资源描述
2021-2022应急响应典型案例集研究报告2021 年 7 月前言应急响应是网络安全工作中的重要组成部分,当政企机构发生重大网络安全 事件时,往往意味着其背后存在着诸多的危险和隐患,应急响应事件的发生是长 期网络安全监测不足,大量安全隐患未得到有效的及时处置等一系列安全问题最 终隐患的集中爆发。就像一起火灾的爆发,映射着长期的消防建设不足。通过应 急响应往往能够快速地发现政企机构网络安全建设中的典型不足。从应急响应事 件来看,每次在应急响应结束后我们都会给政企机构提供很多的整改意见,政企 机构在这些安全建议的基础上也会进行大量的建设和提高,从而避免应急事件的 反复发生。我们在本书当中为大家整理了奇安信历年来处置过的几千起应急响应 中精选的 50 个典型的案例,一方面通过网络安全应急响应事件来分析机构的安 全隐患,另一方面,我们也可以通过应急响应案例来帮助更多企业,一旦发生安 全事故、安全风险时有更多的经验和参考方法进行应急响应的处置,希望通过案 例的分享能够帮助我们的广大政企机构提前防御、提早发现、及时处置。通过近 6 年的应急响应工作,我们发现以下几个典型特点。第一,勒索病毒 的攻击愈演愈烈,包括在国外发生的多起重大事件,国内也不断有相关攻击案例 的发生。同时,挖矿木马也越来越流行;第二,政企机构在网络安全建设中网络 安全防护存在短板,常见如:弱口令、永恒之蓝漏洞补丁下载不及时、员工缺乏 安全意识等问题尤其明显;第三,应急响应事件受影响范围主要集中在业务专网, 平均占比可达 60%以上,其次是办公终端;第四,敲诈勒索、黑产活动是攻击者 攻击政企机构的主要原因,而对政企机构所产生的后果也尤为严重,主要表现为 导致生产效率低下,数据丢失和系统/网络不可用等,对政企机构日常工作和运 营造成了较大影响;第五,攻击者除利用病毒和木马攻击外,利用漏洞攻击和钓 鱼邮件攻击的事件也在不断增多,常见漏洞如永恒之蓝漏洞、任意文件上传、 weblogic 反序列化漏洞;第六,通过对这 6 年政企单位应急响应事件发现数据 进行对比,政企机构单位自行发现能力虽逐年上升,然而,其中被攻击者勒索后 才发现事件的占比却高于政企机构日常安全运营巡检发现入侵迹象的占比,这说 明国内政企机构的日常安全运营建设水平仍有待大幅提高。本书主要分为两个部分,第一部分结合 2021 年最新的应急响应事件通过数 据来表现当前网络安全应急响应的基本形势;第二部分一共分为十个章节,分别 对勒索类、挖矿类、蠕虫类、篡改类等 10 种类型的典型案例进行介绍,希望能 够通过应急响应数据和典型案例为政企机构的日常安全建设提供参考,使应急响 应事件发生的越来越少,一旦发生安全事件时响应越来越快,损失降到越来越低, 这也是我们应急响应工作的主要意义。目录第一章网络安全应急响应形势综述1一、 应急响应事件受害者分析2(一)行业现状分析2(二)事件发现分析2(三)影响范围分析3(四)攻击影响分析4二、 应急响应事件攻击者分析5(一)攻击意图分析5(二)攻击类型分析5(三)恶意程序分析6(四)漏洞利用分析7第二章勒索类事件典型案例8一、 服务器存漏洞感染勒索病毒8(一)事件概述8(二)防护建议8二、 终端电脑遭遇钓鱼邮件感染勒索病毒8(一)事件概述8(二)防护建议9三、 工业生产网与办公网边界模糊,感染勒索病毒9(一)事件概述9(二)防护建议9四、 服务器配置不当感染勒索病毒9(一)事件概述9(二)防护建议10五、 专网被攻击,58 家医院连锁感染勒索病毒10(一)事件概述10(二)防护建议11六、 OA 服务器远程桌面映射公网,感染勒索病毒11(一)事件概述11(二)防护建议12七、 内网主机使用弱口令致感染勒索病毒12(一)事件概述12(二)防护建议12八、 8003 端口映射在公网感染勒索病毒13(一)事件概述13(二)防护建议13九、 私自下载破解软件致服务器感染勒索病毒13(一)事件概述13(二)防护建议14十、 服务器补丁安装不及时感染勒索病毒14(一)事件概述14(二)防护建议14十一、 擅自修改网络配置致服务器感染勒索病毒14(一)事件概述14(二)防护建议15十二、 