95015網(wǎng)絡(luò)安全應(yīng)急響應(yīng)分析報(bào)告（2023上半年）

主要觀點(diǎn)金融行業(yè)是2023年上半年網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件最為高發(fā)然構(gòu)成嚴(yán)重威脅。當(dāng)前國內(nèi)絕大多數(shù)政企機(jī)構(gòu)在網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)和網(wǎng)絡(luò)安全運(yùn)營能力方面存能發(fā)現(xiàn)安全問題；另一方面，攻擊者利用弱密碼、永恒之藍(lán)等常規(guī)漏洞攻擊主機(jī)、近三分之一。迫在眉睫。過實(shí)際的攻擊模擬和防御演練，企業(yè)可以更好地發(fā)現(xiàn)和識(shí)別可能存在的安全漏洞，摘要47.6%的政企機(jī)構(gòu)，是在系統(tǒng)已經(jīng)出現(xiàn)了非常明顯的入侵跡象后進(jìn)行的報(bào)案求助；達(dá)98起。這一數(shù)量僅次于黑產(chǎn)活動(dòng)(106起)，超過了以竊取重要數(shù)據(jù)(71起)和敲詐勒索(68起)等為目的的外部網(wǎng)絡(luò)攻擊事件的數(shù)量。段的網(wǎng)絡(luò)攻擊最為常見，占比為34.3%，其次是漏洞利用，占第一章網(wǎng)絡(luò)安全應(yīng)急響應(yīng)形勢(shì)綜述 1第二章應(yīng)急響應(yīng)事件受害者分析 2 第三章應(yīng)急響應(yīng)事件攻擊者分析 5 第四章應(yīng)急響應(yīng)典型案例分析 9 (一)事件概述 9(二)防護(hù)建議 10 (一)事件概述 10(二)防護(hù)建議 11 (一)事件概述 11(二)防護(hù)建議 12 (一)事件概述 12(二)防護(hù)建議 13 (一)事件概述 13(二)防護(hù)建議 14 ?奇安信集團(tuán)第1頁，共18頁第一章網(wǎng)絡(luò)安全應(yīng)急響應(yīng)形勢(shì)綜述等的持續(xù)安全穩(wěn)定運(yùn)行。?奇安信集團(tuán)第2頁，共18頁第二章應(yīng)急響應(yīng)事件受害者分析從安全事件的發(fā)現(xiàn)方式來看，47.6%的政企機(jī)構(gòu)，是在系統(tǒng)已經(jīng)出現(xiàn)了非常明顯的?奇安信集團(tuán)第3頁，共18頁所示。?奇安信集團(tuán)第4頁，共18頁。要目標(biāo)。露的主要原因是黑客的入侵和內(nèi)部人員的泄密。?奇安信集團(tuán)第5頁，共18頁第三章應(yīng)急響應(yīng)事件攻擊者分析、惡意全件展開分析。攻擊者是出于何種目的發(fā)起的網(wǎng)絡(luò)攻擊呢？應(yīng)急人員在對(duì)網(wǎng)絡(luò)安全事件進(jìn)行溯源黑產(chǎn)活動(dòng)(106起)、超過了竊取重要數(shù)據(jù)(71起)和敲詐勒索(68起)等為目的的外件的數(shù)量。活動(dòng)牟取暴利。?奇安信集團(tuán)第6頁，共18頁C。?奇安信集團(tuán)第7頁，共18頁名稱66433222?奇安信集團(tuán)第8頁，共18頁題。?奇安信集團(tuán)第9頁，共18頁第四章應(yīng)急響應(yīng)典型案例分析制應(yīng)急人員到達(dá)現(xiàn)場后，對(duì)受害數(shù)據(jù)庫服務(wù)器(x.x.x.31)進(jìn)行排查以及結(jié)合勒索信和加密應(yīng)用日志以及現(xiàn)場安全防護(hù)軟件云端日志進(jìn)行排查后發(fā)現(xiàn)，外網(wǎng)攻擊者(92.63.196.x)對(duì)數(shù)據(jù)庫服務(wù)器(x.x.x.31)有大量暴力破解行為，并成功入侵服務(wù)器(x.x.x.31)下載安裝遠(yuǎn)程桌ipC弱口令，被攻擊者利用，成功獲取該服務(wù)器(x.x.x.31)權(quán)限，隨后以服務(wù)器(x.x.x.31)為?奇安信集團(tuán)第10頁，共18頁1)系統(tǒng)、應(yīng)用相關(guān)用戶杜絕使用弱口令，應(yīng)使用高復(fù)雜強(qiáng)度的密碼，盡量包含大小寫字2)配置必要的防火墻并開啟防火墻策略，防止暴露不必要的服務(wù)為黑客提供利用條件；生時(shí)可提供可靠的追溯依據(jù)；及服務(wù)器之間的訪問，采用白名單機(jī)制只允許開放特定的業(yè)務(wù)必要端口，其他端口一3123.aspx。應(yīng)急人員對(duì)上傳點(diǎn)/xx/admin/settings/ttemplet_file_edi?