2019年网络安全应急响应分析报告.pdf_报告吧baogao8.com-

资源描述

1 2019 年网络安全应急响应分析报告奇安信安服团队 2020 年 1 月主要观点 2019 年全年奇安信集团安服团队应急响应服务需求同比 2018 年增长 312 起。针对各政府机构、大中型企业的攻击呈逐年上升趋势，网络攻击从未停止过，面对日趋严峻的网络安全形式，政府机构、大中型企业应切实提升关键信息基础设施的安全保护能力，建立主动防御体系，未雨绸缪。医疗卫生、政府部门、事业单位行业是 2019 年攻击者攻击的主要目标。网络新型病毒的不断出现，在加大各行业新型安全威胁风险的同时，更暴露出行业网络安全存在短板、人员缺乏安全意识的问题，各行业应根据自身行业特点，健全网络安全技术支撑体系，通过宣传教育、攻防演练等方式加强网络安全意识培训，完善网络安全应急处突机制。 2019 年应急响应安全事件中，除病毒攻击和木马攻击外，攻击者利用漏洞攻击主机、服务器事件也在不断增多。弱口令、永恒之蓝漏洞和 weblogic 反序列化漏洞等常规漏洞成为攻击者攻击的主要突破口，这往往也最容易被政府机构、大中型企业忽视。 2019 年应急响应安全事件中，木马病毒攻击仍然是政府机构、大中型企业服务器、数据库失陷的重要原因，除常见的勒索病毒攻击外，挖矿木马以及上半年出现的新型木马 “永恒之蓝下载器木马”也成为政府机构、大中型企业业务中断和数据泄露的重要原因。针对多变种勒索病毒、挖矿木马以及随时可能出现的新型病毒，政府机构、大中型企业应制定完善的应急方案和安全防护措施，多角度看待安全问题。完善的应急响应预案和演练工作应成为政府机构、大中型企业日常管理运营的重要部分，通过应急演练了解自身网络安全存在的短板以及自身防御能力。同时，网络安全应急响应需要政府机构、安全厂商、企业加强合作、取长补短。网络安全厂商提供的网络安全应急服务已经成为政府机构、大中型企业有效应对网络安全突发事件的重要手段。网络安全应急服务应该基于数据驱动、安全能力服务化的安全服务运营理念，结合云端大数据和专家诊断，为客户提供安全运维、预警检测、持续响应、数据分析、咨询规划等一系列的安全保障服务。摘要 2019年全年奇安信集团安服团队共参与和处置了 1029起全国范围内的网络安全应急响应事件。 2019 年全年应急处置事件最多的行业 TOP3 分别为：医疗卫生行业（ 153 起）、政府部门行业（ 132起）以及事业单位（ 118起），事件处置数分别占应急处置所有行业的 14.8%、 12.8%、 11.5%。 2019 年全年奇安信安服团队参与处置的所有政府机构和企业的网络安全应急响应事件中，由行业单位自行发现的安全攻击事件占 94.5%，而另有 5.5%的安全攻击事件则是监管机构或主管单位的通报得知已被攻击。 2019 年全年应急安全事件的影响范围主要集中在业务专网，占比 33.5%；办公终端，占比为 19.5%。其次为内部服务器和数据库， 16%；外部网站和内部网站， 14%。 2019 年全年应急安全事件中，攻击者对系统的攻击所产生现象主要表现为导致生产效率低下、数据丢失、系统 /网络不可用。 2019 年全年应急安全事件中，黑产活动、敲诈勒索仍然是攻击者攻击政府机构、大中型企业的主要原因。 2019 年全年政府机构、大中型企业安全事件攻击类型排名前三的分别是：病毒攻击，占比 25.8%；木马攻击，占比 20.3%；漏洞利用，占比， 17%。 2019 年全年政府机构、大中型企业安全事件遭受攻击常见木马排名前三的为勒索病毒、挖矿木马以及一般木马，分别占比 32.1%、 15.7%、 6.4%。 2019 年全年应急安全事件中，弱口令、永恒之蓝漏洞是政企机构、大中型企业被攻陷的重要原因，分别占比 34.9%、 21.7%。关键词：应急响应、安全服务、黑产、敲诈、勒索病毒目录第一章 2019 年全年应急 . 1 第二章应急事件受害者分析 . 2 一、行业现状分布分析 . 2 二、攻击事件发现分析 . 2 三、影响范围分布分析 . 3 四、攻击现象统计分析 . 4 第三章应急事件攻击者分析 . 6 一、攻击意图分布分析 . 6 二、攻击类型分布分析 . 6 三、木马类型分布分析 . 7 四、漏洞利用分布分析 . 9 第四章典型事件案例分析 . 11 一、交通运输行业某单位 CRYSIS勒索病毒事件处置 . 