用户名口令被暴力破解感染勒索病毒15(一)事件概述16(二)防护建议16第三章挖矿类事件典型案例17一、 官网存在上传漏洞感染挖矿木马17(一)事件概述17(二)防护建议17二、 误点恶意链接感染挖矿木马17(一)事件概述18(二)防护建议18三、 软件升级包携带“永恒之蓝下载器”致专网感染挖矿木马18(一)事件概述18(二)防护建议20四、 “永恒之蓝下载器”致内网挖矿木马20(一)事件概述20(二)防护建议20五、 安全防护不到位致终端和服务器感染挖矿木马21(一)事件概述21(二)防护建议21六、 SSH 私钥本地保存致虚拟机感染挖矿木马22(一)(二)事件概述 22防护建议 22七、 网站存漏洞致服务器感染挖矿木马 22(一)(二)事件概述 23防护建议 23八、 服务器使用弱口令导致感染挖矿木马 24(一)(二)事件概述 24防护建议 24九、 应用服务平台使用弱口令导致感染挖矿木马24(一)事件概述24(二)防护建议25十、 U 盘未管控导致主机感染挖矿木马25(一)事件概述25(二)防护建议25第四章蠕虫类事件典型案例27一、 服务器弱口令导致感染蠕虫病毒27(一)事件概述27(二)防护建议27二、 浏览恶意链接感染蠕虫病毒28(一)事件概述28(二)防护建议28三、 U 盘未合理管控导致感染蠕虫病毒28(一)事件概述28(二)防护建议29第五章篡改类事件典型案例30一、 Redis 未授权访问漏洞致官网被植入黑链30(一)事件概述30(二)防护建议30二、 网站 WEB 漏洞致网站被挂马30(一)事件概述31(二)防护建议31三、 网站后台程序漏洞致网站被植入黑链31(一)事件概述31(二)防护建议32四、 Tomcat 中间件漏洞致官网被上传博彩页面32(一)(二)事件概述 32防护建议 32五、 Weblogic WLS 组件漏洞致网页被篡改 32(一)(二)事件概述 33防护建议 33六、 weblogic 反序列化漏洞致网页被篡改 33(一)(二)事件概述 33防护建议 34七、 官网存在 SQL 注入漏洞致网页被篡改34(一)事件概述34(二)防护建议35八、 编辑器漏洞致网站被挂黑页35(一)事件概述35(二)防护建议36第六章APT 类事件典型案例37一、 APT 组织利用弱口令进行攻击37(一)事件概述37(二)防护建议37二、 APT 组织利用白+黑技术进行攻击38(一)事件概述38(二)防护建议38三、 APT 组织利用外泄的账号密码进行攻击38(一)事件概述38(二)防护建议39四、 APT 组织利用钓鱼邮件进行攻击39(一)事件概述39(二)防护建议40第七章DDOS 类事件典型案例41一、 某部委遭遇 CC 攻击41(一)事件概述41(二)防护建议41二、 某证券公司遭遇 DDoS 攻击41(一)事件概述41(二)防护建议42第八章漏洞利用类事件典型案例43一、 内网防护不到位致大量主机失陷43(一)(二)事件概述 43防护建议 43二、 网站存在任意文件上传漏洞,致多台主机沦陷 44(一)(二)事件概述 44防护建议 44三、 服务器因 SQL 注入漏洞被攻陷 44(一)事件概述44(二)防护建议45四、 机顶盒配置不当致堡垒机被攻陷45(一)事件概述45(二)防护建议46五、 公网应用平台因 Shiro 反序列化漏洞被攻击46(一)事件概述46(二)防护建议46第九章钓鱼邮件类事件典型案例48一、 利用钓鱼邮件,伪造打款信息48(一)事件概述48(二)防护建议48二、 破解管理员弱密码,发起钓鱼邮件攻击48(一)事件概述48(二)防护建议49三、 下载破解软件,导致内网终端自动发送恶意邮件49(一)事件概述49(二)防护建议50第十章数据泄露类事件典型案例51一、 账号信息上传公网,致内网 20 多台机器受感染51(一)事件概述51(二)防护建议51二、 系统漏洞造成数据泄露51(一)事件概述51(二)防护建议52第十一章僵尸网络类事件典型案例53一、 安全设备弱口令致内网被僵尸网络控制53(一)事件概述53(二)防护建议53附录 1 奇安信集团安服团队54附录 2 应急响应工具箱介绍55第一章网络安全应急响应形势综述2021 年 16 月,奇安信集团安服团队共参与和处置了全国范围内 590 起网络安全 应急响应事件,第一时间协助政企机构处理安全事故,确保了政企机构门户网站、数据 库和重要业务系统的持续安全稳定运行。