版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 举报,一经查实,本站将立刻删除。如若转载,请注明出处:http://ti8.net/_qi__yao__/6978.html
定制报告-个性化定制-按需专项定制研究报告
行业报告、薪酬报告
联系:400-6363-638
《奇安信:2024年中95015网络安全应急响应分析报告(22页).pdf》由会员分享,可在线阅读,更多相关《奇安信:2024年中95015网络安全应急响应分析报告(22页).pdf(22页珍藏版)》请在本站上搜索。 1、 95015 网络安全应急响应 分析报告(2024 年上半年)奇安信安服团队 2024 年 7 月 主要观点 2024 年上半年,奇安信集团安服团队共接到应急服务需求 336 起。金融机构、制造业、政府部门的业务专网是 2024 年上半年攻击者攻击的主要目标。当前国内绝大多数政企机构在网络安全基础设施建设和网络安全运营能力方面存在严重不足。一方面,仅有 15.3%的政企机构能够通过安全巡检提前发现问题,避免损失,而绝大多数政企机构只能在重大损失发生之后,或被第三方机构通报后才能发现安全问题;另一方面,攻击者利用弱密码、永恒之蓝等常规漏洞攻击主机、服务器的事件占比近二分之一。安全意识问题已经成为2、制约政企机构安全生产的根本性问题:由内部人员违规操作触发的应急响应事件约占 2024 年上半年 95015服务平台接报事件总量的四分之一。公网泄露敏感信息、高危端口对公网开放、下载盗版软件等由于安全意识淡薄而引发的内网服务器受感染导致勒索病毒蔓延、数据泄露甚至是服务器失陷事件层出不穷。由此可见,大中型政企机构加大力度提升内部员工网络安全防范意识迫在眉睫。95015 服务平台 2024 年上半年接报的安全事件中有小部分来自政企机构内部实战攻防演习活动,通过实际的攻击模拟和防御演练,企业可以更好地发现和识别可能存在的安全漏洞,能够尽早发现并修复潜在的威胁,防止实际攻击的发生,减少潜在的损失。摘 要3、 2024 年上半年,95015 服务平台共接到全国政企机构网络安全应急事件 336 起。奇安信安服团队处置相关事件累计投入工时 2762.4 小时,折合 345.3 人天,处置一起应急事件平均用时 8.2 小时。从行业分布来看,2024年上半年,95015服务平台接报的网络安全应急响应事件中,金融机构报告的事件最多,为 49 起;其次是制造业 36 起;政府部门排第三,为 32起。此外,事业单位、医疗卫生、IT 信息技术等行业也是网络安全应急响应事件高发行业。49.8%的政企机构,是在系统已经出现了非常明显的入侵迹象后进行的报案求助;30.5%的政企机构,是在被攻击者勒索之后,拨打的 9504、15。而真正能够通过安全运营巡检,提前发现问题的仅占比 15.3%。从网络安全事件的影响范围来看,64.7%的事件主要影响业务专网,而主要影响办公网的事件占比 35.3%。从受影响的设备数量来看,失陷服务器为 3234 台,失陷办公终端为 662 台。业务专网、服务器是网络攻击者攻击的主要目标。从网络安全事件造成的损失来看,造成生产效率低下的事件 157 起,占比 46.7%;造成数据丢失的事件 57 起,占比 17.0%;造成数据泄漏的事件 34 起,占比 10.1%;此外,造成声誉影响的事件 13 起,造成数据被篡改的事件 11 起。内部人员为了方便工作等原因进行违规操作,进而触发应急响应5、的网络安全事件多达 81 起。这一数量仅次于黑产活动(90 起)、超过了窃取重要数据(65 起)和敲诈勒索(46 起)等为目的的外部网络攻击事件的数量。以恶意程序为主要手段的网络攻击最为常见,占比 32.0%;其次是漏洞利用,占比29.8%;钓鱼邮件排第三,占比 8.4%。此外,网页篡改、Web 应用 CC 攻击、网络监听攻击、拒绝服务攻击等也比较常见。还有约 21.8%的安全事件,并非网络攻击事件。