duì)第一時(shí)間協(xié)助政企機(jī)構(gòu)處置安全事故，確保了政企機(jī)構(gòu)門戶網(wǎng)站、第二章應(yīng)急響應(yīng)事件受害者分析本章將從網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件受害者的視角出發(fā)，從行業(yè)分布、事件發(fā)現(xiàn)方式、從安全事件的發(fā)現(xiàn)方式來看，52.3%的政企機(jī)構(gòu)，是在系統(tǒng)已經(jīng)出現(xiàn)了非常明顯的接報(bào)處置的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件中，65.0%的事件主要影響的是業(yè)務(wù)專網(wǎng)，而主要影機(jī)構(gòu)的生產(chǎn)效率低下，占比38.8%，是要原因。造成數(shù)據(jù)泄露的主要原因是黑客的入第三章應(yīng)急響應(yīng)事件攻擊者分析攻擊者是出于何種目的發(fā)起的網(wǎng)絡(luò)攻擊呢？應(yīng)急工程師在對(duì)網(wǎng)絡(luò)安全事件進(jìn)行溯APT活動(dòng)。從實(shí)際情況來看，第一種情況的惡意程序攻擊事件與比較常見的，針對(duì)普通網(wǎng)民的互8332222的漏洞利用占比都要小很多，排名第三的釣魚郵件僅有35起，占比4.7%。第四章應(yīng)急響應(yīng)典型案例分析理員賬號(hào)的密碼一致。通過和客戶溝通了解到，域控服務(wù)器曾存在被暴力破解的情況，但相關(guān)取Administrator賬號(hào)密碼的記錄。通過解密幾程師通過和客戶溝通了解到，域內(nèi)多臺(tái)服務(wù)器存在應(yīng)急工程師通過進(jìn)一步排查服務(wù)器A（x.x.x.87）并結(jié)合態(tài)勢感知平臺(tái)的相關(guān)告警信息發(fā)P-guardWebServer遠(yuǎn)程代碼執(zhí)行漏洞，被攻擊者利用寫入Webshell。隨后，上傳密碼抓取工2)系統(tǒng)、應(yīng)用相關(guān)用戶杜絕使用弱口令，提升口令的復(fù)雜度，盡量包含大小寫字母、數(shù)字、特殊符號(hào)等的混合密碼，并對(duì)高權(quán)限賬號(hào)做定期的口令修改，加強(qiáng)管理員安全意4)加強(qiáng)日常安全巡檢制度，定期對(duì)系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合、安全日志以及安全策略落應(yīng)急工程師到場后，通過排查服務(wù)器B（x.x.x.30）并結(jié)合現(xiàn)場部署的安全設(shè)備告警攻擊者利用該工具進(jìn)行了DNS隧道外聯(lián)通通過查看威脅監(jiān)測與分析系統(tǒng)平臺(tái)的日志發(fā)現(xiàn)，服務(wù)器B（x.x.x.30）對(duì)內(nèi)網(wǎng)其他機(jī)器發(fā)x.8）和服務(wù)器C（x.x.x.205）發(fā)起了掃描攻擊；服務(wù)器A（x.x通過排查服務(wù)器A（x.x.x.8）的Web訪問日志發(fā)ault/.remote接口記錄，經(jīng)過測試確認(rèn)，該接口存在PrimetonEOSPlatf口記錄，經(jīng)過測試確認(rèn)，該接口存在Jboss反序列化漏洞。注入漏洞，被攻擊者利用獲取該服務(wù)器權(quán)限。隨后，攻擊者利用服務(wù)器B（x.x機(jī)，對(duì)內(nèi)網(wǎng)其他機(jī)器進(jìn)行端口掃描探測，并且通過利用探測到的漏洞2)云安全管理平臺(tái)只有產(chǎn)生了告警才會(huì)記錄進(jìn)程信息，若行為未被規(guī)則命中，則無法查3)定期開展對(duì)系統(tǒng)、應(yīng)用以及網(wǎng)絡(luò)層面的安全評(píng)估、滲透測試以及代碼審計(jì)工作，主動(dòng)4)加強(qiáng)日常安全巡檢制度，定期對(duì)系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合、安全日志以及安全策略落應(yīng)急工程師到場后，通過驗(yàn)證確認(rèn)被通報(bào)網(wǎng)頁確實(shí)存在暗鏈。