2018年网络安全应急响应分析报告.pdf

2018 年 网络安全应急响应分析报告 2019 年 01 月 16 日 主要观点 凡事预则立，不预则废。网络安全应急响应是 为了 对网络安全有 所 认识 、 有所准备， 以便 在 遇到 突发网络安全事件时 做到 有序应对、妥善处理。 2018 年全年 ， 全国应急响应服务需求呈逐步上升趋势， 自 2017 年 “永恒之蓝”勒索病毒爆发以来， 针对政府、金融等行业的攻击层出不穷，我国网络安全态势 严峻 。 政府、医疗 、金融和教育培训 行业 是 2018 年黑客攻击的主要目标 ， 传媒、银行、科研等关键基础设施行业也面临着越来越多的安全威胁风险。 网络安全防护 存在 短板、人员缺乏 安全意识 是网络攻击有机可乘 的重要原因 ，应 大力 倡导 各行各业 ，通过宣传教育、攻防演练等方式，加强网络安全意识培训。 2018 年，应急响应处理安全事件中， 勒索病毒 攻击 是政府机构、大中型企业 服务器、终端失陷的重要原因 之一， 面对勒索病毒的频繁变种， 政府机构、大中型企业应打破传统安全防护观念，多角度看待 安全 问题，实现安全能力的大幅提升与技术体系的全面升级 。 网络安全应急响应 工作应 成为 政府 机构 、 大中型 企业日常管理的一部分。 勒索病毒等 影响广泛的 网络安全 事件可能扩大为全行业、全国甚至全球性问题， 网络安全应急响应需要 政府机构、 安全厂商、 企业 加强合作、取长补短，必要时进行 跨国 协作 。 网络安全厂商提供的 网络安全应急服务 已经成为 政府机构、大中型 企业 有效 应对网络安全突发事件的 重要 手段 。 网络安全应急服务应该基于数据驱动 、安全能力服务化 的安全服务运营理念，结合云端 大 数据 和 专家诊断，为客户提供 安全运维、 预警检测、持续响应、数据分析、 咨询规划等一系列的安全保障服务。 摘 要 2018 年全年 360 安服团队共参与和处置了 717 起网络安全应急响应事件 . 行业应急处置排在前三位的分别为 公检法 （ 66 起）、 政府部门 （ 63 起）、医疗机构 （ 56起） ，占到所有行业应急处置的 9.0%、 8.0%、 8.0%，三者之和约占应急处置事件总量的25%。 在 2018 年 360 安服团队参与处置的所有政府机构和企业的网络安全应急响应事件中，由行业单位自己发现的安全攻击事件占 92%，而另有 8%的安全攻击事件政府机构和企业实际上是不自知的，他们是在得到了监管机构或主管单位的通报才得知已被攻击。 安全事件的影响范围主要集中在 外部网站和内部网站（ 25.3%）、内部服务器和数据库（ 18.7%） 。 除此之外 ，还 占有一定比例的还有 办公终端（ 17.5%）、业务专网 （ 6.3%） 。 黑产活动、敲诈勒索仍然是攻击者攻击政府机构、大中型企业的主要原因。攻击者通过黑词暗链、钓鱼页面、挖矿程序等攻击手段开展 黑产活动谋取暴利；利用勒索病毒感染政府机构、大中型企业终端、服务器，对其实施敲诈勒索。 从上述数据可以看出，攻击者对系统的攻击所产生现象主要表现为导致生产效率低下、破坏性攻击、声誉影响、系统不可用。其中，导致生产效率低下占比 20%， 数据丢失 占比 13%，破坏性攻击 占比 10%。 关键词： 应急响应、 安全 服务 、 敲诈勒索、黑产活动、 木马病毒 目 录 第一章 研究背景 . 1 第二章 应急响应监测分析 . 2 一、 月度报告趋势分析 . 2 二、 行业报告排名分析 . 2 三、 攻击事件发现分析 . 3 四、 影响范围分布分析 . 5 五、 攻击意图分布分析 . 5 六、 攻击现象统计分析 . 6 七、 事件类型分布分析 . 7 第三章 应急响应服务分析 . 9 一、 网站安全 . 9 （一） 网页被篡改 . 9 （二） 非法子页面 . 9 （三） 网站 DDoS 攻击 . 9 （四） CC 攻击 . 9 （五） 网站流量异常 . 10 （六） 异常进程与异常外联 . 10 （七） 网站安全总结及防护建议 . 10 二、 终端安全 . 11 （一） 运行异常 . 11 （二） 勒索病毒 . 11 （三） 终端 DDoS 攻击 . 