应急事件分析显示,勒索病毒、挖矿木马、网站木马是攻击者使用最多的恶意程序类型,分别占到恶意程序攻击事件的 20.4%、20.0%和 5.8%。此外,APT 专用木马、DDOS 木马、蠕虫病毒、永恒6、之蓝下载器木马等也都是经常出现的恶意程序类型。在应急响应事件处置的勒索软件中,排名第一的是 Phobos 勒索软件,2024 年上半年触发大中型政企机构网络安全应急响应事件10次;其次是Mallox勒索软件7次,Makop 勒索软件 5 次。这些流行的勒索病毒,十分值得警惕。弱口令是攻击者在 2024 年上半年利用最多的网络安全漏洞,相关应急事件多达 102起,占比 30.4%。其次是永恒之蓝漏洞,相关利用事件为 59 起,占比 17.6%。关键词:关键词:95015、应急响应、安全服务、弱口令、内部违规、敲诈勒索、漏洞利用 目 录 第一章第一章 网络安全应急响应形势综述网络安全应急响应形势综7、述.1 第二章第二章 应急响应事件受害者分析应急响应事件受害者分析.2 一、行业分布.2 二、事件发现.2 三、影响范围.3 四、事件损失.4 第三章第三章 应急响应事件攻击者分析应急响应事件攻击者分析.5 一、攻击意图.5 二、攻击手段.6 三、恶意程序.6 四、漏洞利用.7 第四章第四章 应急响应典型案例分析应急响应典型案例分析.9 一、某企业服务器感染 LIVE 勒索病毒.9 二、某企业内网遭受漏洞利用攻击导致多台服务器失陷.10 三、攻击者利用历史遗留后门植入暗链.12 四、某企业内网感染 Minerd 挖矿病毒.13 附录附录 1 95011 95015 5 网络安全服务热线网络安全8、服务热线.15 附录附录 2 2 奇安信集团安服团队奇安信集团安服团队.16 附录附录 3 3 网络安全应急响应图书推荐网络安全应急响应图书推荐.17 奇安信集团 第 1 页,共 18 页 第一章 网络安全应急响应形势综述 2024 年 16 月,95015 服务平台共接到全国范围内网络安全应急响应事件 336 起,奇安信安服团队第一时间协助政企机构处置安全事故,确保了政企机构门户网站、数据库和重要业务系统等的持续安全稳定运行。综合统计数据显示,在 2024 年上半年 336 起网络安全应急响应事件的处置中,奇安信安服团队累计投入工时为 2762.4 小时,折合 345.3 人天,处置一起应急9、事件平均用时 8.2 小时。其中,2 月份,因春节假期期间,应急响应处理量略有减少。奇安信集团 第 2 页,共 18 页 第二章 应急响应事件受害者分析 本章将从网络安全应急响应事件受害者的视角出发,从行业分布、事件发现方式、影响范围、以及攻击行为造成的影响等几个方面,对 95015 服务平台 2024 年上半年接报的 336 起网络安全应急响应事件展开分析。一、行业分布 从行业分布来看,2024年上半年,95015服务平台接报的网络安全应急响应事件中,金融机构报告的事件最多,为 49 起,占比 14.6%;其次是制造业,为 36 起,占比 10.7%;政府部门排第三,为 32 起,占比 9.10、5%。此外,事业单位、医疗卫生、IT 信息技术等行业也是网络安全应急响应事件高发行业。下图给出了不同行业网络安全应急响应事件报案数量的 TOP10 排行。二、事件发现 从安全事件的发现方式来看,49.8%的政企机构,是在系统已经出现了非常明显的入侵迹象后进行的报案求助;30.5%的政企机构,是在被攻击者勒索之后,拨打的 95015网络安全服务热线。这二者之和为 80.3%。也就是说,八成左右的大中型政企机构是在系统已经遭到了巨大损失,甚至是不可逆的破坏后,才向专业机构进行求助。而真正能够通过安全运营巡检,在损失发生之前及时发现问题并呼救,避免损失发生的政企机构,仅占比 15.3%。此外,还有约11、 4.4%的政企机构是在得到了主管单位、监管机构及第三方平台的通报后启动的应急响应。这些机构不仅严重缺乏有效的网络安全运营,也严重缺乏必要的威 奇安信集团 第 3 页,共 18 页 胁情报能力支撑,致使自己的主管单位或监管机构总是先于自己,发现自身的安全问题或被攻击的现象。