11 （一）事件概述 . 11 （二）防护建议 . 11 二、某政府单位“永恒之蓝下载器”挖矿事件处置 . 12 （一）事件概述 . 12 （二）防护建议 . 12 三、医疗行业卫生专网被攻击， 58 家医院连锁感染 . 12 （一）事件概述 . 12 （二）防护建议 . 13 四、教育行业某大学僵尸网络事件处置 . 13 （一）事件概述 . 13 （二）防护建议 . 13 五、医疗行业某单位“永恒之蓝下载器”木马处置 . 14 （一）事件概述 . 14 （二）防护建议 . 14 六、某政府单位勒索病毒 CRYSIS处置 . 15 （一）事件概述 . 15 （二）防护建议 . 15 七、某事业单位 APT 事件处置 . 15 （一）事件概述 . 15 （二）防护建议 . 16 八、某互联网公司挖矿木马事件处置 . 16 （一）事件概述 . 16 （二）防护建议 . 16 九、某公检法客户内网被渗透事件处置 . 17 （一）事件概述 . 17 （二）防护建议 . 17 十、某科研集团钓鱼邮件攻击处置 . 18 （一）事件概述 . 18 （二）防护建议 . 18 附录 1 奇安信集团安服团队 . 19 附录 2 应急响应工具介绍 . 20 1 第一章 2019 年全年应急 2019 年 1-12 月奇安信集团安服团队共参与和处置了 1029 起全国范围内的网络安全应急响应事件，第一时间协助用户处理安全事故，确保了用户门户网站、数据库和重要业务系统的持续安全稳定运行。应急响应服务 2019 年月度统计情况具体如下： 2019 年全年奇安信安服应急事件处置数量同比 2018 年增长 312 起，投入工时为 2018 年同期的 1.24 倍。通过对 2019 年全年数据分析， 19 年 1 月至 3 月，应急请求逐月上升，于 3 月份达到全年最高， 4 月份之后应急请求逐渐趋于平稳。从上述数据可以看出， 2019 年针对政企机构、大中型企业的攻击从未间断过，其中 3 月份是攻击的高峰。通过对政企机构、大中型企业发生网络安全事件类型进行分析， 3 月份“永恒之蓝下载器 ” 木马安全事件全面爆发，导致应急需求呈全年最高。 3 月之后应急请求呈下降趋势并逐渐趋于平稳，可以看出，“永恒之蓝下载器 ” 木马已基本得到遏制。 2020 年，各政企机构、大中型企业应继续加强内部网络安全建设，建立完善的应急处置机制，提高自身网络环境对突发安全事件的抵御能力。同时，奇安信安服团队将以最大努力，最大限度减少突发安全事件对政府机构、大中型企业的门户网站和业务系统造成的损失和对公众的不良影响，提高服务满意度，为政府机构、大中型企业建立完善的应急响应体系提供技术支撑。第二章应急事件受害者分析为进一步提高政府机构、大中型企业对突发安全事件的认识和处置能力，增强政企机构安全防护意识，对 2019 年全年处置的所有应急事件从政企机构被攻击角度，对受害者行业分布、攻击事件发现方式、影响范围以及攻击行为造成的现象进行统计分析，反映 19 年全年应急响应情况和各政企机构内部网络安全情况。一、行业现状分布分析 2019 年全年应急处置事件最多的行业 TOP3 分别为：医疗卫生行业（ 153 起）、政府部门行业（ 132 起）以及事业单位（ 118 起），事件处置数分别占应急处置所有行业的 14.8%、 12.8%、 11.5%。三者之和约占应急处置事件总量的 39.2%，即全年大于三分之一的应急处置事件发生于医疗卫生、政府部门、事业单位。政企机构、大中型企业应急行业分布 TOP15 详见下图：从行业报告排名可知， 2019 年全年攻击者的攻击对象主要分布于政府机构、事业单位以及国家重要基础性建设行业。其中，医疗卫生行业全年被攻击者攻击次数最多，其次为政府部门、事业单位、公检法、金融等重要行业。由此可见， 2020 年，上述机构在原有安全防护基础上，应进一步强化安全技术和管理建设，同时应与第三方安全服务机构建立良好的应急响应沟通和处置机制。二、攻击事件发现分析 2019 年全年奇安信安服团队参与处置的所有政府机构和企业的网络安全应急响应事件中，由行业单位自行发现的安全攻击事件占 94.5%，而另有 5.5%的安全攻击事件政府机构和企业实际上是不自知的，他们是在得到了监管机构或主管单位的通报才得知已被攻击。 