2019上半年网络安全应急响应分析报告.pdf

2019 上半年 网络安全应急响应 分析报告 奇 安信安服团队 2019 年 7 月 主要观点 2019 年上半年奇安信集团安服团队应急响应服务需求同比 2018 年上半年 增长 420 起 。 针对各政府机构 、大中型企业的攻击从未停止过，反呈愈演愈烈之势，我国网络安全形 势 依然严峻。 医疗卫生、事业单位、公检法行业是 2019 年上半年攻击者攻击的主要目标。层出不穷 的网络新型病毒，加大了各行业新型安全威胁风险。网络安全存在短板 、 人员缺乏安全 意识更给了黑客网络攻击可乘之机，应大力倡导各行各业，通过宣传教育、攻防演练等 方式加强网络安全意识培训，优化网络安全应急处突机制。 2019 年上半年应急响应安全事件中，勒索病毒攻击仍然是政府机构、大中型企业服务 器、数据 库失陷的重要原因。除勒索病毒外，挖矿木马、综合型病毒（ “永恒之蓝 下 载 器 ” 木马 ）是导致政府机构、大中型企业业务中断、数据泄露的主要原因。针对多变种 勒索病毒、挖矿木马以及随时可能出现的新型病毒，政府机构、大中型企业应制定完善 的应急方案和安全防护措施，多角度看待安全问题。 网络安全应急响应工作应成为政府机构、大中型企业日常管理的一部分。勒索病毒等影 响广泛的网络安全事件可能扩大为全行业、全国甚至全球性问题，网络安全应急响应需 要政府机构、安全厂商、企业加强合作、取长补短，必要时进行跨国协作。 网络安全厂商提供的网络安全应急服务已经成为政府机构、大中型企业有效应对网络安 全突发事件的重 要手段。网络安全应急服务应该基于数据驱动、安全能力服务化的安全 服务运营理念，结合云端大数据和专家诊断，为客户提供安全运维、预警检测、持续响 应、数据分析、咨询规划等一系列的安全保障服务。 摘 要 2019 年上半年奇安信集团安服团队共参与和处置了 613 起全国范围内的网络安全应急 响应事件 2019 年上半年应急处置事件最多的行业 TOP3 分别为：医疗卫生行业（ 83 起）、公检法 行业（ 61 起）以及事业单位（ 61 起），事件处置数分别占应急处置所有行业的 13.5%、 7.5%、 7.5%。 2019 年上半年奇安信安服团队参与处置的所有政府机构和企业的网络安全应急响应事 件中，由行业单位自行发现的安全攻击事件占 94.8%，而另有 5.2%的安全攻击事件则 是监管机构或主管单位的通报得知已被攻击。 2019 年上半年应急安全事件的影响范围主要集中在内部服务器和数据库，占比 26.43%； 外部网站和内部网站，占比为 22.68%。其次为办公专网， 15.66%；一般业务系统， 8.65% 2019 年上半年应急事件中，黑产活动、敲诈勒索仍然是攻击者攻击政府机构、大中型 企业的主要原因 2019 年上半年政府机构、大中型企业安全事 件遭受攻击常见木马排名前三的为勒索病 毒、挖矿木马以及综合型病毒（以 “永恒之蓝下载器”木马 为主），分别占比 31.8%、 14.8%、 9.1% 关键词： 应急响应、安全服务、黑产、敲诈、“永恒之蓝下载器”木马 目 录 第一章 2019 上半年的应急 . 1 第二章 应急事件受害者分析 . 3 一、 行业现状分布分析 . 3 二、 攻击事件发现分析 . 3 三、 影响范围分布分析 . 4 四、 攻击现象统计分析 . 5 第三章 应急事件攻击者分析 . 6 一、 攻击意图分布分析 . 6 二、 木马类型分布分析 . 6 三、 漏洞利用分布分析 . 8 第四章 典型事件案例分析 . 9 一、 交通运输行业某单位 CRYSIS勒索病毒事件应急响应 . 9 （一） 事件概述 . 9 （二） 防护建议 . 