2021 年上半年应急响应服务月度统计情况具体如下:2021 年上半年,奇安信安服共处置应急响应事件 590 起,投入工时为 3964.5 小时,折合 495.6 人天。(2021 年 4 月为全国实战攻防演习期间,应急数量大幅增加。)图 1-1:大中型政企机构应急响应服务走势一、应急响应事件受害者分析为进一步提高大中型政企机构对突发安全事件的认识和处置能力,增强政企机构安 全防护意识,对 2021 年上半年处置的所有应急响应事件从被攻击角度、受害者行业分 布、攻击事件发现方式、影响范围以及攻击行为造成的影响几方面进行统计分析,呈现 上半年政企机构内部网络安全现状。(一)行业现状分析2021 年上半年应急响应处置事件排名靠前的行业分别为,政府部门(140 起)、医 疗卫生行业(58 起)以及金融行业(49 起)和事业单位(49 起),事件处置数分别占上 半年应急处置事件的 23.7%、9.8%、8.3%和 8.3%。大中型政企机构应急响应行业分布 TOP10 详见下图:图 1-2:大中型政企机构应急响应行业分布从行业排名可知,2021 年上半年攻击者的攻击对象主要分布于政府机构、医疗卫生 行业、金融行业和事业单位。(二)事件发现分析2021 年上半年奇安信安服团队参与处置的所有政企机构网络安全应急响应事件中, 由行业单位自行发现的攻击事件占 95.2%,其中发现入侵迹象的事件占比 39.6%,被攻 击者勒索后发现的攻击占 35.1%,安全运营巡检发现的事件占比 20.5%。另有 4.8%的攻 击事件政企机构是在得到了监管机构及第三方平台的通报后,才得知自己已被攻击。图 1-3:大中型政企机构应急攻击事件发现分析(三)影响范围分析2021 年上半年应急响应事件的影响范围主要集中在业务专网,占比 67.9%;其次为 办公终端,占比 32.1%。根据受影响区域分布对受影响设备数量进行了统计,上半年失 陷的设备中,9284 台服务器受到影响,2373 台办公终端被攻陷,如下图所示。本文中办公终端指企业员工使用的台式机/笔记本电脑、打印机等设备,而业务专 网泛指机构整体运行与对外支撑所需要的各种网络系统。图 1-4:大中型政企机构遭受攻击影响范围分布从影响范围和受影响设备数量可以看出,大中型政企机构的业务专网、服务器为攻 击者攻击的主要目标。大中型政企机构在对业务专网的安全防护建设的同时,提高内部人员安全防范意识, 加强对内网中办公终端、重要服务器的安全防护保障和数据安全管理。第 7 页,共 15 页(四)攻击影响分析2021 年上半年,从大中型政企机构遭受攻击产生的影响来看,攻击者对系统的攻击 所产生的影响主要表现为生产效率降低、数据丢失、声誉影响等。下图为大中型政企机 构遭受攻击后的影响分布。图 1-5:大中型政企机构遭受攻击影响统计分析在上述数据中,有 305 起应急响应事件导致生产效率低下,占比 51.7%,攻击者主 要通过挖矿、蠕虫、木马等攻击手段使服务器 CPU 占用率异常高,造成生产效率降低。有 149 起应急响应事件导致数据丢失,占比 25.3%,攻击者通过对大中型政企机构 重要服务器及数据库进行攻击,导致数据被破坏或丢失。还有 39 起应急响应事件导致声誉受到影响占比 6.6%。同时,数据被篡改、数据泄 露等也是政企机构被攻击后产生的结果,造成的后果也是非常严重的。二、应急响应事件攻击者分析应急响应事件攻击者分析以 2021 年上半年大中型政企机构所有应急数据为支撑, 从攻击者角度对攻击者攻击意图、攻击类型、攻击者常用恶意程序以及常见漏洞利用方 式进行分析,为各政企机构建立安全防护体系、制定应急响应处置方案提供参考依据。(一)攻击意图分析在 2021 年上半年的应急响应事件中,攻击者攻击意图主要为敲诈勒索、黑产活动、 窃取重要数据和内部违规操作。