3 虽然政府机构和企业自行发现的安全攻击事件占到了 94.5%，但并不代表其具备了潜在威胁的发现能力。其中，占安全攻击事件总量 49.9%的事件是政府机构和企业通过内部安全运营巡检的方式自主查出的，而其余 44.6%的安全攻击事件能够被发现，则是因为其网络系统已经出现了显著的入侵迹象，或者是已经遭到了攻击者的敲诈勒索，甚至有些单位是在已经遭遇了巨大的财产损失后才发现自己的网络系统遭到了攻击。从上述数据中可以看出，政府机构、大中型企业仍然普遍缺乏足够的安全监测能力，缺乏主动发现隐蔽性较好地入侵威胁的能力。由此， 2020 年，政府机构、大中型企业应进一步加强网络安全建设，提高内部网络安全监测能力。三、影响范围分布分析 2019年全年应急安全事件的影响范围主要集中在业务专网，占比 33.5%；办公终端，占比为 19.5%。其次为内部服务器和数据库， 16%；外部网站和内部网站， 14%。从影响范围分布可知，政府机构、大中型企业的业务专网、办公终端、内部业务系统服务器以及数据库仍为攻击者的主要攻击对象。内部员工安全意识不足，常导致业务专网中存在大量安全漏洞，如危险端口暴露在公网中、未及时安装安全补丁等，可以被轻易利用，所以业务专网遭受的攻击和威胁也是最多，最严重的。攻击者通过对业务专网的攻击，实现敲诈勒索、满足个人利益需求；而办公终端、内部服务器和数据库运行核心业务系统、存放重要数据，也成为攻击者进行黑产活动、敲诈勒索等违法行为的主要攻击目标，攻击者通过发送钓鱼邮件、具有迷惑性的链接等方式诱使内部员工点击，进而感染主机，逐步感染内部服务器、数据库，造成数据外泄、服务器被敲诈勒索的严重后果。基于此，政府机构、大中型企业应强化对业务专网的安全防护建设，同时提高内部人员安全防范意识，加强对内网中办公终端、内部服务器和数据库、内外部网站以及业务系统的安全防护保障和数据安全管理。四、攻击现象统计分析通过对 2019 年全年政府机构、大中型企业被攻陷系统影响后果进行分析研究，攻击者对系统的攻击所产生现象主要表现为导致生产效率低下、数据丢失、系统 /网络不可用。从上述数据不难看出： 1) 导致生产效率低下占比 19.2%，攻击者通过挖矿、拒绝服务等攻击手段使服务器 CPU 占用率异常高，从而造成生产效率低下； 2) 数据丢失占比 15.5%，攻击者通过对政府机构、大中型企业重要服务器及数据库进行攻击，从而导致数据被破坏或丢失等后果； 3) 系统 /网络不可用占比 14.4%，主要表现为攻击者通过对系统的攻击，直接造成业务系统宕机，网络不可用； 4) 声誉影响占比 7.1%，主要体现在对政府机构、大中型企业门户网站进行的网页篡改、黑词暗链、钓鱼网站、非法子页面等攻击，对政府和企业造成严重的声誉影响，特别是政府机构； 5 5) 破坏性攻击占比 5.6%，攻击者通过利用服务器漏洞、配置不当、弱口令、 Web 漏洞等系统安全缺陷，对系统实施破坏性攻击。 6) 同时，数据被篡改、敏感信息泄露和金融资产盗窃也是攻击产生的现象，对政府机构、大中型企业造成严重后果。从攻击现象统计看，攻击者对系统的攻击具备破坏性、针对性，严重影响了系统和业务的正常运行。第三章应急事件攻击者分析应急响应事件攻击者分析以 2019 年全年政府机构、大中型企业所有应急数据为支撑，从攻击者角度对攻击者攻击意图、攻击类型攻击者常用木马以及攻击者常见漏洞利用方式进行分析。为各政企机构安全防护、制定应急处突方案提供参考依据。一、攻击意图分布分析 2019 年全年应急事件中，黑产活动、敲诈勒索仍然是攻击者攻击政府机构、大中型企业的主要原因。 2019 年应急攻击事件中，攻击者攻击利用的主要原因中： 1) 30%为黑产活动，攻击者通过黑词暗链、钓鱼页面、挖矿程序等攻击手段开展黑产活动牟取暴利； 2) 25.6%攻击原因为敲诈勒索，攻击者利用勒索病毒感染政府机构、大中型企业终端、服务器，对其实施敲诈勒索。对于大部分攻击者而言，其进行攻击的主要原因是为获取暴利，实现自身最大利益。 3) 3.4%为内部违规响应事件，攻击者利用政府机构、大中型企业业务人员、运维人员的安全意识低，操作不规范等原因，趁虚而入。同时，出于政治原因攻击意图和 APT 攻击的存在，说明具有组织性、针对性的攻击团队对政府机构、大中型企业的攻击目的不单单是为钱财，而有可能出于政治意图，窃取国家层面、重点领域的数据。