9 二、 某政府单位“永恒之蓝下载器”挖矿事件应急响应 . 9 （一） 事件概述 . 10 （二） 防护建议 . 10 三、 医疗行业某单位专网勒索病毒 GLOBEIMPOSTER 处置 . 10 （一） 事件概述 . 10 （二） 防护建议 . 11 四、 某省政府单位勒索病毒 CRYSIS 处置 . 11 （一） 事件概述 . 11 （二） 防护建议 . 11 五、 某事业单位 APT 事件应急响应 . 12 （一） 事件概述 . 12 （二） 防护建议 . 12 附录 1 奇安信集团安服团队 . 13 1 第一章 2019 上半年的应急 2019年 1-6月奇安信集团安服团队共参与和处置了 613起全国范围内的网络安全应 急响应事件，第一时间协助用户处理安全事故，确保了用户门户网站、数据库和重要业 务系统的持续安全稳定运行。 应急响应服务月度统计情况具体如下： 2019 年上半年奇安信安服应急事件处置数量同比 2018 年上半年增长 420 起 ，投入 工时为 2018 年同期的 3.16 倍。通过对 2019 年上半年数据分析， 19 年 1 月至 3 月，应 急请求逐月上升，于 3 月份达到上半年最高，在 4至 6 月呈逐月下降趋势。 从上述数据可以看出， 2019 上半年针对政企机构、大中型企业的攻击从未间断过， 3 月份是攻击的高峰。通过对政企机构、大中型企业发生网络安全事件类型进行分析， 3 月份“永恒之蓝下载器 ” 木马 安全事件全面爆发，导致应急需求呈上半年最高。 4 月到 6 月应急请求呈逐月下降趋势，可以看出， “永恒之蓝下载器 ” 木马 已基本得到遏制。 2019 年下半年，各政企机构 、 大中型企业应继续加强内部网络安全建设，建立完善 的应急处置机制，提高自身网络环境对突发安全事件的抵御能力。同时，奇安信安服团 队将以最大努力，最大限度减少突发安全事件对政府机构、大中型企业的门户网站和业 务系统造成的损失和对公众的不良影响，提高服务满意度，为政府机构、大中型企业建 立完善的应急响应体系提供技术支撑。 应急响应服务救援覆盖区域具体如下： 2019 年上半年，应急响应服务救援覆盖全国 27 个省市，省市覆盖率占全国 84.4%。 其中，新疆、西藏，宁夏，江西等地暂支持远程救援。 2 3 第二章 应急事件受害者分析 为进一步 提高政府机构、大中型企业对突发安全事件的认识和处置能力，增强政企 机构安全防护意识，对 2019 年上半年处置的所有应急事件从政企机构被攻击角度，对 受害者行业分布、攻击事件发现方式、影响范围以及攻击行为造成的现象进行统计分析， 反映 19 年上半年应急响应情况和各政企机构内部网络安全情况。 一、 行业现状分布分析 2019 年上半年应急处置事件最多的行业 TOP3 分别为：医疗卫生行业（ 83 起）、公 检法行业（ 61 起）以及事业单位（ 61 起），事件处置数分别占应急处置所有行业的 13.5%、 7.5%、 7.5%。三者 之和约占 应急 处置事件总量的 28.5%，即上半年近三分之一的应急处 置事件发生于医疗卫生、公检法、事业单位。政企机构、大中型企业应急行业分布 TOP15 详见下图： 从行业报告排名可知， 2019 年上半年攻击者的攻击对象主要分布于政府机构、事业 单位以及国家重要基础性建设行业。其中，医疗卫生行业上半年被攻击者攻击次数最多， 其次为公检法、事业单位、政府机构、交通运输等重要行业。由此可见， 2019 年下半年， 上述机构在原有安全防护基础上，应进一步强化安全技术和管理建设，同时应与第三方 安全服务机构建立良好的应急响应沟通和处置机制。 