其中,某些通报可能还会使相关单位面临法律责任及行政处罚。这些被通报的政企机构都是潜在的定时炸弹,随时都有可能爆发。三、影响范围 网络安全事件往往会对 IT 及业务系统产生重大的影响。在 2024 年上半年 95015 服务平台接报处置的网络安全应急响应事件中,64.7%的事件主要影响的是业务专网,而主要影响办公网的事件占比 12、35.3%。从受网络安全事件影响的设备数量来看,失陷服务器为 3234 台,失陷办公终端为 662 台。2024 年上半年大中型政企机构遭受网络攻击事件的影响范围如下图所示。奇安信集团 第 4 页,共 18 页 在本报告中,办公网是指企业员工使用的台式机、笔记本电脑、打印机等设备组成基本办公网络,而业务专网泛指机构整体运行与对外支撑所需要的各种网络系统。从影响范围和受影响设备数量可以看出,大中型政企机构的业务专网、服务器是网络攻击者攻击的主要目标。大中型政企机构在对业务专网进行安全防护建设的同时,还应提高内部人员安全防范意识,加强对内网中办公终端、重要服务器的安全防护保障和数据安全管理。四、事13、件损失 网络安全事件通常都会引起政企机构不同程度、不同类型的损失。应急处置现场情况分析显示,在 95015 服务平台 2024 年上半年接报的 336 起报案中,有 157 起事件,造成了相关机构的生产效率低下,占比 46.7%,是排名第一的损失类型;其次是造成数据丢失的事件有 57 起,占比 17.0%,排名第二;造成数据泄漏的事件 34 起,占比 10.1%,排名第三;此外,造成政企机构声誉影响的事件 13 起,造成数据被篡改的事件 11 起,造成其他损失的事件 64 起。特别说明,在上述统计中,同一事件只计算一次,我们只统计每起事件造成的最主要的损失类型。造成生产效率低下的主要原因是挖矿14、、蠕虫、木马等攻击手段使服务器 CPU 占用率过高,造成生产效率降低。也有部分企业是因为勒索病毒攻击造成了部分生产系统停产。造成数据丢失的原因是多方面的,其中,因勒索病毒加密而导致数据无法恢复是首要原因。造成数据泄露的主要原因是黑客的入侵和内部人员的泄密。奇安信集团 第 5 页,共 18 页 第三章 应急响应事件攻击者分析 本章将从网络安全应急响应事件攻击者的视角出发,从攻击意图、攻击类型、恶意程序和漏洞利用等几个方面,对 95015 服务平台 2024 年上半年接报的 336 起网络安全应急响应事件展开分析。一、攻击意图 攻击者是出于何种目的发起的网络攻击呢?应急人员在对网络安全事件进行溯源15、分析过程中发现,2024 年上半年,内部人员为了方便工作等原因进行违规操作,进而导致系统出现故障或被入侵,触发应急响应的网络安全事件多达 81 起。这一数量仅次于黑产活动(90 起)、超过了窃取重要数据(65 起)和敲诈勒索(46 起)等为目的的外部网络攻击事件的数量。在这里,黑产活动以境内团伙为主,主要是指通过黑词黑链、钓鱼页面、挖矿程序等攻击手段开展黑产活动牟取暴利。在 81 起内部违规事件中,内部人员为了方便工作或出于其他原因将内部业务端口映射至外网的违规操作需要引起大中型企业的重视。以窃取重要数据为目的的攻击,一般分为两种:一种是民间黑客非法入侵政企机构内部系统盗取敏感、重要数据,如个16、人信息、账号密码等;另一种则是商业间谍活动或APT 活动。从实际情况来看,第一种情况更为普遍,第二种情况偶尔会发生。敲诈勒索,主要是指攻击者利用勒索软件攻击政企机构的终端和服务器,进而实施勒索。此类攻击几乎全部是由境外攻击者发起,打击难度极大。奇安信集团 第 6 页,共 18 页 二、攻击手段 不同的安全事件,攻击者所使用的攻击手段也有所不同。对 2024 年上半年的网络安全应急响应事件分析发现,以恶意程序为主要手段的网络攻击最为常见,占比 32.0%;其次是漏洞利用,占比 29.8%;钓鱼邮件排第三,占比 8.4%。此外,网页篡改、Web 应用 CC 攻击、网络监听攻击、拒绝服务攻击等也比较17、常见。