虽然 APT 攻击和出于政治原因的攻击数量相对较少，但其危害性较重，所以政府机构、大中型企业，特别是政府机构，应强化整体安全防护体系建设。二、攻击类型分布分析通过对 2019 年全年政府机构、大中型企业安全事件攻击类型进行分析，排名前三的类型分别是：木马病毒攻击，占比 50.4%；漏洞利用，占比， 17%；网页篡改，占比， 7 4.8%。以上数据显示， 2019 年应急响应处置事件中常见的攻击类型主要表现在木马病毒攻击、漏洞利用、网页篡改等方面。其中，木马病毒攻击是最常被使用的攻击类型，攻击者利用木马病毒对办公系统进行攻击，通常会产生大范围感染，造成系统不可用、数据损坏或丢失等现象，常见表现为：攻击者使用勒索病毒对服务器进行感染，从中获取个人利益等；利用如挖矿木马、 19 年上半年新出现的“永恒之蓝下载器”木马等对服务器、系统进行攻击，使得服务器 CPU 异常高，从而造成生产效率低下等现象，常见表现为：攻击者使用挖矿木马攻击系统，进行黑产活动，谋取利益；其次，漏洞利用则是攻击者使用常见系统漏洞、 web 漏洞等，对服务器进行破坏性的攻击；网页篡改常见表现为：对政府和企业主要网站进行网页篡改、非法子页面等攻击，从而造成政府或企业名誉受损等影响。除此之外，钓鱼邮件、拒绝服务攻击、网络监听攻击等也是较为常见的攻击类型。因此， 2020 年政府机构及大中型企业应当针对这些常见攻击类型，做好防范工作，定期巡检，及时发现威胁并有效遏制。三、木马类型分布分析 2019 年全年政府机构、大中型企业安全事件遭受攻击常见木马排名前三的为勒索病毒、挖矿木马以及一般木马，分别占比 32.1%、 15.7%、 6.4%。从以上数据可以看出，勒索病毒、挖矿木马仍为攻击者攻击政府机构、大中型企业的常见木马类型。其中，勒索病毒常见于 GlobeImposter 勒索软件、 Wannacry 勒索软件、 Crysis 勒索软件、 GandCrab 勒索软件等。除此之外， “永恒之蓝下载器”木马是一个利用多种方式横向传播的后门及挖矿木马，其初期利用某软件的升级通道进行下发传播，随后在其模块添加 “永恒之蓝”漏洞利用、弱口令爆破、哈希传递、 MSSQL 爆破等横向移动方式并采用添加恶意服务、计划任务等在机器上持久化驻留并上传用户信息。由于其爆发力强，传播速度快的特点，仅 2 个小时受攻击用户就可高达 10 万并且木马作者一直更新其攻击模块，故针对该情况，奇安信集团安服联合奇安信安全能力中心发布了 “永恒之蓝下载器 ”专杀工具，可有效遏制 “永恒之蓝下载器 ”病毒在企业内网中的传播。 “永恒之蓝下载器”专杀工具下载链接： rlifescanner 2019 年全年勒索病毒、挖矿木马、“永恒之蓝下载器”木马月度攻击趋势图具体如下： 9 以上数据显示，勒索病毒、挖矿木马均随着 3 月份 “ 永恒之蓝下载器 ”木马的爆发呈全年最高， 3 月之后呈逐月下降趋势。政府机构、大中型企业应更清楚地认识到木马病毒对我们的服务器、数据库所造成的严重损害，进一步加强内部网络安全建设，针对多变种勒索病毒、挖矿木马以及随时可能出现的新型病毒制定完善的应急方案以及安全防护措施，保障自身数据、业务系统的安全。四、漏洞利用分布分析通过对 2019 年全年应急响应处理漏洞利用攻击事件进行统计分析，弱口令、永恒之蓝漏洞是政企机构、大中型企业被攻陷的重要原因，其次， weblogic 反序列化也经常作为黑客日常利用的攻击手段。除弱口令、永恒之蓝漏洞以及 weblogic 反序列化漏洞外，任意文件上传、服务器漏洞以及 Struts2 命令执行漏洞同样是黑客青睐的利用方式，黑客通过利用某一漏洞侵入系统，传播病毒，最终造成数据丢失和篡改、隐私泄露乃至金钱上的损失等一系列连锁反应。政企机构、大中型企业应加大内部巡检力度，定期对设备、终端进行漏洞扫描，修复。定期更换服务器、终端登录密码、加大密码复杂度，不给黑客任何可乘之机。 11 第四章典型事件案例分析 2019 年全年奇安信安全服务团队共接到全国各地应急求助 1029 起，涉及全国 30 个省市，近 30 个行业，其中包括医疗卫生，大中型企业、政府机构，事业单位等重要信息化基础设施行业。发生的安全事件类型中不乏各种变种勒索病毒、蠕虫病毒以及会导致 CPU 运行过高的挖矿木马，均不同程度地造成较为严重的社会负面影响，也给客户带来了严重损失。