12 （四） 终端安全总结及防护建议 . 12 三、 服务器安全 . 12 （一） 运行异常 . 12 （二） 木马病毒 . 13 （三） 勒索病毒 . 13 （四） 服务器 DDoS 攻击 . 13 （五） 服务器安全总结及防护建议 . 13 四、 邮箱安全 . 14 （一） 邮箱异常 . 14 （二） 邮箱 DDoS 攻击 . 15 （三） 邮箱安全总结及防护建议 . 15 第四章 应急响应典型案例 . 16 一、 某医院服务器勒索软件事件应急响应 . 16 （一） 事件概述 . 16 （二） 防护建议 . 16 二、 某电网公司终端勒索软件事件应急响应 . 16 （一） 事件概述 . 16 （二） 防护建议 . 17 三、 某汽车公司挖矿木马事件应急响应 . 17 （一） 事件概述 . 17 （二） 防护建议 . 17 四、 某部委 CC 事件应急响应 . 18 （一） 事件概述 . 18 （二） 防护建议 . 18 五、 某证券公司 DDOS 事件应急响应 . 18 （一） 事件概述 . 18 （二） 防护建议 . 18 六、 某集团网站挂马事件应急响应 . 19 （一） 事件概述 . 19 （二） 防护建议 . 19 七、 某大学网站非法页面应急响应 . 19 （一） 事件概述 . 19 （二） 防护建议 . 20 八、 某部委蠕虫病毒事件应急响应 . 20 （一） 事件概述 . 20 （二） 防护建议 . 20 九、 某高级人民法院遭到 APT 攻击事件应急响应 . 21 （一） 事件概述 . 21 （二） 防护建议 . 21 第五章 附录 360 安服团队 . 23 1 第一章 研究背景 当前，网络空间安全形势日益严峻，国内政府机构、大中型企业的门户网站和重要核心业务系统成为攻击者的首要攻击目标，安全事件层出不穷、逐年增加，给各单位造成严重的影响。为妥善处置和应对政府机构、大中型企业关键信息基础设施发生的突发事件，确保关键信息基础设施的安全、稳定、持续运行，防止造成重大声誉影响和经济损失，需进一步加强网络安全与信息化应急保障能力。 2018 年 ， 360 安全 服务团队 /360 安服团队 共为 全国各地 600 余 家 政府机构、 大中型企业 提供 了 网络 安全应急响应服务，参与和协助处置 各类网络 安全 应急响应 事件 717次 ，第一时间恢复系统运行，最大限度减少突发安全事件对政府机构、大中型企业的门户网站和业务系统造成的损失和对公众的不良影响，提高了公众服务满足度。同时，为政府机构、大中型企业建立完善的应急响应体系提供技术支撑。 网络安全应急响应服务是安全防护的最后一道防线，巩固应急防线对安全能力建设至关重要。 360 构建了全流程的应急响应服务体系，为政府机构、大中型企业提供高效、实时、全生命周期的应急服务。 2 第二章 应急响应监测分析 2018 年 360 安服团队 共参与和处置了 717 起全国范围内的网络安全应急响应事件，第一时间协助用户处理安全事故，确保了用户门户网站和重要业务系统的持续安全稳定运行。为进一步提高政府机构、大中型企业对突发安全事件的认识，增强安全防护意识，同时强化第三方安全服务商的应急响应能力，对 2018 年全年处置的所有应急响应事件从不同维度进行统计分析，反映全年的应急响应情况和攻击者的攻击目的及意图。 一、 月度报告趋势 分析 2018 年全年 360 安服团队 共参与和处置了 717 起网络安全应急响应事件，月度报告趋势分布 如 下 图所示： 从上述数据中可以看到，每年年初和年底发生的应急响应事件请求存在较大反差，年初处置的安全应急请求较少，年底相对较多， 8 月份应急请求达全年最高， 全年 整体上处置的安全应急请求趋于上升趋势 。 对政府机构、大中型企业的攻击从未间断过，在重要时期的攻击更加频繁。所以，政府机构、大中型企业应做好全年的安全防护工作，特别是重要时期的安全保障工作，同时建立完善的应急响应机制。 二、 行业报告排名分析 通过对 2018 年全年应急响应事件行业分类分析，汇总出行业应急处置数量排名，如 下图所示： 3 需要说明的是，应急响应次数多，并不意味着这个行业的整体安全状况差。