还有约 21.8%的安全事件,最终被判定为非攻击事件。也就是说,由于企业内部违规操作,意外事件等原因,即便没有导致系统被入侵,但也同样触发了网络安全应急响应的事件也不在少数,值得警惕。三、恶意程序 应急事件分析显示:勒索病毒、挖矿木马、网站木马是攻击者使用最多的恶意程序类型,分别占到恶意程序攻击事件的 20.4%、20.0%和 5.8%。此外,APT 专用木马、DDOS木马、蠕虫病毒、永恒之蓝下载器木马等也都是经常出现的恶意程序类型。还有 20.4%恶意程序攻击事件与比较常见的,针对普通网民的流行互联网木马有关。奇安信集团 第 7 页,共 18 页 表 1 给出了 2024 年上半年 918、5015 服务平台接报的网络安全应急响应事件中,出现频率最高的勒索软件排行榜 TOP10。可以看到,排名第一的是 Phobos 勒索软件,2024 年上半年触发大中型政企机构网络安全应急响应事件10次;其次是Mallox勒索软件7次,Makop 勒索软件 5 次。这些流行的勒索病毒,十分值得警惕。表 1 遭受攻击勒索软件类型 TOP10 勒索软件名称勒索软件名称 应急次数应急次数 Phobos 勒索软件 10 Mallox 勒索软件 7 Makop 勒索软件 5 Phobos 勒索病毒 3 LIVE 勒索软件 3 LockBit 勒索软件 3 BlackBit 勒索软件 2 BeiJingCr19、yp 勒索软件 2 DevicDate 勒索软件 1 Orbit 勒索软件 1 四、漏洞利用 应急事件分析显示:弱口令是攻击者在 2024 年上半年最为经常利用的网络安全漏 奇安信集团 第 8 页,共 18 页 洞,相关网络安全应急响应事件多达 102 起,占 95015 平台 2024 年上半年应急响应事件接报总数的 30.4%。其次是永恒之蓝漏洞,相关利用事件为 59 起,占比 17.6%。相比之下,其他单个类型的漏洞利用占比都要小很多,排名第三的钓鱼邮件仅有 21 起,占比 6.3%。弱口令的大行其道,完全是安全意识淡薄、安全管理松懈的体现。而永恒之蓝漏洞自 2017 年 WannaCr20、y 病毒爆发后,已经成为广为人知,必须修补的安全漏洞。时至今日仍然有大量的政企机构倒在永恒之蓝的枪口之下,说明这些政企机构严重缺乏最基本的网络安全基础设施建设,缺乏最基本的网络安全运营能力。预计在未来相当长的时间里,弱口令和永恒之蓝漏洞仍将是国内政企机构亟待解决的、基础性的网络安全问题。奇安信集团 第 9 页,共 18 页 第四章 应急响应典型案例分析 2024 年上半年,95015 网络安全服务热线共接到全国各地网络安全应急响应求助336 起,涉及全国 31 个省市(自治区、直辖市)、2 个特别行政区,覆盖政府部门、事业单位、金融机构、制造业、交通运输、教育培训等 20 余个行业。本章将结合21、 2024 年上半年的网络安全应急响应实践,介绍 4 起典型案例,希望能够为政企机构网络安全建设与运营提供有价值的参考。一、某企业服务器感染 LIVE 勒索病毒(一)事件概述 2024 年 1 月,奇安信安服应急响应团队接到制造业某客户求助,客户反馈存在服务器部分文件被加密,希望进行排查溯源。应急人员到场后,通过排查服务器 B(x.x.x.111)发现,该服务器部分文件被加密,根据加密文件后缀、勒索信内容等信息,确认该服务器感染 LIVE 勒索病毒,暂时无法解密;事发前,存在服务器 C(x.x.x.229)使用隐藏账号 admin$登录记录,解密该账号的密码发现与域管理员账号的密码一致。应急人22、员通过和客户沟通了解到,域控服务器曾存在被暴力破解的情况,但相关日志已被清除无法进一步溯源。应急人员通过排查终端安全管理系统服务器(x.x.x.123)发现,存在服务器 C(x.x.x.229)使用 guanli 账号登录该服务器,并且加白下发勒索病毒样本:admin.exe 的记录。应急人员通过条件筛选,确认近千台机器中招。