一、交通运输行业某单位 Crysis 勒索病毒事件处置（一）事件概述 2019 年 3 月，奇安信安服团队接到某交通运输行业的应急响应请求，某重要服务器感染勒索病毒，导致业务系统无法正常运行。应急响应人员抵达现场后，通过对受感染服务器进行分析，发现服务器感染 Crysis 勒索病毒变种，操作系统桌面及启动项目录中发现病毒样本 payload1.exe，系统大部分文件被加密。同时 2 个境外 IP 在勒索时间节点利用 administrator 账号利用远程桌面登录到了目标主机，人工投毒并进行横向扩散。通过对现场情况进行分析和对事件进行推断，本次事件主要是由于客户服务器配置不当，直接对外映射了远程桌面端口，进而攻击者有针对性的对 rdp 远程登录爆破、人工投毒执行的勒索攻击。（二）防护建议 1) 系统、应用相关用户杜绝使用弱口令，应使用高复杂强度的密码，尽量包含大小写字母、数字、特殊符号等的混合密码，加强管理员安全意识，禁止密码重用的情况出现； 2) 禁止服务器主动发起外部连接请求，对于需要向外部服务器推送共享数据的，应使用白名单的方式，在出口防火墙加入相关策略，对主动连接 IP 范围进行限制； 3) 部署高级威胁监测设备，及时发现恶意网络流量，同时可进一步加强追踪溯源能力，对安全事件发生时可提供可靠的追溯依据； 4) 建议在服务器或虚拟化环境上部署虚拟化安全管理系统，提升防恶意软件、防暴力破解等安全防护能力； 5) 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作，主动发现目前系统、应用存在的安全隐患； 6) 加强日常安全巡检制度，定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查，常态化信息安全工作； 7) 加强人员安全意识培养，不要点击来源不明的邮件附件，不从不明网站下载软件。对来源不明的文件包括邮件附件、上传文件等要先杀毒处理。二、某政府单位“永恒之蓝下载器 ”挖矿事件处置（一）事件概述 2019 年 3 月，奇安信安服团队接到某政府单位“永恒之蓝下载器 ”挖矿事件应急响应请求，其内网大量服务器出现服务器内存、 CPU 等资源被恶意占用，导致部分服务器业务中断，无法正常运行。应急人员到达现场后与客户沟通得知，服务器于一周前存在大量 445 连接，随时间增长，服务器资源被耗尽，导致业务无法正常工作。通过对内网服务器、终端进程、日志等多方面进行分析，根据应急响应人员现场排查的结果，判定客户内网服务器所感染病毒为“永恒之蓝下载器”挖矿蠕虫病毒，该病毒会利用永恒之蓝漏洞在局域网内进行蠕虫传播，窃取服务器密码进行横向攻击，并且会创建大量服务耗尽服务器资源。通过使用奇安信安服团队编写的批量查杀脚本，对网内机器进行查杀病毒，大大降低网内恶意流量与病毒对资源的占用，恢复了正常业务。（二）防护建议 1) 对检测阶段发现的攻击源 IP 地址进行重新查杀，条件允许情况下重装系统重新部署业务； 2) 安装天擎最新版本（带防爆破功能）和天擎服务器加固防止被黑； 3) 建议部署全流量监控设备，可及时发现未知攻击流量以及加强攻击溯源能力，有效防止日志被轮询覆盖或被恶意清除，有效保障服务器沦陷后可进行攻击排查，分析原因； 4) 建议对内网开展安全大检查，检查的范围包括但不限于后门清理、系统及网站漏洞检测等； 5) 尽量关闭 3389、 445、 139、 135 等不用的高危端口，建议内网部署堡垒机类似的设备，并只允许堡垒机 IP 访问服务器的远程管理端口（ 445、 3389、 22）； 6) 对系统用户密码及时进行更改，可并使用 LastPass等密码管理器对相关密码进行加密存储，避免使用本地明文文本的方式进行存储。三、医疗行业卫生专网被攻击， 58 家医院连锁感染（一）事件概述 2019 年 3 月，某地中医骨科医院爆发勒索病毒，不到一天，全省另外 57 家医院相继爆发勒索病毒，每家医院受感染服务器数量为 3-8 台不等，受灾医院网络业务瘫痪，无法正常开展诊疗服务。奇安信安服团队收到求助后，第一时间到达该医院进行排查。现场排查显示，此次事件可认定为人工投毒，被感染的病毒为 Globelmposte 家族勒索病毒，受感染医院专网前置机因使用弱口令而被爆破，在成功感染第一家医院后，攻击者利用卫生专网爆破 3389 登陆到各医院专网前置机，再以前置机为跳板向医院内网其它服务器爆破投毒，感染专网上未彻底隔离的其他 57 家医院。