二、 攻 击事件发现分析 2019 年上半年奇安信安服团队参与处置的所有政府机构和企业的网络安全应急响 应事件中，由行业单位自行发现的安全攻击事件占 94.8%，而另有 5.2%的安全攻击事件 政府机构和企业实际上是不自知的，他们是在得到了监管机构或主管单位的通报才得知 已被攻击。 4 虽然政府机构和企业自行发现的安全攻击事件占到了 94.8%，但并不代表其具备了 潜在威胁的发现能力。其中，占安全攻击事件总量 73.1%的事件是政府机构和企业通过 内部安全运营巡检的方式自主查出的，而其余 21.7%的安全攻击事件能够被发现，则是 因为其网络 系统已经出现了显著的入侵迹象，或者是已经遭到了攻击者的敲诈勒索，甚 者有些单位是在已经遭遇了巨大的财产损失后才发现自己的网络系统遭到了攻击。 从上述数据中可以看出，政府机构、大中型企业仍然普遍缺乏足够的安全监测能力， 缺乏主动发现隐蔽性较好地入侵威胁的能力。由此， 2019 年下半年，政府机构、大中型 企业应进一步加强网络安全建设，提高内部网络安全监测能力。 三、 影响范围分布分析 2019 年上半年应急安全事件的影响范围主要集中在内部服务器和数据库，占比 26.43%；外部网站和内部网站，占比为 22.68%。其次为办公专网， 15.66%；一般业务系 统， 8.65%。 5 从影响范围分布可知，政府机构、大中型企业的互联网门户网站、内部网站、内部 业务系统服务器以及数据库仍为攻击者的主要攻击对象。由于门户网站暴露于互联网中， 可以被轻易找到，所以门户网站遭受到的攻击和威胁也是最多，最严重的。攻击者通过 对网站的攻击，实现敲诈勒索、满足个人利益需求；而内部网站、内部服务器和数据库 运行核心业务系统、存放重要数据，也成为攻击者进行黑产活动、敲诈勒索等违法行为 的主要攻击目标，攻击者通过发送钓鱼邮件、具有迷惑性的链接等方式诱使内部员工点 击，进而感染 主机，逐步感染内部服务器、数据库，造成数据外泄、服务器被敲诈勒索 的严重后果。 基于此，政府机构、大中型企业应强化对互联网门户网站的安全防护建设，同时提 高内部人员安全防范意识，加强对内网中内部网站、内部服务器和数据库、终端以及业 务系统的安全防护保障和数据安全管理。 四、 攻击现象统计分析 通过对 2019 年上半年政府机构、大中型企业被攻陷系统影响后果进行分析研究， 攻击者对系统的攻击所产生现象主要表现为导致生产效率低下、数据丢失、系统不可用。 从上述数据不难看出，导致生产效率低下占比 29%，攻击者通过挖矿、拒绝服务等 攻击手段使服务器 CPU 占用率异常高，从而造成生产效率低下；数据丢失占比 21%；系 统不可用占比 19%，主要表现为攻击者通过对系统的攻击，直接造成业务系统宕机；破 坏性攻击占比 6.5%，攻击者通过利用服务器漏洞、配置不当、弱口令、 Web 漏洞等系统 安全缺陷，对系统实施破坏性攻击；声誉影响占比 5.7%，主要体现在对政府机构、大中 型企业门户网站进行的网页篡改、黑词暗链、钓鱼网站、 非法子页面 等攻击，对政府和 企业造成严重的声誉影响，特别是政府机构。同时，敏感信息泄露、数据被篡改、网络 不可用和金融资产盗窃也是攻击产生的现象， 对 政府 机构、大中型企业 造成 严重 后果。 从攻击现象统计看，攻击者对系统的攻击具备破坏性、针对性，严重影响了系统和 业务的正常运行。 6 第三章 应急事件攻击者分析 应急响应事件攻击者分析以 2019 年上半年政府机构、大中型企业所有应急数据为 支撑，从攻击者角度对攻击者攻击意图、攻击者常用木马以及攻击者常见漏洞利用方式 进行分析。为各政企机构安全防护、制定应急处突方案提供参考依据。 一、 攻击意图分布分 析 2019 年上半年应急事件中，黑产活动、敲诈勒索仍然是攻击者攻击政府机构、大中 型企业的主要原因。 