随后,应急人员通过排查服务器 C(x.x.x.229)发现,2023 年 12 月 30 日,存在服务器 A(x.x.x.87)使用 Administrator 账号登录记录。应急人员通过排查服务器 A(x.x.x.87)的日志发现,存在攻击者使用密码抓取工具:mimik23、atz,抓取 Administrator 账号密码的记录。通过解密几个涉事账号的密码,发现密码均一致。应急人员通过和客户沟通了解到,域内多台服务器存在口令复用的情况。应急人员通过进一步排查服务器 A(x.x.x.87)并结合态势感知平台的相关告警信息发现,2023 年 11 月 10 日,存在攻击者写入 Webshell 并成功回连的记录,由于连接的 IP 地址为防火墙代理 IP(x.x.x.1),无法查看到转换前攻击者真实 IP 地址;2023年 11 月 9 日,存在外网 IP 成功利用 IP-guard WebServer 远程代码执行漏洞的记录。以此为线索,最早可追溯至 2023 年 24、6 月 16 日,外网 IP 对服务器 A(x.x.x.87)的 8000 端口进行漏洞扫描。根据以上排查信息,应急人员确认,由于服务器 A(x.x.x.87)对外开放 8000 端口,并且存在 IP-guard WebServer 远程代码执行漏洞,被攻击者利用写入 Webshell。奇安信集团 第 10 页,共 18 页 随后,上传密码抓取工具获取服务器 A(x.x.x.87)的 Administrator 账号密码,并通过口令复用登录服务器 C(x.x.x.229)。最后,利用服务器 C(x.x.x.229)为跳板机,创建隐藏账号 admin$,登录服务器 B(x.x.x.111)对其进25、行加密;通过口令复用,登录终端安全管理系统服务器(x.x.x.123),在控制中心下发勒索病毒样本到其他机器进行加密。(二)相关安全建议 1)服务器定期维护,部署服务器安全防护系统,修复系统应用漏洞、中间件漏洞、组件、插件等相关漏洞,保障服务器安全;2)系统、应用相关用户杜绝使用弱口令,提升口令的复杂度,尽量包含大小写字母、数字、特殊符号等的混合密码,并对高权限账号做定期的口令修改,加强管理员安全意识,禁止密码重用的情况出现;3)加强系统和网络的访问控制,修改防火墙策略,不将非必要服务暴露于公网;4)加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态26、化信息安全工作。二、某企业内网遭受漏洞利用攻击导致多台服务器失陷(一)事件概述 2024 年 2 月,奇安信安服应急响应团队接到交通运输行业某客户求助,客户反馈服务器遭受非法攻击,疑似失陷,希望进行排查并溯源入侵途径。应急人员到场后,通过排查服务器 B(x.x.x.30)并结合现场部署的安全设备告警信息发现,存在公网 IP 探测并访问/prod-api/jmreport/queryFieldBySql 接口记录,经过测试确认,该接口存在积木报表模板注入漏洞;在/tmp/.X11-unix/目录下,存在 DNS 隧道工具:d,攻击者利用该工具进行了 DNS 隧道外联通信;在进程列表中,存在可疑进27、程:/data/apps/cwgl/bjmrt-admin.jar;在/data/logs/cwgl/目录下的 server.log 日志中,存在可疑命令执行报错记录。应急人员通过查看威胁监测与分析系统平台的日志发现,服务器 B(x.x.x.30)对 奇安信集团 第 11 页,共 18 页 内网其他机器发起了敏感端口扫描攻击。应急人员通过查看云安全管理平台的日志发现,服务器 B(x.x.x.30)对服务器 A(x.x.x.8)和服务器 C(x.x.x.205)发起了扫描攻击;服务器 A(x.x.x.8)和服务器C(x.x.x.205)存在进程行为异常告警。应急人员分析进程行为异常告警详细信息发28、现,攻击者通过两台服务器上部署的的中间件执行了反弹 shell 命令,分别连接至服务器 B(x.x.x.30)的 8899、9999 端口。