图 1-6:攻击者针对大中型政企机构的攻击意图排行在 2021 年上半年应急响应事件中,174 起事件的攻击原因为敲诈勒索,占比 29.5%, 攻击者利用勒索病毒感染政府机构、大中型企业终端、服务器,对其实施敲诈勒索。对 于大部分攻击者而言,其进行攻击的主要原因是为获取暴利,实现自身最大利益。158 起事件的攻击原因为黑产活动,占比 26.8%,攻击者通过黑词黑链、钓鱼页面、挖矿程序等攻击手段开展黑产活动牟取暴利;另外还有 128 起应急响应事件会导致重要 数据被窃取,占上半年应急响应事件的 21.7%。在 88 起内部违规事件中,内部人员为了方便工作或出于其他原因将内部业务端口 映射至外网的违规操作需要引起大中型企业的重视。(二)攻击类型分析通过对 2021 年上半年大中型政企机构安全事件攻击类型进行分析,排名前三的类 型分别是:恶意程序占比 48.8%;漏洞利用占比 29.8%;网络监听攻击占比 8.0%。在恶 意程序中,木马攻击(非蠕虫病毒)占比 53.0%,蠕虫病毒攻击占比 47.0%。图 1-7:大中型政企机构遭受攻击类型统计分析蠕虫病毒和木马,由于传播速度快、感染性强等特征成为最受攻击者青睐的攻击手 段,攻击者利用病毒、木马对办公系统进行攻击,通常会产生大范围感染,造成系统不 可用、数据损坏或丢失等现象。漏洞利用则是攻击者利用政企机构网络安全建设不完善的弊端,使用常见系统漏洞、 Web 漏洞等,对服务器进行的破坏性攻击,通常会导致重要数据丢失、泄露、内部投毒、 敲诈勒索等严重后果。除此之外,网络监听攻击、网页篡改、钓鱼邮件等也是较为常见的攻击类型。因此, 大中型政企机构应做好日常安全防范工作,定期巡检,及时发现威胁并有效遏制。(三)恶意程序分析在 2021 年上半年,大中型政企机构遭受攻击恶意程序类型,占比较多的木马病毒 分别为勒索病毒总占比 30.4%,挖矿木马占比 18.8%,以及一般木马占比 17.3%。图 1-8:大中型政企机构遭受攻击(恶意程序)类型分析2021 年上半年最常见的勒索病毒是 Phobos 勒索病毒、Sodinokibi 勒索病毒、 GlobeImposter 勒索病毒、WannaCry 勒索病毒以及相关变种病毒。大中型政企机构应更 清楚地认识到木马病毒对我们的服务器、数据库所造成的严重损害,加强内部网络安全 建设,针对多变种勒索病毒、挖矿木马以及随时可能出现的新型病毒制定完善的应急方 案和安全防护措施,将应急响应常态化。(四)漏洞利用分析在 2021 年上半年应急响应事件攻击类型中,对漏洞利用部分进行统计分析,发现 弱口令、永恒之蓝漏洞是大中型政企机构被攻陷的重要原因;其次,服务器配置不当、 服务器漏洞也经常作为攻击者日常利用的方式(其中,在单起网络安全事件中,存在多 个弱点的情况)。图 1-9:大中型政企机构遭受攻击常见漏洞利用方式弱口令、永恒之蓝漏洞需要引起政企机构关注,全面的安全管理策略、内部漏洞检 测和日常修复动作不容忽视。除弱口令、永恒之蓝漏洞、服务器配置不当以及服务器漏 洞外,任意文件上传也是攻击者最常利用的漏洞,攻击者通过利用某一漏洞入侵系统, 传播病毒,获取重要数据以达到敲诈勒索、牟取暴利等意图。政企机构应加大内部巡检力度,定期对设备、终端进行漏洞扫描、修复。定期更换 服务器、终端登录密码,加大密码复杂度,不给攻击者任何可乘之机。第二章勒索类事件典型案例自 2017 年“永恒之蓝”勒索病毒事件之后,勒索病毒的花样也越来越多,不同类型的变种 勒索病毒层出不穷,从近几年的应急响应数据来看,因感染勒索病毒的应急每年都占应急事件 的五成以上,利用方式也多以“永恒之蓝”漏洞,暴破和弱口令空口令等方式,受害者一旦感 染勒索病毒,重要文件被加密,产生的影响和损失巨大。一、服务器存漏洞感染勒索病毒(一)事件概述2018 年 1 月,奇安信集团安服团队接到某医院的服务器安全应急响应请求。该机构反馈有 几台服务器出现重启/蓝屏现象,应急响应人员初步判定为感染了勒索病毒。应急响应人员对重启/蓝屏服务器分析后,判定均遭受“永恒之蓝”勒索病毒,同时遭受感 染的服务器中部分文件被加密。