隨后，對(duì)存在暗鏈的文件進(jìn)行清除，并且對(duì)系統(tǒng)進(jìn)行了全盤查殺后，網(wǎng)頁根據(jù)以上排查信息，可確認(rèn)，由于服務(wù)器搭建在外網(wǎng)，并且存在歷史遺留后門，被1)禁止服務(wù)器主動(dòng)發(fā)起外部連接請(qǐng)求，對(duì)于需要向外部服務(wù)器推送共享數(shù)據(jù)的，應(yīng)使用2)加強(qiáng)日常安全巡檢制度，定期對(duì)系統(tǒng)配置、系統(tǒng)漏洞、安全日志以及安全策略落實(shí)情3)建議安裝相應(yīng)的防病毒軟件，及時(shí)對(duì)病毒庫進(jìn)行更新，并且定期進(jìn)行全面掃描，加強(qiáng)4)定期開展對(duì)系統(tǒng)、應(yīng)用以及網(wǎng)絡(luò)層面的安全評(píng)估、滲透測試以及代碼審計(jì)工作，主動(dòng)挖礦病毒；服務(wù)器A（x.x.x.21）通過以服務(wù)器B（x.x.x.96）IP為條件對(duì)威端口掃描以及RDP暴力破解攻擊；服務(wù)器應(yīng)急工程師通過排查服務(wù)器B（x.x.x.96）的遠(yuǎn)程登錄日所屬服務(wù)器。最后，應(yīng)急工程師將排查結(jié)果同步客戶，協(xié)助客戶通報(bào)子公司并建議客戶對(duì)防火1)系統(tǒng)、應(yīng)用相關(guān)用戶杜絕使用弱口令，應(yīng)使用高復(fù)雜強(qiáng)度的密碼，盡量包含大小寫字及服務(wù)器之間的訪問，采用白名單機(jī)制只允許開放特定的業(yè)務(wù)必要端口，其他端口一3)建議安裝相應(yīng)的防病毒軟件，及時(shí)對(duì)病毒庫進(jìn)行更新，并且定期進(jìn)行全面掃描，加強(qiáng)4)加強(qiáng)日常安全巡檢制度，定期對(duì)系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合、安全日志以及安全策略落2024年6月，奇安信安服應(yīng)急響應(yīng)團(tuán)隊(duì)接到事業(yè)單位某客戶求助，客戶反饋監(jiān)控發(fā)現(xiàn)Web18：13。應(yīng)急工程師通過排查分析相關(guān)文件發(fā)現(xiàn)，攻擊者（x.x.x.35）將網(wǎng)站的靜態(tài)頁訪問/upload/1//1/1713723921025.jsp.jsp文件的記錄。應(yīng)急工程師以此為線索進(jìn)行上機(jī)排3723921025.jsp.jsp文件在內(nèi)的大量Webs授權(quán)文件上傳漏洞，被攻擊者利用上傳Webshell。隨后，攻擊者行數(shù)據(jù)交互，對(duì)網(wǎng)頁的靜態(tài)頁面文件中的部分可顯示標(biāo)簽字1)建議部署網(wǎng)頁防篡改設(shè)備，對(duì)網(wǎng)站文件、目錄進(jìn)行保護(hù)，攔截黑客的篡改操作，實(shí)時(shí)監(jiān)控受保護(hù)的文件和目錄，發(fā)現(xiàn)文件被篡改時(shí)，立即獲取備份的合法文件并進(jìn)行文件2)定期開展對(duì)系統(tǒng)、應(yīng)用以及網(wǎng)絡(luò)層面的安全評(píng)估、滲透測試以及代碼審計(jì)工作，主動(dòng)3)建議在服務(wù)器上部署安全加固軟件，通過限制異常登錄行為、開啟防爆破功能、禁用或限用危險(xiǎn)端口、防范漏洞利用等方式，提高系4)加強(qiáng)日常安全巡檢制度，定期對(duì)系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合、安全日志以及安全策略落端被遠(yuǎn)程控制后創(chuàng)建微信群聊傳播惡意文件，需要進(jìn)微信目錄C:/Users/xxx/Documents/WeChatFiles/wxid_rnbko6cmuvbj41/FileStoragelFile/2并釋放文件到C:/Users/Public/Downloads/以及C:/Users/xxx/AppData/Locahe/。