应急人员通过排查服务器 A(x.x.x.8)的 Web 访问日志发现,存在服务器 B(x.x.x.30)访问/default/.remote 接口记录,经过测试确认,该接口存在 Primeton EOS Platform 反序列化漏洞。通过排查服务器 C(x.x.x.205)的 Web 访问日志发现,存在服务器 B(x.x.x.30)访问/invoker 接口记录,经过测试确认,该接口存在 Jboss 反序列化漏洞。根据以上排查信息,应急人员确认,由于服务29、器 B(x.x.x.30)对外开放,并且存在积木报表模板注入漏洞,被攻击者利用获取该服务器权限。随后,攻击者利用服务器B(x.x.x.30)为跳板机,对内网其他机器进行端口扫描探测,并且通过利用探测到的漏洞进行内网横向攻击。(二)相关安全建议 1)服务器定期维护,部署服务器安全防护系统,修复系统应用漏洞、中间件漏洞、组件、插件等相关漏洞,保障服务器安全;2)云安全管理平台只有产生了告警才会记录进程信息,若行为未被规则命中,则无法查看。建议跟厂商协调添加历史记录功能;3)定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患;4)加强日常安全巡30、检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。奇安信集团 第 12 页,共 18 页 三、攻击者利用历史遗留后门植入暗链(一)事件概述 2024 年 3 月,奇安信安服应急响应团队接到教育培训行业某客户求助,客户被监管单位通报网页存在暗链,希望进行排查处置并溯源。应急人员到场后,通过验证确认被通报网页确实存在暗链。随后,应急人员对存在暗链的服务器进行排查发现,Web 目录下存在 Webshell:asd.asmx;Nginx 服务配置文件被修改增加了暗链跳转规则;IIS 服务模块加载了存在暗链跳转特征的恶意文件:dirfile.dll。应急人员31、将相关恶意文件进行清除,并且对系统进行了全盘查杀后,网页暂时恢复正常。次日,客户反馈暗链问题重现。应急人员通过排查服务器发现,存在新的恶意 dll文件,以及一个名为 CcProtect.sys 的文件系统过滤驱动会自动隐藏恶意文件;在 Web目录下,存在一个可疑文件:opAdminims,经过分析确认该 Webshell 为改写加工后的冰蝎木马。应急人员通过分析相关日志发现,攻击者在上传该 Webshell 前,会先访问遗留的网站后门:Dowmload.ashx,由于后门上传时间过于久远未保留相关日志记录,无法判断攻击者是如何部署的。根据以上排查信息,应急人员确认,由于服务器搭建在外网,并且存32、在历史遗留后门,被攻击者利用上传 Webshell 以及恶意 dll 文件。随后,攻击者通过修改服务器的Nginx 配置文件和 IIS 模块加载恶意 dll 文件实现暗链植入。最后,应急人员对服务器上的 Webshell、恶意文件等进行清除,对恶意地址进行封禁后,此次应急结束。(二)相关安全建议 1)禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接 IP 范围进行限制;2)加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查,及时修复漏洞、安装补丁,将信息安全工作常态化;3)建议安装相应33、的防病毒软件,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器上的病毒清除能力;4)加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。奇安信集团 第 13 页,共 18 页 四、某企业内网感染 Minerd 挖矿病毒(一)事件概述 2024 年 5 月,奇安信安服应急响应团队接到制造业某客户求助,客户反馈威胁监测与分析系统平台出现挖矿告警,需要进行排查并溯源。