这与机构本身的数量和性质有关，与 360 的客户覆盖也有关。 从上述数据中可以看出，行业应急处置排在前三位的分别为公检法 （ 66 起）、 政府部门（ 63 起）、医疗机构 （ 56 起），占到所有行业应急处置的 9.0%、 8.0%、 8.0%， 三者 之和约占应急 处置事件总量的 25%， 即 全年应急响应事件四分之一是出在政府部门、事业单位、金融机构。而金融、教育培训、事业单位 、 IT 信息技术、制造业 所产生的应急响应事件也 占到了所有行业的 18%。 从行业报告排名可知，攻击者的主要攻击对象为公检法 、 各级政府部门以及医疗卫生 ，其次为 金融、教育培训、 IT 信息技术和事业单位 ，从中窃取数据、敲诈勒索。上述机构在原有安全防护基础上，应进一步强化安全技术和管理建设，同时应与第三方安全服务商建立良好的应急响应沟通和处置机制。 三、 攻击事件发现分析 政企机构对网络攻击的重视程度、发现能力和主动响应的能力正在显著上升。 2016 年，在 360 安服团队参与处置的网络安全应急响应事件中，仅有 31.5%的攻击事件是政企机构自行发现的，其他 68.5%均为接到了第三方机构通报。这些第三方机构包括网络安全监管机构，行业主管机构和媒体等。 但是， 2017 年和 2018 年的统计数据显示， 近 九成 的攻击事件都是政企机 构自行发现并请求援助的。分析认为，这可能主要是由于 2017 年 6 月网络安全法的实施，大中型政企机构对安全事件的应急响应重视程度大幅提高，尽早发现，尽早处置，自行响应渐成主流。但是，仍有近 一 成的安全事件，企业实际上是不自知的，他们是在得到了监管机构的通报或看到了媒体的公开报道后，才得知自己已经被攻击了。 4 通过对 2018 年全年应急响应事件攻击发现类型分析，汇总出攻击事件发现情况，如 下图所示： 在 2018 年 360 安服团队 参与 处置的 所有政府机构和企业 的网络安全应急响应事件中，由行业单位自己 发现的 安全 攻击事件占 92%， 而 另 有 8%的 安全攻击 事件 政府机构和企业实际上 是不 自知 的， 他们 是 在 得到 了 监管机构 或主管 单位的通报才得知 已 被攻击。 虽然政府机构和企业 自行发现 的安全攻击事件占到了 92%，但并 不代表 其 具备了 潜在 威胁的发现能力 。 其中， 占 安全攻击事件 总量 61%的事件是 政府机构和企业 通过内部安全运营巡检 的方式自主查出的， 而 其余 31%的 安全攻击事件能够 被发现， 则 完全 是因为其网络 系统已经出现了显著的入侵 迹象 ， 或者 是 已经 遭到了攻击者的 敲诈勒索。 更有甚者，某些 单位 实际上是 在 已经遭遇了巨大的财产损失后才发现自己的网络系统遭到了攻击 。 从上述 数据中可以看出， 政府机构、 大中型企业仍然 普遍 缺乏足够 的安全监测 能力， 缺乏 主动发现 隐蔽性较好地入侵 威胁 的 能力 。 5 四、 影响范围分布分析 通过对 2017 年全年应急响应事件处置报告分析，汇总出安全事件的影响范围分布即失陷区域分布，如 下 图所示： 从上述数据中可以看出，安全 事件 的影响范围主要集中在外部网站和内部网站（ 25.3%）、内部服务器和数据库（ 18.7%） 。 除此之外 ， 还 占有一定比例的还有办公终端（ 17.5%）、业务专网 （ 6.3%）。 从影响范围分布可知，攻击者的主要攻击对象为政府机构、大中型企业的互联网门户网站、内部网站、内部业务系统服务器以及数据库，其主要原因是门户网站暴露在互联网上受到多重安全威胁，攻击 者通过对 网站 的攻击，实现 敲诈 勒索、满足个人利益需求； 而内部网站、内部服务器和数据库运行核心业务系统、存放重要数据，也成为攻击者进行黑产活动、敲诈勒索等违法行为的主要攻击目标。 基于此，政府机构、大中型企业应强化对互联网门户网站的安全防护建设，加强对内网中内部网站、内部服务器和数据库、终端以及业务系统的安全防护保障和数据安全管理。 五、 攻击 意图分布分析 通过对 2018 年全年应急响应事件处置报告分析，汇总出攻击者攻击政府机构、大中型企业的攻击意图分布，如 下 图所示：