隨后，利用白加黑的手段在內(nèi)存中解密并執(zhí)行C:/Users/Public/Downloads/2024.png，應(yīng)急工程師根據(jù)該惡意文件特征排查被控終端，確認(rèn)C:/Users/xxx/AppData/Local/OneDers/Public/Downloads/目錄下存在木馬釋放文件：1.dll、2024.png、QQgame.exe。通過排查至此，可確認(rèn)，由于內(nèi)部人員網(wǎng)絡(luò)安全意識(shí)淡薄，在微信內(nèi)點(diǎn)擊下載了外界的釣魚導(dǎo)致攻擊者利用該釣魚文件獲取了終端的遠(yuǎn)程控制權(quán)限。隨后，攻擊者通過創(chuàng)建微信1)提高員工的網(wǎng)絡(luò)安全意識(shí)，加強(qiáng)培訓(xùn)和教育，確保員工能夠識(shí)別和防范網(wǎng)絡(luò)釣魚、惡3)禁止服務(wù)器主動(dòng)發(fā)起外部連接請(qǐng)求，對(duì)于需要向外部服務(wù)器推送共享數(shù)據(jù)的，應(yīng)使用5)建議安裝相應(yīng)的防病毒軟件，及時(shí)對(duì)病毒庫進(jìn)行更新，并且定期進(jìn)行全面掃描，加強(qiáng)6)加強(qiáng)日常安全巡檢制度，定期對(duì)系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合、安全日志以及安全策略落在接到求助后，應(yīng)急工程師火速趕往客戶現(xiàn)場，并由應(yīng)急技術(shù)專家通過遠(yuǎn)程接入的方式復(fù)有隨機(jī)性，無法做到百分之百復(fù)現(xiàn)成功，推測跳轉(zhuǎn)惡意網(wǎng)站可能受到某種條件的限制，需應(yīng)急工程師抵達(dá)現(xiàn)場后通過抓包進(jìn)行數(shù)據(jù)分析發(fā)現(xiàn)，頁面在進(jìn)行跳轉(zhuǎn)時(shí)會(huì)自動(dòng)請(qǐng)求第/b/bshareCO.js。應(yīng)急工程師對(duì)返回包中的加密信息進(jìn)行解密分析發(fā)現(xiàn)，代碼通過判斷請(qǐng)被惡意篡改，導(dǎo)致點(diǎn)擊該APP模塊請(qǐng)求加1)自行托管第三方庫，將需要用到的庫經(jīng)過安全檢查后存儲(chǔ)至本地進(jìn)行調(diào)用，并定期維3)定期開展對(duì)系統(tǒng)、應(yīng)用以及網(wǎng)絡(luò)層面的安全評(píng)估、滲透測試以及代碼審計(jì)工作，主動(dòng)4)加強(qiáng)日常安全巡檢制度，定期對(duì)系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合、安全日志以及安全策略落附錄195015網(wǎng)絡(luò)安全服務(wù)熱線95015是承載全國各地政企機(jī)構(gòu)網(wǎng)絡(luò)安全保障工作的重要支撐平臺(tái)，同時(shí)也是全國各地絡(luò)安全事件應(yīng)急響應(yīng)的綠色通道，是全國冬奧網(wǎng)絡(luò)安全保障工作中的關(guān)鍵一環(huán)。