应急人员到场后,通过查看威胁监测与分析系统平台的日志发现,服务器 B(x.x.x.96)对服务器 A(x.x.x.21)进行了多次 RDP 暴力破解攻击;服务器 A(x.x34、.x.21)存在远控木马活动告警,通过分析该告警详细信息发现,告警 IOC:auto.c3pool.org 在威胁情报中心被标记为挖矿病毒;服务器 A(x.x.x.21)存在 Minerd 挖矿木马活动告警。应急人员通过排查服务器 A(x.x.x.21)发现,存在恶意进程:minerd,根据该进程定位到恶意文件保存在 C 盘 windows 目录下,通过分析该恶意文件,确认为 Minerd挖矿病毒;事发前,存在服务器 B(x.x.x.96)登录记录。应急人员以服务器 B(x.x.x.96)IP 为条件对威胁监测与分析系统平台的日志告警记录进行筛选发现,服务器 B(x.x.x.96)对包含服务器35、 A(x.x.x.21)在内的内网多台服务器进行了敏感端口扫描以及 RDP 暴力破解攻击;服务器 C(x.x.x.241)对服务器B(x.x.x.96)进行了敏感端口扫描以及 RDP 暴力破解攻击。应急人员通过排查服务器 B(x.x.x.96)的远程登录日志发现,存在服务器 C(x.x.x.241)成功登录记录。应急人员通过和客户沟通了解到,内网多台服务器存在弱口令,服务器 C(x.x.x.241)为子公司所属服务器。最后,应急人员将排查结果同步客户,并且协助客户通报子公司,此次应急结束。(二)安全建议 1)系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特36、殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;2)有效加强访问控制 ACL 策略,细化策略粒度,按区域按业务严格限制各个网络 奇安信集团 第 14 页,共 18 页 区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员 IP 可对管理端口进行访问,如 FTP、数据库服务、远程桌面等管理端口;3)建议安装相应的防病毒软件,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器上的病毒清除能力;4)加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。奇安信集团 第 15 页,37、共 18 页 附录 1 95015 网络安全服务热线 2022 年 1 月 20 日,全国首个网络安全行业服务短号 95015 正式开通。95015 是为全国各地政府、企业、相关机构提供网络安全应急响应、合作与咨询服务的电话专线。“安全快一步,95015”。95015 网络安全服务热线,由北京 2022 年冬奥会和冬残奥会官方网络安全服务和杀毒软件赞助商奇安信集团,在北京冬奥会开幕前夕正式推出。在北京 2022 年冬奥会和冬残奥会期间,95015 是承载全国各地政企机构网络安全保障工作的重要支撑平台,同时也是全国各地重大网络安全事件应急响应的绿色通道,是全国冬奥网络安全保障工作中的关键一环。北38、京冬奥会结束后,95015 网络安全服务热线将永久保留,持续为全国各地政企机构提供网络安全应急响应、合作与咨询服务。奇安信集团董事长齐向东表示,“95015 是我国第一个网络安全服务短号,是北京冬奥会网络安全保障指定号码,赛后,95015 将永久服役。95015 承载着网络安全行业的责任和使命,北京冬奥会期间,将作为网络安全保障工作的重要支撑平台,为网络安全事件的应急响应开辟一条绿色通道。全国的政企机构遇到任何网络安全问题,都可以拨打 95015,奇安信将提供 24 小时冬奥标准的应急响应服务。”9 字头短号码是工信部统一管理的全国通用号码,95015 服务短号,整合了原有的4009-727-39、120 应急响应专线、4009-303-120 客户服务热线和 4006-783-600 合作伙伴热线三条 400 电话专线,实现了“一号全通”。