通过本次安全事件，医院信息系统暴露了诸多安全隐患，包括未定期开展安全评估 13 工作，导致内部服务器存在严重高危漏洞；安全域划分不明确，较为混乱；安全意识仍需加强等。（二）防护建议 1) 系统、应用相关用户杜绝使用弱口令，应使用高复杂强度的密码，尽量包含大小写字母、数字、特殊符号等的混合密码，加强管理员安全意识，禁止密码重用的情况出现； 2) 禁止服务器主动发起外部连接请求，对于需要向外部服务器推送共享数据的，应使用白名单的方式，在出口防火墙加入相关策略，对主动连接 IP 范围进行限制； 3) 有效加强访问控制 ACL 策略，细化策略粒度，按区域按业务严格限制各个网络区域以及服务器之间的访问，采用白名单机制只允许开放特定的业务必要端口，其他端口一律禁止访问，仅管理员 IP 可对管理端口进行访问，如 FTP、数据库服务、远程桌面等管理端口； 4) 部署高级威胁监测设备，及时发现恶意网络流量，同时可进一步加强追踪溯源能力，对安全事件发生时可提供可靠的追溯依据； 5) 后续完善强化安全域划分与隔离策略；修改弱密码；关闭防火墙一切不必要的访问端口；配置完善全流量采集分析能力； 6) 构建安全行业生态合作，有效利用威胁情报和应急服务，提升安全防护和处置水平。四、教育行业某大学僵尸网络事件处置（一）事件概述 2019 年 4 月，安服应急响应团队接到某大学僵尸网络事件的应急请求，现场多台终端发现疑似黑客活动迹象，重要网站系统遭到黑客攻击，无法正常运行。应急响应人员通过对客户重要网站系统进行排查分析，发现该业务系统存在大量 IPC 爆破登录行为，内网多台主机被多次登录成功，且存在数个僵尸网络远控 IP 登录行为，其中，某一控制端存在大量国外 IP 连接行为。同时，应急人员发现其网站运维管理审计系统暴露于公网，并存在弱口令现象，攻击者通过该系统可取得大量服务器的控制权限，且很多敏感安全设备均暴露在公网上，包括 WEB 应用防火墙、日志中心、漏洞扫描系统、超级终端等。攻击者通过暴露于公网的审计系统弱口令爆破登录进入内网，并以此为跳板，对内网多台服务器、主机进行爆破、投毒并进行横向扩散，组成僵尸网络。（二）防护建议 1) 系统、应用相关用户杜绝使用弱口令，应使用高复杂强度的密码，尽量包含大小写字母、数字、特殊符号等的混合密码，加强管理员安全意识，禁止密码重用的情况出现； 2) 重要业务系统及核心数据库应设置独立的安全区域，做好区域边界的安全防御工作，严格限制重要区域的访问权限并关闭不必要、不安全的服务； 3) 部署高级威胁监测设备，及时发现恶意网络流量，同时可进一步加强追踪溯源能力，对安全事件发生时可提供可靠的追溯依据； 4) 建议在服务器上部署安全加固软件，通过限制异常登录行为、开启防爆破功能、禁用或限用危险端口、防范漏洞利用等方式，提高系统安全基线，防范黑客入侵； 5) 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作，主动发现目前系统、应用存在的安全隐患； 6) 加强日常安全巡检制度，定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查，常态化信息安全工作。五、医疗行业某单位“永恒之蓝下载器”木马处置（一）事件概述 2019 年 4 月，安服应急响应团队接到客户应急请求，医疗行业某单位网内约 1000 多台终端和服务器存在大量病毒，客户机不定时重启、蓝屏，严重影响业务系统的正常运行。应急人员通过对相关进程、文件、服务进行排查分析后，判断客户内网失陷是由于感染“永恒之蓝下载器”木马，导致病毒泛滥。通过检查客户现场内网失陷主机，发现现场主机系统均未安装杀毒防护软件， C:Windows 目录下存在大量以随机字符命名的 .exe 文件，并在系统服务中发现大量该 exe 对应的服务。在分析天眼设备抓取流量时，发现内网共存在 11 种病毒，包括蠕虫病毒、挖矿病毒、勒索病毒、远控木马、僵尸网络等多种病毒，且发现主机高危端口如 135、 137、 138、 445 端口均为开启状态并存在传播病毒的行为。