通过对服务器进行漏洞检查发现服务器存在 MS17-010 漏洞,同 时发现服务器开放了 445 端口。通过本次安全事件,医院信息系统暴露了诸多安全隐患,包括未定期开展安全评估工作, 导致内部服务器存在严重高危漏洞;安全域划分不明确,较为混乱;安全意识仍需加强等。(二)防护建议1) 周期性对全网进行安全评估工作,及时发现网络主机存在的安全缺陷,修复高风险漏 洞,避免类似事件发生;2) 系统、应用相关的用户杜绝使用弱口令;3) 有效加强访问控制 ACL 策略,细化策略粒度,采用白名单机制只允许开放特定的业务 必要端口,其他端口一律禁止访问,仅管理员 IP 可对管理端口进行访问;4) 加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落 实情况进行检查,常态化信息安全工作;5) 加强安全意识,提高对网络安全的认识,关注重要漏洞与网络安全事件。二、终端电脑遭遇钓鱼邮件感染勒索病毒(一)事件概述2018 年 4 月,奇安信集团安服团队接到某电网公司的终端安全应急响应请求,有几台办公 终端出现部分 Office 文档、图片文档、pdf 文档多了 sage 后缀,修改后变成乱码。应急响应人员接到请求后,通过对感染勒索病毒的机器样机进行分析得知,此次感染的勒 索病毒的类型为 sage2.2 勒索病毒。对于感染过程,响应人员分析该勒索病毒可能使用了包含 欺骗性消息的恶意电子邮件,消息可以是各种类型,目的皆在使潜在受害者打开这些电子邮件 的恶意.zip。第 31 页,共 15 页(二)防护建议1) 对受感染的机器第一时间进行物理隔离处理;2) 部署终端安全管控软件,实时对终端进行查杀和防护;3) 对个人 PC 中比较重要的稳定资料进行随时备份,备份应离线存储;4) 继续加强网络与信息安全意识培训教育。意外收到的或来自未知发件人的电子邮件, 不要按照文字中的说明进行操作,不要打开任何附件,也不要点击任何链接;5) 操作系统以及安装在计算机上的所有应用程序(例如 Adobe Reader,Adobe Flash,Sun Java 等)必须始终如一地更新。三、工业生产网与办公网边界模糊,感染勒索病毒(一)事件概述2019 年 2 月,某大型制造企业的卧式炉、厚度检测仪、四探针测试仪、铜区等多个车间的 机台主机以及 MES(制造执行系统)客户端都不同程度地遭受蠕虫病毒攻击,出现蓝屏、重启 现象。该企业内部通过处理(机台设备离线、部分 MES 服务器/客户端更新病毒库,更新主机系 统补丁)暂时抑制了病毒的蔓延,但没有彻底解决安全问题,因此紧急向工业安全应急响应中 心求救。工业安全应急响应中心人员到达现场后,经对各生产线的实地查看和网络分析可知,当前 网络中存在的主要问题是工业生产网和办公网网络边界模糊不清,MES 与工控系统无明显边界, 各生产线未进行安全区域划分,在工业生产网中引入了 WannaMine3.0、“永恒之蓝”勒索蠕虫 变种,感染了大量主机,且勒索蠕虫变种在当前网络中未处于活跃状态(大部分机台设备已离 线)。(二)防护建议1) 制定 MES(制造执行系统)与工控系统的安全区域,规划制定安全区域划分;2) 隔离感染主机:已中毒计算机关闭所有网络连接,禁用网卡,未进行查杀的且已关机 的受害主机,需断网开机;3) 切断传播途径:关闭潜在终端的网络共享端口,关闭异常的外联访问;4) 查杀病毒:使用最新病毒库的终端杀毒软件,进行全盘查杀;5) 修补漏洞:打上“永恒之蓝”漏洞补丁并安装工业主机安全防护系统。四、服务器配置不当感染勒索病毒(一)事件概述2019 年 3 月,奇安信安服团队接到某交通运输行业的应急响应请求,某重要服务器感染勒索病毒,导致业务系统无法正常运行。应急响应人员抵达现场后,通过对受感染服务器进行分析,发现服务器感染 Crysis 勒索病 毒变种,操作系统桌面及启动项目录中发现病毒样本 payload1.exe,系统大部分文件被加密。 同时 2 个境外 IP 在勒索时间节点利用 administrator 账号远程桌面登录到了目标主机,人工投 毒并进行横向扩散。