同时,更短的号码也意味着更快的响应速度,更加优质、更加便捷的平台服务,标志着网络安全行业在线服务能力与服务方式的一次重大升级。奇安信集团 第 16 页,共 18 页 附录 2 奇安信集团安服团队 奇安信集团是北京2022年冬奥会和冬残奥会官方网络安全服务和杀毒软件赞助商,作为中国领先的网络安全品牌,奇安信多次承担国家级的重大活动网络安全保障工作,创建了稳定可靠的网络安全服务体系全维度管控、全网络防护、全天候运行、全领域覆盖、全兵种协同、全线索闭环。奇40、安信安全服务以攻防技术为核心,聚焦威胁检测和响应,通过提供咨询规划、威胁检测、攻防演习、持续响应、预警通告、安全运营等一系列实战化的服务,在云端安全大数据的支撑下,为客户提供全周期的安全保障服务。应急响应服务致力于成为“网络安全 120”。自 2018 年以来,奇安信已积累了丰富的应急响应实践经验,应急响应业务覆盖了全国 31 个省(自治区、直辖市),2 个特别行政区,处置政企机构网络安全应急响应事件近 6000 起,累计投入工时 59000 多个小时,为全国超过 3000 家政企机构解决网络安全问题。奇安信还推出了应急响应训练营服务,将一线积累的丰富应急响应实践经验面向广大政企机构进行网络安41、全培训和赋能,帮助政企机构的安全管理者、安全运营人员、工程师等不同层级的人群提高网络安全应急响应的能力和技术水平。奇安信集团正在用专业的技术能力保障着企业用户的网络安全,最大程度地减少了网络安全事件所带来的经济损失,并降低了网络安全事件造成的社会负面影响。应急响应 724 小时热线电话:95015。奇安信集团 第 17 页,共 18 页 附录 3 网络安全应急响应图书推荐 应急响应-网络安全的预防、发现、处置和恢复 图书作者:奇安信安服团队 出版商:电子工业出版社出版 发行时间:2019 年 08 月 01 日 本书内容主要将前沿的应急响应理论与奇安信安服团队的应急响应一线实战经验相结合,从高42、级科普的角度介绍网络安全应急响应基础知识,可以指导政企机构、监管机构加强网络安全应急响应的能力建设。共分为十章,包括:网络安全应急响应的概述、政策法规、协调与通报机构、模型与趋势、规划、关键技术、人才培养、应急演练、漏响响应平台以及案例。本书旨在为全国网信干部提供理论指南、实践指导和趋势指引,也可以作为从事网络安全应急响应研究、实践和管理等各类专业人士的培训教材。了解详情:https:/ 网络安全应急响应技术实战指南 图书作者:奇安信安服团队 出版商:电子工业出版社 发行时间:2020 年 08 月 10 日 为帮忙一线安全人员更加快速、更高质量的处理应急事件,奇安信安服团队总结每年积累的上千43、起事件处理的经验和实战,撰写了网络安全应急响应技术实战指南这本技术类图书。本书共分为十章,前三章为应急工程师需要掌握的理论和基础技能和工具,分别为网络安全应急响应概述、应急工程师基础技能、应急响应常用工具介绍。后七章内容为当前应急响应工作中最常见的七大处理场景,分别是勒索病毒、挖矿木马、Webshell、网页篡改、DDOS 攻击、数据泄露和流量劫持。我们希望通过具体的处置场景结合基础技能和工具,让一线应急工程师学会处置思路、掌握基础技能、熟悉应急工具,以便实现快速响应应急事件的安全新要求。本书适合政企机构、安全公司的安全运营人员、应急响应人员和大中专院校网络安全相关的学生和老师阅读。了解详情:https:/ 奇安信集团 第 18 页,共 18 页 红蓝攻防:构建实战化网络安全防御体系 图书作者:奇安信安服团队 出版商:机械工业出版社 发行时间:2022 年 07 月 01 日 这是一部从红队、蓝队、紫队视角全面讲解如何进行红蓝攻防实战演练的著作,是奇安信安服团队多年服务各类大型政企机构的经验总结。本书全面讲解了蓝队视角的防御体系突破、红队视角的防御体系构建、紫队视角的实战攻防演练组织。系统介绍了红蓝攻防实战演练各方应掌握的流程、方法、手段、能力、策略,包含全面的技术细节和大量攻防实践案例。了解详情:https:/