除此之外，应急人员在检查过程中发现客户 sqlserver 数据库管理员账户密码与网内所有服务器均使用同一种密码，且该数据库服务器未安装任何安全防护设备，使得木马快速在内网扩散，并存在大量外连行为，导致大量机器沦陷。（二）防护建议 1) 系统、应用相关用户杜绝使用弱口令，应使用高复杂强度的密码，尽量包含大小写字母、数字、特殊符号等的混合密码，加强管理员安全意识，禁止密码重用的情况出现； 2) 有效加强访问控制 ACL 策略，细化策略粒度，按区域按业务严格限制各个网络区域以及服务器之间的访问，采用白名单机制只允许开放特定的业务必要端口，其他端口一律禁止访问，仅管理员 IP 可对管理端口进行访问，如 FTP、数据库服务、远程桌面等管理端口； 3) 部署高级威胁监测设备，及时发现恶意网络流量，同时可进一步加强追踪溯源能力，对安全事件发生时可提供可靠的追溯依据； 4) 建议在服务器上部署安全加固软件，通过限制异常登录行为、开启防爆破功能、禁用或限用危险端口、防范漏洞利用等方式，提高系统安全基线，防范黑客入侵； 15 5) 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作，主动发现目前系统、应用存在的安全隐患； 6) 加强日常安全巡检制度，定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查，常态化信息安全工作。六、某政府单位勒索病毒 Crysis 处置（一）事件概述 2019 年 5 月，安服应急响应团队接到某省人民政府办公厅多台服务器遭受攻击事件的应急请求，要求对攻击来源进行溯源。应急响应人员接到请求后，通过对系统日志、后门脚本文件等进行取证分析，发现相关服务器存在被 IPC 和 RDP 爆破攻击的迹象，同时部分服务器还存在已知的后门程序和漏洞攻击利用程序，根据相关日志关联，追溯至地州市，内外网络混合同时使用的现象导致此次攻击的发生。同时由于某省人民政府办公厅所部署的服务器均未应用最新补丁，机器都是使用的统一口令，且向政务外网开放端口终端，这也导致攻击者可以通过永恒之蓝（ MS17-010）等相关漏洞对系统实施攻击。（二）防护建议 1) 对受感染的机器第一时间进行物理隔离处理 ; 2) 建议在服务器上部署安全加固软件，通过限制异常登录行为、开启防爆破功能、禁用或限用危险端口、防范漏洞利用等方式，提高系统安全基线，防范黑客入侵； 3) 部署终端安全管控软件，实时对终端进行查杀和防护； 4) 对个人 PC 中比较重要的稳定资料进行随时备份，备份应离线存储； 5) 继续加强网络与信息安全意识培训教育。意外收到的或来自未知发件人的电子邮件，不要按照文字中的说明进行操作，不要打开任何附件，也不要点击任何链接； 6) 建议安装相应的防病毒软件或部署防病毒网关，及时对病毒库进行更新，并且定期进行全面扫描，加强服务器上的病毒清除能力。七、某事业单位 APT 事件处置（一）事件概述 2019 年 6 月，奇安信安服团队接到某事业单位应急请求，内网有四台机器疑似海莲花 APT 组织控制，客户要求提取对应样本，以确认事件的真实性。应急响应人员在客户协助下，通过对 4 台疑似受控机进行分析，判定确为海莲花受控机器。攻击者利用海莲花常用的“白加黑”技术，通过在主机目录下植入恶意文件 AdobeFlash.exe、 goopdate.dll，其中， AdobeFlash.exe 是具有 google 签名的伪造的 GoogleUpdate.exe ， goopdate.dll 是精心伪造的恶意文件， AdobeFlash.exe （ GoogleUpdate）程序启动时，会自动加载动态链接库 goopdate.dll 执行。海莲花使用典型的白 +黑方式伪装释放文件，用于迷惑用户以及安全防护产品，达到免杀的目的。并且每个黑文件样本的变幻后的数据也不相同，主要是由于加密密钥不同，在运行时先进行解密，然后在内存中执行解密后的 shellcode。（二）防护建议 1) 部署高级威胁监测设备，及时发现恶意网络流量，同时可进一步加强追踪溯源能力，对安全事件发生时可提供可靠的追溯依据； 2) 配置并开启相关关键系统、应用日志，对系统日志进行定期异地归档、备份，避免在攻击行为发生时，导致无法对攻击途径、行为进行溯源等，加强安全溯源能力； 3) 建议在服务器或虚拟化环境上部署虚拟化安全管理系统，提升防恶意软件、防暴力破解等安全防护能力； 4) 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作，主动发现目前系统、应用存在的安全隐患； 5) 加强日常安全巡检制度，定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查，常态化信息安全工作。