通过对现场情况进行分析和对事件进行推断,本次事件主要是由于服务器配置不当,直接 对外映射了远程桌面端口,进而攻击者有针对性地对 rdp 远程登录暴破、人工投毒执行的勒索 攻击。(二)防护建议1) 系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字 母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;2) 禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用 白名单的方式,在出口防火墙加入相关策略,对主动连接 IP 范围进行限制;3) 部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力, 对安全事件发生时可提供可靠的追溯依据;4) 建议在服务器或虚拟化环境上部署虚拟化安全管理系统,提升防恶意软件、防暴力破 解等安全防护能力;5) 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动 发现目前系统、应用存在的安全隐患;6) 加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落 实情况进行检查,常态化信息安全工作;7) 加强人员安全意识培养,不要点击来源不明的邮件附件,不从不明网站下载软件。对 来源不明的文件包括邮件附件、上传文件等要先杀毒处理。五、专网被攻击,58 家医院连锁感染勒索病毒(一)事件概述2019 年 3 月,某地骨科医院爆发勒索病毒,不到一天,全省另外 57 家医院相继爆发勒索病毒,每家医院受感染服务器数量为 3-8 台不等,受灾医院网络业务瘫痪,无法正常开展诊疗 服务。奇安信安服团队收到求助后,第一时间到达该医院进行排查。现场排查显示,此次事件可认定为人工投毒,感染的病毒为 Globelmposte 家族勒索病毒, 受感染医院专网前置机因使用弱口令而被暴破,在成功感染第一家医院后,攻击者利用卫生专 网暴破 3389 登录到各医院专网前置机,再以前置机为跳板向医院内网其他服务器暴破投毒,感染专网未彻底隔离的其他 57 家医院。 通过本次安全事件,医院信息系统暴露了诸多安全隐患,包括未定期开展安全评估工作,导致内部服务器存在严重高危漏洞;安全域划分不明确,较为混乱;安全意识仍需加强等。图 2-1:攻击路径图(二)防护建议1) 系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字 母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;2) 禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用 白名单的方式,在出口防火墙加入相关策略,对主动连接 IP 范围进行限制;3) 有效加强访问控制 ACL 策略,细化策略粒度,按区域按业务严格限制各个网络区域以 及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,其他端口一 律禁止访问,仅管理员 IP 可对管理端口进行访问,如 FTP、数据库服务、远程桌面等 管理端口;4) 部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力, 对安全事件发生时可提供可靠的追溯依据;5) 后续完善强化安全域划分与隔离策略;修改弱密码;关闭防火墙一切不必要的访问端 口;配置完善全流量采集分析能力;6) 构建安全行业生态合作,有效利用威胁情报和应急服务,提升安全防护和处置水平。六、OA 服务器远程桌面映射公网,感染勒索病毒(一)事件概述2020 年 2 月,安服团队接到某地热电企业应急响应请求,该企业现场包括收费系统、化检站远程监测系统、用户室温检测系统、邮件系统等 23 个系统被加密。该企业属于大型政企机构, 停产后果难以估量,因此发出应急响应请求。应急人员抵达现场后,对受害主机初步分析,确定病毒为 Sodinokibi 勒索病毒,且主机日 志大多被清除。