攻击者通过黑词暗链、钓鱼页面、挖矿程序等攻击手段开展黑产活动谋取暴利；利 用勒索病毒感染政府机构、大中型企业终端、服务器，对其实施敲诈勒索。对于大部分 攻击者而言，其进行攻击的主要原因是为获取暴利，实现自身最大利益。其次是内部 违 规 响应事件， 表明 政府机构、大中型企业业务 人员、 运维 人员 的 安全意识 还有待提升。 APT 攻击和出于政治原因攻击意图的存在，说明具有组织性、针对性的攻击团队对 政府机构、大中型企业的攻击目的不单 单是为钱财 ， 而有可能 出于政治意图，窃取 国家 层面、 重点 领域的数据 。 虽然 APT 攻击 和 出于 政治原因 的 攻击 数量 相对较少， 但其危害 性较重，所以政府机构、大中型企业，特别是政府机构，应强化整体安全防护体系建设。 二、 木马类型分布分析 2019 年上半年政府机构、大中型企业安全事件遭受攻击常 见木马排名前三的为勒索 病毒、挖矿木马以及综合型病毒（以“永恒之蓝 下载器 ”病毒为主），分别占比 31.8%、 14.8%、 9.1%。 7 “ 永恒之蓝 下载器 ” 是 一个利用多种方式横向传播的 后门 及挖矿木马 ， 其 初期利用 某软件的 升级通道 进行 下发 传播，随后 在其模块添加 “永恒之蓝” 漏洞 利用 、 弱口令 爆 破 、哈希传递 、 MSSQL 爆破等 横向 移动方式并采用添加恶意服务、计划任务等 在 机器上 持久化 驻留并上传 用户信息。 由于 其 爆发力强，传播速度快的 特 点， 仅 2 个小时受攻击 用户就可高达 10 万 并且木马 作者 一直 更新其攻击模块 。针对该 情况 ， 奇安信集团安服 联合 奇安信安全能力中心 发布 了 “永恒之蓝 下载器 ”专杀工具， 可 有效遏制 “永恒之蓝 下载器 ”病毒 在 企业内网中的传播 。 除此之外，勒索病毒及挖矿木马仍为攻击者攻击政 府机构、大中型企业的常见木马类型。其中，勒索病毒仍常见于 GlobeImposter 勒索软 件、 Crysis 勒索软件 、 GandCrab 勒索软件、 Sodinokibi 勒索软件 等。 “ 永恒之蓝下载器 ” 专杀工具下载链接： lifescanner 2019 年上半年勒索病毒、挖矿木马、 “永恒之蓝 下载器 ” 木马 月度攻击趋势图具体如 下： 8 以上数据显示 ， 勒索病毒 、 挖矿木马均随着 3 月份 “ 永恒之蓝 下载器 ”木马 的爆发呈 上半年最高， 3 月至 6 月呈逐月下降趋势。 2019 年下半年各政府机构、大中型企业应更清楚地认识到木马病毒对我们的服务器、 数据库所造成的严重损害，进一步加强内部网络安全建设，针对多变种勒索病毒、挖矿 木马以及随时可能出现的新型病毒制定完善的应急方案以及安全防护措施，保障自身数 据、业务系统的安全。 三、 漏洞利用分布分析 通过对 2019 年上半年应急响应处理漏洞利用攻击事件进行统计分析，漏洞利用攻 击呈下降趋势， 4-5 月份呈上升趋势。其中，综合分析上半年漏洞利用事件，弱口令、 永恒之蓝漏洞是政企机构、大中型企业被攻陷的重要原因，其次， Weblogic 反序列化漏 洞也经常作为黑客日常利用的攻击手段。 除永恒之蓝、弱口令以及 Weblogic 反序列化漏洞外， Struts2 命令执行漏洞、 SQL 注入漏洞、任意文件上传以及 JAVA 反序列化漏洞同样是黑客最青睐的利用方式，黑客 通过利用某一漏洞侵入系统，传播病毒，最终造成数据丢失和篡改、隐私泄露乃至金钱 上的损失等一系列连锁反应。 因此， 2019 年下半年，各政企机构、大中型企业应加大内部巡检力度，定期对设备、 终端进行漏洞扫描，修复。定期更换服务器、终端登录密码、加大密码复杂度，不给黑 客任何可乘之机。 