八、某互联网公司挖矿木马事件处置（一）事件概述 2019 年 9 月，安服应急响应团队接到某互联网公司请求，客户安全部门发现公司内网数万台虚拟机感染挖矿木马，应急人员立即赶往现场进行排查和溯源工作。应急人员对受害服务器进行分析，发现客户内网多台受害主机本地均存有内网其他机器的 ssh 私钥，并可以免密登录 Ansible 服务器。攻击者首先利用 Consul 组建远程命令执行漏洞进入内网，下载并运行挖矿木马，并利用保存在本地的 ssh 私钥进行横向扩散，感染 Ansible 服务器后，通过 ansible/salt/knife 进行大量传播，最终导致内网数万台虚拟机均受影响。应急人员立即采取行动，对挖矿木马产生的密钥认证文件、可疑计划任务项、木马守护进程以及挖矿木马创建的恶意文件进行清理。 Ansible 是一种可批量管理服务器的开源自动化工具，管理员可以通过 Ansible 在成百上千台计算机上同时执行指令 (任务 )。本次事件中，数万台虚拟机受到感染， Ansible 服务器的沦陷是导致挖矿木马大量传播的主要因素，企业应当对此类重要服务器进行充分的保护和隔离，避免其被攻击者掌控，造成不必要的损失。（二）防护建议 1) 系统、应用相关用户杜绝使用弱口令，应使用高复杂强度的密码，尽量包含大小写字母、数字、特殊符号等的混合密码，加强管理员安全意识，禁止密码重用、密码本地保存等情况出现； 2) 重要业务系统及核心数据库应设置独立的安全区域，做好区域边界的安全防御工作，严格限制重要区域的访问权限并关闭不必要、不安全的服务； 17 3) 建议在服务器或虚拟化环境上部署虚拟化安全管理系统，提升防恶意软件、防暴力破解等安全防护能力； 4) 部署高级威胁监测设备，及时发现恶意网络流量，同时可进一步加强追踪溯源能力，对安全事件发生时可提供可靠的追溯依据； 5) 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作，主动发现目前系统、应用存在的安全隐患； 6) 加强日常安全巡检制度，定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查，常态化信息安全工作。九、某公检法客户内网被渗透事件处置（一）事件概述 2019 年 9 月，安服应急响应团队接到某公检法客户应急请求，客户内网疑似被渗透， 3000 多台主机失陷，导致业务系统和内部网络瘫痪。应急人员对受害服务器进行排查，发现客户网络环境未做全面的防护策略，并且受害服务器版本过低，对外网开放了包含常用端口，如 80 端口、 21 端口等，和危险端口，如 1433 端口等在内的 21 个服务端口，甚至部分端口存在目录遍历等漏洞。攻击者利用上述系统问题，早在 2017 年就将 webshell 木马上传至受害服务器，并获取了该服务器的控制权。之后，攻击者对受害服务器上传了暴力破解工具和字典，并将受害服务器作为肉鸡，成功爆破了内网 3575 个服务器或终端。通过本次安全事件，该客户系统暴露了诸多安全隐患，包括未定期开展安全巡检工作，导致内部服务器于 2017 年就已被攻陷；对外开放端口过多，且包含部分高危端口；员工安全意识不足，大量服务器使用弱密码等。（二）防护建议 1) 系统、应用相关用户杜绝使用弱口令，应使用高复杂强度的密码，尽量包含大小写字母、数字、特殊符号等的混合密码，加强管理员安全意识，禁止密码重用的情况出现； 2) 建议在服务器上部署安全加固软件，通过限制异常登录行为、开启防爆破功能、禁用或限用危险端口、防范漏洞利用等方式，提高系统安全基线，防范黑客入侵； 3) 建议对内网开展安全大检查，检查的范围包括但不限于后门清理、系统及网站漏洞检测等； 4) 建议在服务器或虚拟化环境上部署虚拟化安全管理系统，提升防恶意软件、防暴力破解等安全防护能力； 5) 部署高级威胁监测设备，及时发现恶意网络流量，同时可进一步加强追

展开阅读全文