奇安信集團(tuán)第11頁，共18頁1)配置必要的防火墻并開啟防火墻策略，防止暴露不必要的服務(wù)為黑客提供利用條件；2)加強(qiáng)權(quán)限管理，對(duì)敏感目錄進(jìn)行權(quán)限設(shè)置，限制上傳目錄的腳本執(zhí)行權(quán)限，不允許配4)開展對(duì)系統(tǒng)、應(yīng)用以及網(wǎng)絡(luò)層面的安全評(píng)估、滲透測試以及代碼審計(jì)工作，主動(dòng)發(fā)現(xiàn)5)加強(qiáng)日常安全巡檢制度，定期對(duì)系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合、安全日志以及安全策略落。急人員到達(dá)現(xiàn)場對(duì)被劫持頁面進(jìn)行排查發(fā)現(xiàn)，只有訪問特定頁面時(shí)才會(huì)出現(xiàn)劫持現(xiàn)象，構(gòu)造請(qǐng)求訪問這兩個(gè)地址發(fā)現(xiàn)，訪問時(shí)會(huì)自動(dòng)加載一個(gè)包含大量的廣告、色情地址以及跳轉(zhuǎn)代由器的問題。急人員在用戶同意后嘗試從攻擊者角度對(duì)路由設(shè)備進(jìn)行測試發(fā)現(xiàn)，該款路由器存在命令?奇安信集團(tuán)第12頁，共18頁接訪問到該路由器。因此應(yīng)急人員推測，用戶購入該路由器時(shí)已經(jīng)存在劫持代碼，由于路由器址進(jìn)行封堵，應(yīng)急結(jié)束。1)建議運(yùn)營商在用戶網(wǎng)絡(luò)出口上對(duì)相關(guān)惡意地址進(jìn)行封堵；2)在購買產(chǎn)品時(shí)，務(wù)必確保從官方渠道進(jìn)行購買，避免從非官方或可疑的第三方渠道購量產(chǎn)品的風(fēng)險(xiǎn)。病毒，服務(wù)器系統(tǒng)資源占用較高，影響業(yè)務(wù)正常運(yùn)行，希望能對(duì)受害服務(wù)器進(jìn)行排查，并溯源應(yīng)急人員到達(dá)現(xiàn)場后，對(duì)該企業(yè)運(yùn)維人員提供的外聯(lián)惡意挖礦域名進(jìn)行分析，確定該服務(wù)器感染W(wǎng)atchDogs挖礦病毒。對(duì)受害服務(wù)器(x.x.x.80)系統(tǒng)進(jìn)程和計(jì)劃任務(wù)進(jìn)行排查，發(fā)現(xiàn)任務(wù)、結(jié)束惡意進(jìn)程后，服務(wù)器(x.x.x.80)處理器資源占用率恢復(fù)到正常狀態(tài)。隨后，應(yīng)急人員對(duì)受害服務(wù)器(x.x.x.80)日志進(jìn)行排查，發(fā)現(xiàn)大量來自內(nèi)網(wǎng)服務(wù)器 器日志進(jìn)行排查，發(fā)現(xiàn)攻擊最早來自該企業(yè)下屬單位服務(wù)器(x.x.x.81)。應(yīng)急人員對(duì)服務(wù)器 ?奇安信集團(tuán)第13頁，共18頁1)系統(tǒng)、應(yīng)用相關(guān)用戶杜絕使用弱口令，應(yīng)使用高復(fù)雜強(qiáng)度的密碼，盡量包含大小寫字洞，保障服務(wù)器安全；3)建議安裝防病毒軟件，及時(shí)對(duì)病毒庫進(jìn)行更新，并且定期進(jìn)行全面掃描，加強(qiáng)服務(wù)器4)禁止服務(wù)器主動(dòng)發(fā)起外部連接請(qǐng)求，對(duì)于需要向外部服務(wù)器推送共享數(shù)據(jù)的，應(yīng)使用?奇安信集團(tuán)第14頁，共18頁通報(bào)PC進(jìn)行排查發(fā)現(xiàn)，在所有被通報(bào)PC的C盤Windows目錄下存在相同病毒樣本文件人員對(duì)現(xiàn)場主機(jī)系統(tǒng)信息進(jìn)行排查，未發(fā)現(xiàn)存在可疑賬戶。對(duì)主機(jī)補(bǔ)丁情況進(jìn)行查看1)加強(qiáng)人員安全意識(shí)培養(yǎng)，強(qiáng)調(diào)網(wǎng)絡(luò)安全重要性，禁止通過非官方渠道下載應(yīng)用軟件。件包括郵件附件、上傳文件等要先殺毒處理；2)建議安裝防病毒軟件，及時(shí)對(duì)病毒庫進(jìn)行更新，并且定期進(jìn)行全面掃描，加強(qiáng)服務(wù)器3)部署高級(jí)威脅監(jiān)測設(shè)備，及時(shí)發(fā)現(xiàn)惡意網(wǎng)絡(luò)流量，同時(shí)可進(jìn)一步加強(qiáng)追蹤溯源能力，生時(shí)可提供可靠的追溯依據(jù)；4)配置并開啟相關(guān)關(guān)鍵系統(tǒng)、應(yīng)用日志，對(duì)系統(tǒng)日志進(jìn)行定期異地歸檔、備份，避免在5)加強(qiáng)日常安全巡檢制度，定期對(duì)系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合、安全日志以及安全策略落。?