9 第四章 典型事件案例分析 2019 年上半年奇安信安全服务团队共接到全国各地应急求助 613 起，涉及全国 27 个省市，近 30 个行业，其中包括医疗卫生，大中型企业、政府机构，事业单位等重要 信息化基础设施行业。发生的安全事件类型中不乏各种变种勒索病毒、蠕虫病毒以及会 导致 CPU 运行过高的挖矿木马，均不同程度地造成较为严重的社会负面影响，也给客户 带来了严重损失。 一、 交通运输行业某单位 Crysis 勒索 病毒事件应急响应 （一） 事件概述 2019 年 3 月，奇安信安服团队接到某交通运输行业的应急响应请求，某重要服务器 感染勒索病毒，导致业务系统无法正常运行 。 应 急响应人员抵达现场后，通过对受感染服务器进行分析，发现服务器感染 Crysis 勒索病毒 变种 ， 操作系统桌面及启动项目录中发现病毒样本 payload1.exe， 系统大部分文 件被加密 。 同时 2 个境外 IP 在勒索时间节点利用 administrator 账号利用 远程桌面登 录到 了 目标主机 ，人工投毒并进行横向扩散。 通过对现场情况进行分析和对事件进行推断，本次事件主要是由于客户 服务器配置 不当，直接对外映射了远程桌面端口， 进而攻击者有针对性的对 rdp 远程登录爆破、人 工投毒执行的勒索攻击。 （二） 防护建议 1) 系统、应用相关用户杜绝使用弱口令，应使用高复杂强度的密码，尽量包含大小写 字母、数字、特殊符号等的混合密码，加强管理员安全意识，禁止密码重用的情况 出现 ； 2) 禁止服务器主动发起外部连接请求，对于需要向外部服务器推送共享数据的，应使 用白名单的方式，在出口防火墙加入相关策略，对主动连接 IP 范围进行限制 3) 部署高级威胁监测设备，及时发现恶意网络流量，同时可进一步加强追踪溯源 能力，对安全事件发生时可提供可靠的追溯依据； 4) 建议在服务器或虚拟化环境上部署虚拟化安全管理系统，提升防恶意软件、防 暴力破解等安全防护能力； 5) 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作， 主动发现目前系统、应用存在的安全隐患； 6) 加强日常安全巡检制度，定期对系统配置、网络设备配合、安全日志以及安全 策略落实情况进行检查，常态化信息安全工作； 7) 加强人员安全意识培养，不要点击来源不明的邮件附件，不从不明网站下载软 件。对来源不明的文件包括邮件附件、上传文件等要先杀毒处理。 二、 某 政府单位“永恒之蓝 下载器 ”挖矿事件应急响应 10 （一） 事件概述 2019 年 3 月，奇安信安服团队接到某政府单位“永恒之蓝 下载器 ”挖矿事件应急响 应请求，其内网大量服务器出现服务器内存、 CPU 等资源被恶意占用，导致部分服务器 业务中断，无法正常运行。 应急人员到达现场后与客户沟通得知，服务器于一周前存在大量 445 连接，随时间 增长，服务器资源被耗尽，导致业务无法正常工作。通过对内网服务器、终端进程、日 志等多方面进行分析，根据应急 响应人员现场排查的结果，判定客户内网服务器所感染 病毒为“永恒之蓝下载器 ”挖矿蠕虫病毒，该病毒会利用永恒之蓝漏洞在局域网内进行 蠕虫传播，窃取服务器密码进行横向攻击，并且 会创建大量服务耗尽服务器资源。通过 使用奇安信安服团队编写的批量查杀脚本，对网内机器进行查杀病毒，大大降低网内恶 意流量与病毒对资源的占用，恢复了正常业务。 （二） 防护建议 1) 对检测阶段发现的攻击源 IP 地址进行重新查杀，条件允许情况下重装系统重新 部署业务； 2) 安装天擎最新版本（带防爆破功能）和天擎服务器加固防止被黑； 3) 建议部署全流量监控设备，可及时发现未知攻击流量以及加强攻击溯源能力， 有效防止日志被轮询覆盖或被恶意清除，有效保障服务器沦陷后可进行攻击排 查，分析原因； 4) 建议对内网开展安全大检查，检查的范围包括但不限于后门清 理、系统及网站 漏洞检测等； 5) 尽量关闭 3389、 445、 139、 135 等不用的高危端口，建议内网部署堡垒机类似 的设备，并只允许堡垒机 IP 访问服务器的远程管理端口（ 445、 3389、 22）； 6) 对系统用户密码及时进行更改，可并使用 LastPass等密码管理器对相关密码进 行加密存储，避免使用本地明文文本的方式进行存储。 三、 医疗行业某单位专网勒索病毒 GlobeImposter 处置 （一） 事件概述 2019 年 3 月，国内多家医院感染 GlobeImposter 勒索病毒事件，安服应急响应团队 接到某省多家医院服务器遭受攻击事件的应急请求，经分析此次攻击是发生在该省同一 卫生专网的 GlobeImposter 勒索病毒事件，针对此专网的攻击影响到该省五十多家市县 医院。 应急响应人员通过对被感染设备进行分析处置，发现此次医院事件是因为该省在同 一卫生专网内横向传染，其攻击手段与 2018 年的事件类型一致，属常规攻击事件，不 具有行业属性。该攻击方式为定向爆破和投递勒索，通过 RDP 远程桌面攻击服务器，利 用 ProcessHacker 结束杀毒软件进程，并利用其它黑客工具如扫描器、密码抓取 工具进 行进一步攻击，随后执行勒索软件，文件被加密，病毒感染后的主要特征包括 windows 服务器文件被加密、加密后缀 *.snake4444。 11 通过本次安全事件，医院信息系统暴露了诸多安全隐患，包括未定期开展安全评估 工作，导致内部服务器存在严重高危漏洞；安全域划分不明确，较为混乱；安全意识仍 需加强等。 （二） 防护建议 1) 系统、应用相关用户杜绝使用弱口令，应使用高复杂强度的密码，尽量包含大 小写字母、数字、特殊符号等的混合密码，加强管理员安全意识，禁止密码重 用的情况出现； 2) 禁止服务器主动发起外部连接请求，对于需要向外部服 务器推送共享数据的， 应使用白名单的方式，在出口防火墙加入相关策略，对主动连接 IP 范围进行限 制； 3) 有效加强访问控制 ACL 策略，细化策略粒度，按区域按业务严格限制各个网络 区域以及服务器之间的访问，采用白名单机制只允许开放特定的业务必要端口， 其他端口一律禁止访问，仅管理员 IP 可对管理端口进行访问，如 FTP、数据库 服务、远程桌面等管理端口； 4) 部署高级威胁监测设备，及时发现恶意网络流量，同时可进一步加强追踪溯源 能力，对安全事件发生时可提供可靠的追溯依据； 5) 建议在服务器上部署安全加固软件，通过限制异常登录行为、开启防 爆破功能、 禁用或限用危险端口、防范漏洞利用等方式，提高系统安全基线，防范黑客入 侵。 四、 某省政府单位勒索病毒 Crysis 处置 （一） 事件概述 2019 年 5 月，安服应急响应团队接到某省人民政府办公厅多台服务器遭受攻击事件 的应急请求，要求对攻击来源进行溯源。 应急响应人员接到请求后，通过对系统日志、后门脚本文件等进行取证分析，发现 相关服务器存在被 IPC 和 RDP 爆破攻击的迹象，同时部分服务器还存在已知的后门程序 和漏洞攻击利用程序，根据相关日志关联，追溯至地州市，两网混用的现象导致此次攻 击的发生。同时由于某省人民政府办公厅所 部署的服务器均未应用最新补丁，机器都是 使用的统一口令，且向政务外网开放端口终端，这也导致攻击者可以通过永恒之蓝 （ MS17-010）等相关漏洞对系统实施攻击。而由于缺失相关日志、流量等支持，无法对 最初的攻击来源进行定位。 （二） 防护建议 1) 对受感染的机器第一时间进行物理隔离处理 ; 2) 建议在服务器上部署安全加固软件，通过限制异常登录行为、开启防爆破功能、 禁用或限用危险端口、防范漏洞利用等方式，提高系统安全基线，防范黑客入 侵； 3) 部署终端安全管控软件，实时对终端进行查杀和防护； 12 4) 对个人 PC 中比较重要的稳定资料进行随时备份，备份应离线存储； 5) 继续加强网络与信息安全意识培训教育。意外收到的或来自未知发件人的电子 邮件，不要按照文字中的说明进行操作，不要打开任何附件，也不要点击任何 链接； 6) 建议安装相应的防病毒软件或部署防病毒网关，及时对病毒库进行更新，并且 定期进行全面扫描，加强服务器上的病毒清除能力。 五、 某事业单位 APT 事件应急响应 （一） 事件概述 2019 年 6 月，奇安信安服团队接到某事业单位 APT事件应急请求，内网有四台机器 疑似海莲花 APT 组织控制，客户要求提取对应样本，以确认事件的真实性。 应急响应人员在客户协助下，通过对 4 台疑似受控机进行分析，判定确为海莲花受 控机器。攻击者利用海莲花常用的“白加黑”技术，通过在主机目录下植入恶意文件 AdobeFlash.exe、 goopdate.dll，其中， AdobeFlash.exe 是具有 google 签名的 伪造的 GoogleUpdate.exe ， goopdate.dll 是 精 心 伪 造 的 恶 意 文 件 ， AdobeFlash.exe （ GoogleUpdate） 程序启动时，会自动加载动态链接库 goopdate.dll 执行。 海莲花使用典型的 白 +黑 方式伪装释放文件，用 于迷惑用户以及安全防护产品， 达到免杀的目的。并且每个 黑 文件样本的变幻后的数据也不相同，主要是由于加密密 钥不同，在运行时先进行解密，然后在内存中执行解密后的 shellcode。 （二） 防护建议 1) 部署高级威胁监测设备，及时发现恶意网络流量，同时可进一步加强追踪溯源 能力，对安全事件发生时可提供可靠的追溯依据； 2) 配置并开启相关关键系统、应用日志，对系统日志进行定期异地归档、备份， 避免在攻击行为发生时，导致无法对攻击途径、行为进行溯源等，加强安全溯 源能力； 3) 建议在服务器或虚拟化环境上部署虚拟化安全管理系统，提升防恶意软 件、防 暴力破解等安全防护能力； 4) 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作， 主动发现目前系统、应用存在的安全隐患； 5) 加强日常安全巡检制度，定期对系统配置、网络设备配合、安全日志以及安全 策略落实情况进行检查，常态化信息安全工作。 13 附录 1 奇安信集团安服团队 奇安信安全 服务团队是奇安信集团旗下，为客户提供全周期的安全保障服务的团队。 团队以攻防技术为核心，聚焦威胁检测和响应，在云端安全大数据的支撑下，为客户提 供咨询规划、威胁检测、攻防演习、应急响应、预警通告、安全运营等一系列实战化的 服务。 安服团队在数据分析、攻击溯源、应急响应、重保演习等方面有丰富的实战经验， 参与了多次国内外知名 APT 事件的分析溯源工作，参与了 APEC、 G20、两会、一带一路、 纪念抗战胜利 70 周年阅兵、十九大、上合峰会等国家重大活动的网络安保工作，屡次 获得了国家相关部门和广大政企客户的高度认可。 2016 年以来，奇安信安服团队供参与处置各类网络安全应急响应事件两千余起，救 援客户涵盖公检法、政府部门、医疗卫生、事业单位、金融、教育、交通等各个行业， 处置事件包括服务器病毒告警、 PC 病毒告警、 webshell 告警、木马告警、数据泄露等 多种类型，为客户挽回经济损失数千万元。