通过对多台主机残留日志关联分析,配合上网行为系统访问日志分析,确认感染源头为部 署在虚拟化区域的 OA 服务器。黑客入侵后取得了管理员权限,又以此为跳板攻击其他主机。经 现场调研发现,除管理疏忽存在漏洞外,该企业为了方便运维将 OA 服务器远程桌面映射到了互 联网上,并且有弱口令甚至是空口令的情况,导致遭受此次攻击。(二)防护建议1) 定期进行内部人员安全意识培养,禁止将敏感信息、内网端口私自暴露至公网,所有 账号系统必须设置口令且禁止使用弱口令;2) 加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情 况进行检查。七、内网主机使用弱口令致感染勒索病毒(一)事件概述2020 年 3 月,安服应急响应团队接到某国有企业应急响应请求,该企业感染勒索病毒、多 个主机文件被加密,要求协助对攻击路径进行溯源。应急人员通过对主机/服务器的进程、文件、日志等排查分析,发现主机审核策略配置存在 缺陷,部分审计未开启,系统被植入恶意程序等现象,确认多台机器感染 Hermes837 勒索病毒, 被病毒加密后的文件后缀为“Hermes837”。攻击者利用 IPC 暴力破解,成功登录内网主机和办公主机,在办公主机进行安装 TeamViewer, 创建 ProcessHacker 服务,修改密码等一系列操作,以内网主机为跳板,在 SMB 服务器安装恶 意程序 KProcessHacker 。最终导致多台机器感染 Hermes837 勒索病毒,文件被加密。(二)防护建议1) 系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,加强内部人员安全 意识,禁止密码重用的情况出现;2) 加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情 况进行检查,及时修复漏洞、安装补丁,将信息安全工作常态化;3) 建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防暴破功能、禁用 或限用危险端口(如 3389、445、139、135 等)、防范漏洞利用等方式,提高系统安全 基线,防范黑客入侵;4) 配置并开启相关关键系统、应用日志,对系统日志进行定期异地归档、备份,避免在 攻击行为发生时,导致无法对攻击途径、行为进行溯源等,加强安全溯源能力;5) 建立安全灾备预案,一旦核心系统遭受攻击,需要确保备份业务系统可以立即启用; 同时,需要做好备份系统与主系统的安全隔离工作,避免主系统和备份系统同时被攻 击,影响业务连续性。八、8003 端口映射在公网感染勒索病毒(一)事件概述2020 年 5 月,安服应急响应团队接到某医疗卫生行业应急响应求助,现场发现一台服务器 被加密,希望对加密服务器进行排查,并追溯攻击来源。应急人员接到应急请求抵达现场后排查发现,内网 2 台服务器和 11 台终端感染 Phobos 家 族最新变种勒索病毒。应用服务器 B 的应用系统 8003 端口映射在公网上,内网多台设备均未安 装任何补丁,且开放 445、3389 等常被攻击者利用的端口。经过一系列排查分析,最终确认攻击者利用应用服务器 B 存在的已知漏洞,上传 webshell 后门获得服务器 B 的应用权限,进行提权后,关闭终端安全软件,上传恶意程序 mssecsvr.exe。 并以应用服务器 B 作为跳板机,对内网发起扫描,通过暴力破解获取服务器 A 的 3389 端口的账 号、密码,远程登录服务器 A,上传勒索病毒程序 mssecsvr.exe,利用内网开放的 445 端口将 病毒进行横向扩散,最终导致内网多台设备感染勒索病毒被加密。