奇安信集團(tuán)第15頁，共18頁件015是承載全國各地政企機(jī)構(gòu)網(wǎng)絡(luò)安全保障工作的重要支撐平臺(tái)，同時(shí)也是全國各地重大網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)的綠色通道，是全國冬奧網(wǎng)絡(luò)安全保障工作中的關(guān)鍵一環(huán)。北京冬奧會(huì)結(jié)。冬奧會(huì)期間，將作為網(wǎng)絡(luò)安全保障工作的重要支撐平臺(tái)，為網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)開辟一應(yīng)服務(wù)。”字頭短號(hào)碼是工信部統(tǒng)一管理的全國通用號(hào)碼，95015服務(wù)短號(hào)，整合了原有的4009-?奇安信集團(tuán)第16頁，共18頁附錄2奇安信集團(tuán)安服團(tuán)隊(duì)集團(tuán)是北京2022年冬奧會(huì)和冬殘奧會(huì)官方網(wǎng)絡(luò)安全服務(wù)和殺毒軟件贊助商，作為國領(lǐng)先的網(wǎng)絡(luò)安全品牌，奇安信多次承擔(dān)國家級(jí)的重大活動(dòng)網(wǎng)絡(luò)安全保障工作，創(chuàng)建了穩(wěn)定的網(wǎng)絡(luò)安全服務(wù)體系——全維度管控、全網(wǎng)絡(luò)防護(hù)、全天候運(yùn)行、全領(lǐng)域覆蓋、全兵種協(xié)防演習(xí)、持續(xù)響應(yīng)、預(yù)警通告、安全運(yùn)營等一系列實(shí)戰(zhàn)化的服務(wù)，在云端安全大數(shù)據(jù)的支撐推出了應(yīng)急響應(yīng)訓(xùn)練營服務(wù)，將一線積累的豐富應(yīng)急響應(yīng)實(shí)踐經(jīng)驗(yàn)面向廣大政企機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)和賦能，幫助政企機(jī)構(gòu)的安全管理者、安全運(yùn)營人員、工程師等不同層級(jí)的人群提高網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的能力和技術(shù)水平。奇安信集團(tuán)正在用專業(yè)的技術(shù)能力保障著負(fù)面影響。?奇安信集團(tuán)第17頁，共18頁附錄3網(wǎng)絡(luò)安全應(yīng)急響應(yīng)圖書推薦《應(yīng)急響應(yīng)-網(wǎng)絡(luò)安全的預(yù)防、發(fā)現(xiàn)、處置和恢復(fù)》書內(nèi)容主要將前沿的應(yīng)急響應(yīng)理論與奇安信安服團(tuán)隊(duì)的應(yīng)急響應(yīng)一線實(shí)戰(zhàn)經(jīng)驗(yàn)相結(jié)合，從高級(jí)科普的角度介紹網(wǎng)絡(luò)安全應(yīng)急響應(yīng)基礎(chǔ)知識(shí)，可以指導(dǎo)政企機(jī)構(gòu)、監(jiān)管機(jī)構(gòu)加強(qiáng)網(wǎng)絡(luò)安關(guān)鍵技術(shù)、人才培養(yǎng)、應(yīng)急演練、漏響響應(yīng)平臺(tái)以及案例。本書旨在為全國網(wǎng)信干部提供理論指南、實(shí)踐指導(dǎo)和趨勢(shì)指引，也可以作為從事網(wǎng)絡(luò)安全應(yīng)急響應(yīng)incombookdetailbook《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)實(shí)戰(zhàn)指南》積累應(yīng)急響應(yīng)概述、應(yīng)急工程師基礎(chǔ)技能、應(yīng)急響應(yīng)常用工具介紹。后七章內(nèi)容為當(dāng)前應(yīng)急響應(yīng)會(huì)處置思路、掌握基礎(chǔ)技能、熟悉應(yīng)急工具，以便實(shí)現(xiàn)快速響應(yīng)應(yīng)急事件的安全新要求。本適合政企機(jī)構(gòu)、安全公司的安全運(yùn)營人員、應(yīng)急響應(yīng)人員和大中專院校網(wǎng)絡(luò)安全相關(guān)的學(xué)生nxin