北京冬奧京冬奧會(huì)期間，將作為網(wǎng)絡(luò)安全保障工作的重要支撐平臺(tái)，為網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)開9字頭短號(hào)碼是工信部統(tǒng)一管理的全國通用號(hào)碼，95015服務(wù)短號(hào)，整合了原有的400附錄2奇安信集團(tuán)安服團(tuán)隊(duì)奇安信集團(tuán)是北京2022年冬奧會(huì)和冬殘奧會(huì)官方網(wǎng)絡(luò)安全服務(wù)和殺毒軟件贊助中國領(lǐng)先的網(wǎng)絡(luò)安全品牌，奇安信多次承擔(dān)國家級(jí)的重大活動(dòng)網(wǎng)絡(luò)安全保障工作，創(chuàng)建可靠的網(wǎng)絡(luò)安全服務(wù)體系——全維度管控、全網(wǎng)絡(luò)防護(hù)、全天候運(yùn)行、全領(lǐng)域覆蓋、全攻防演習(xí)、持續(xù)響應(yīng)、預(yù)警通告、安全運(yùn)營等一系列實(shí)戰(zhàn)化的服務(wù)，在云端安全大數(shù)據(jù)的奇安信還推出了應(yīng)急響應(yīng)訓(xùn)練營服務(wù)，將一線積累的豐富應(yīng)急響應(yīng)實(shí)踐經(jīng)驗(yàn)面機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)和賦能，幫助政企機(jī)構(gòu)的安全管理者、安全運(yùn)營人員、工程師等不同層級(jí)的人群提高網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的能力和技術(shù)水平。奇安信集團(tuán)正在用專業(yè)的技術(shù)能力保障著企業(yè)用戶的網(wǎng)絡(luò)安全，最大程度地減少了網(wǎng)絡(luò)安全事件所帶來的經(jīng)濟(jì)損失，并降低了網(wǎng)絡(luò)安全附錄3網(wǎng)絡(luò)安全應(yīng)急響應(yīng)圖書推薦《應(yīng)急響應(yīng)-網(wǎng)絡(luò)安全的預(yù)防、發(fā)現(xiàn)、處置和恢復(fù)》本書內(nèi)容主要將前沿的應(yīng)急響應(yīng)理論與奇安信安服團(tuán)隊(duì)的應(yīng)急響應(yīng)一線實(shí)戰(zhàn)經(jīng)驗(yàn)相結(jié)從高級(jí)科普的角度介紹網(wǎng)絡(luò)安全應(yīng)急響應(yīng)基礎(chǔ)知識(shí)，可以指導(dǎo)政企機(jī)構(gòu)、監(jiān)管機(jī)構(gòu)加強(qiáng)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的能力建設(shè)。共分為十章，包括：網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的概述、政策法規(guī)、協(xié)調(diào)與通報(bào)機(jī)構(gòu)、模型與趨勢、規(guī)劃、關(guān)鍵技術(shù)、人才培養(yǎng)、應(yīng)急演練旨在為全國網(wǎng)信干部提供理論指南、實(shí)踐指導(dǎo)和趨勢指引，也可以作為從事網(wǎng)絡(luò)安全應(yīng)急響應(yīng)《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)實(shí)戰(zhàn)指南》為幫忙一線安全人員更加快速、更高質(zhì)量的處理應(yīng)急事件，奇安信安服團(tuán)隊(duì)總結(jié)每年本書共分為十章，前三章為應(yīng)急工程師需要掌握的理論和基礎(chǔ)技能和工具，分別全應(yīng)急響應(yīng)概述、應(yīng)急工程師基礎(chǔ)技能、應(yīng)急響應(yīng)常用工具介紹。后七章內(nèi)容為當(dāng)前應(yīng)急數(shù)據(jù)泄露和流量劫持。我們希望通過具體的處置場景結(jié)合基礎(chǔ)技能和工具，讓一線應(yīng)急工學(xué)會(huì)處置思路、掌握基礎(chǔ)技能、熟悉應(yīng)急工具，以便