(二)防护建议1) 服务器、操作系统启用密码策略,杜绝使用弱口令,应使用高复杂强度的密码,如包 含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用 的情况出现;2) 禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用 白名单的方式,在出口防火墙加入相关策略,对主动连接 IP 范围进行限制;3) 关闭服务器 3389、445、139、135 等不必要的高危端口,建议内网部署如堡垒机等类 似的设备,并只允许堡垒机 IP 访问服务器的远程管理端口(如 445、3389、22 等);4) 对内网开展安全大检查,检查的范围包括但不限于恶意进程、恶意服务、异常账号以 及后门清理、系统及网站漏洞检测等;5) 加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落 实情况进行检查,常态化信息安全工作。九、私自下载破解软件致服务器感染勒索病毒(一)事件概述2020 年 9 月,某公司十余台服务器感染勒索病毒,文件遭勒索加密,因此向奇安信安服团 队发起应急响应请求,查询中毒原因。应急人员抵达现场后,查看加密文件后缀及勒索病毒界面,判断该病毒是 Phobos 家族勒索 病毒。通过现场对多台受害服务器进行日志分析,并与相关工作人员沟通,发现公司内部员工 曾使用个人电脑通过非官方渠道下载各类破解版软件,导致个人电脑感染勒索病毒。同时内网 多台服务器均开放 3389 远程桌面服务端口,勒索病毒进入内网后对内网服务器进行 RDP 暴破, 暴破成功后释放勒索病毒,加密文件。(二)防护建议1) 加强内部访问策略,禁止或限制个人电脑进入内网,如业务需要,增加访问控制策略;2) 建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防暴破功能、禁用 或限用危险端口(如 3389、445、139、135 等)、防范漏洞利用等方式,提高系统安全 基线,防范黑客入侵;3) 加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情 况进行检查,禁止通过非官方渠道下载应用软件,及时修复漏洞、安装补丁,将信息 安全工作常态化。十、服务器补丁安装不及时感染勒索病毒(一)事件概述2021 年 2 月,某药业公司一台服务器遭受勒索病毒攻击,紧急向奇安信工业安全应急响应 中心求助,希望尽快排查并溯源。工业安全应急响应中心专家通过对受感染服务器进行日志分析,排查确认感染 fair 勒索病 毒。分析中发现文件最早加密时间为 2021-02-26 15:20 左右,排查此时间段前登录记录,发 现存在大量国外 IP 登录的记录。对登录 IP 进行威胁情报排查,发现大多 IP 都为恶意 IP,其 中有恶意 IP 通过 windows 登录类型 10:远程交互(远程桌面或远程协助访问计算机)的方式 登录过受害服务器。通过对现场情况进行分析发现,该药业公司服务器存在补丁安装不及时、多张网卡情况、 根据以上排查信息、也不排除攻击者扫描到相关漏洞进行攻击的可能性。(二)防护建议1) 对已被感染勒索病毒的服务器进行断网处理,并进行隔离,以免进一步感染其他主机。 对于未中招服务器,尽量关闭不常用的高危端口;2) 有效加强访问控制策略,按区域按业务严格限制各个网络区域以及服务器之间的访问, 在服务器部署工业主机安全防护系统,使用白名单的机制只允许业务必要端口开放;3) 部署工业安全监测系统,进行镜像流量分析和威胁检测,及时发现网络中的安全风险, 同时加强追踪溯源能力,提供可靠的追溯依据。十一、擅自修改网络配置致服务器感染勒索病毒(一)事件概述2021 年 4 月,奇安信安服团队接到医疗行业某机构应急响应求助,现场一台刚上线服务器 感染勒索病毒,所有文件被加密。应急人员通过对加密文件进行查看,确认受害服务器感染的是 Phobos 勒索病毒,文件加密时间为事发当日凌晨 3 点。应急人员对受害服务器日志进行分析发现,从事发前一周开始,公 网 IP(x.x.x.75)持续对受害服务器 RDP 服务进行账号密码暴力破解,并于事发前一晚 22 点 第一次登录成功。事发当日凌晨 1 点,公网 IP(x.x.x.75)再次登录 RDP 服务账号,使用黑客 工具强制关闭服务器中安装的杀毒软件,向内网进行
展开阅读全文