網(wǎng)絡安全事件應急指南2024

錄數(shù)據(jù)泄露場景01背景簡介01某用戶重要業(yè)務數(shù)據(jù)在暗網(wǎng)論壇被售賣事件01某單位因敏感數(shù)據(jù)泄露被通報事件數(shù)據(jù)泄露場景01背景簡介01某用戶重要業(yè)務數(shù)據(jù)在暗網(wǎng)論壇被售賣事件01某單位因敏感數(shù)據(jù)泄露被通報事件04勒索場景06背景簡介06處置與溯源流程07phobos勒索家族通過RDP端口暴破入侵事件09mallox勒索家族通過Web應用漏洞入侵事件11mallox勒索家族通過MSSQL端口暴破入侵+內(nèi)網(wǎng)橫向事件13勒索軟件的防御措施16主機病毒場景18背景簡介18Linux系統(tǒng)主機病毒案例18PwnDNS挖礦家族：一度風靡的惡意軟件18Mirai僵尸網(wǎng)絡家族：活躍時間最長的網(wǎng)絡威脅22Windows系統(tǒng)主機病毒案例24“麻辣香鍋”病毒：劫持萬千用戶瀏覽器主頁的病毒24主機病毒的應對策略31網(wǎng)頁暗鏈場景33背景簡介33處置與溯源流程34某服務行業(yè)用戶因「IIS惡意模塊+UA頭部劫持」植入暗鏈被通報36某媒體行業(yè)用戶因「Nginx配置文件劫持+靜態(tài)html頁面劫持」植入暗鏈被通報網(wǎng)頁暗鏈的防御措施APT場景背景簡介某單位遭遇海蓮花惡意IP攻擊被通報某科研機構遭遇白象郵件釣魚攻擊某單位遭遇境外NSA武器滲透攻擊Web入侵場景背景簡介 處置與溯源流程 某企業(yè)用戶業(yè)務服務器內(nèi)存馬注入事件 某用戶財務系統(tǒng)SQL注入事件附錄：2023-2024大型網(wǎng)絡安全事件盤點基礎設施行業(yè) 政府機構 金融行業(yè) 科技行業(yè) 連鎖服務行業(yè) 參考鏈接4346 本章節(jié)，我們將從Web方向分析數(shù)據(jù)泄露的可能性，以及如何利用現(xiàn)有的日志進行綜合分析以應對數(shù)據(jù)泄露事件。在一種是已知泄露數(shù)據(jù)源，類似下文案例分析中某樣板數(shù)據(jù)被公布在了暗網(wǎng)或各大平臺上，這時我們可以通過已知的線另外一種情況是更加嚴重的，即收到監(jiān)管單位通報說某個單位存在數(shù)據(jù)泄露情況，但給出的信息較少，不足以支撐后追蹤數(shù)據(jù)泄露的源頭，并采取相應的補救措施。在實際應用中，這種方法不僅有助于理解數(shù)據(jù)泄露的過程，還能為未來的某用戶通過相關情報得知，自身重要業(yè)務數(shù)據(jù)被黑客在暗網(wǎng)論壇上售賣，應急響應中心應用戶要求對本次事件進行深入0101根據(jù)黑客發(fā)布的信息以及連接中的數(shù)據(jù)初步判斷該數(shù)據(jù)格式和某業(yè)務系統(tǒng)中的導出功能相似，由于該系統(tǒng)本身支持導出功前期得知該服務器曾被其他安全團隊分析過，并未發(fā)現(xiàn)被攻擊痕跡存在而且用戶已將業(yè)務系統(tǒng)關閉并收斂到了內(nèi)網(wǎng)，故公■事件分析方案方案一希望用戶提供數(shù)據(jù)導出的接口按鈕功能連接，通過該連人工猜測可能存在的接口信息根據(jù)關鍵字段搜索，關鍵信息例如：xlsx、?lename、Export等凡是與文0202波音公司迅速啟動應急響應機制，積極與執(zhí)法和網(wǎng)絡安全專家合作調(diào)查該事件并恢復任何受影響的數(shù)據(jù)。黑客索要高達2攻擊者試圖抹去該通訊社系統(tǒng)上所有數(shù)據(jù)的嘗試失敗了，只成功摧毀了“幾個數(shù)據(jù)存儲系統(tǒng)”上的文件，這并沒有影響烏6565》》》6666CDKGlobal在發(fā)現(xiàn)攻擊后立即關閉了大部分系統(tǒng)以防止攻擊蔓延，并開始分階段恢復系統(tǒng)，受影響的經(jīng)銷商也斷開了與臺積電證實，其一家“IT硬件供應商發(fā)生了網(wǎng)絡安全事件6767臺積電根據(jù)公司的安全協(xié)議和標準操作程序，立即終止了與受影響供應商的數(shù)據(jù)交換。公司將加強供應鏈安全管理，提高攻擊導致產(chǎn)線停產(chǎn)，部分訂單無法按時完成，對公司的業(yè)務運營和客戶交付造成了嚴重影響。此外，病毒的清理和系統(tǒng)的Hoya立即隔離受影響的服務器，并向受影響生產(chǎn)設施所在國家的有關當局報告。聘請專業(yè)的網(wǎng)絡安全專家進行處理?！贰贰贰?868被竊取，嚴重威脅我國國家安全。據(jù)通報，這可能是一次以軍事偵察為目的的網(wǎng)絡攻擊，發(fā)起網(wǎng)絡攻擊的是境外有政府背一個東南亞黑客組織，多年來對我國黨政機關、國防軍工、科研院所等核心要害單位發(fā)起攻擊。本次使用GrimResourceVirusTotal中有0個靜態(tài)檢測，表明其隱蔽性極高，難以被發(fā)現(xiàn)；可以預見，MSC樣式的魚叉郵件可能會替代lnk、o?ce宏文檔等成為攻擊者最常用的釣魚誘餌，潛在影響大。不下載非官方軟件；提高警覺性，避免點擊來歷不明的鏈接或下載不明來源的應用程序；確保操作系統(tǒng)和安全軟件保持最此次數(shù)據(jù)泄露攻擊對美國國家環(huán)境保護局的聲譽和公信力造成了嚴重損害。泄露的數(shù)據(jù)在俄羅斯黑客和網(wǎng)絡犯罪論壇中流6969EPA立即切斷了受影響的系統(tǒng)連接，防止攻擊者進一步影響了希臘國內(nèi)中學期末考試，教師無法從題庫平臺抽取考題，部分考生不得不在教室等待數(shù)小時。也可能泄露學生的個希臘最高法院下令對此次網(wǎng)絡襲擊展開調(diào)查，并由警方的網(wǎng)絡犯罪部門提供協(xié)助。同時教育部加強了網(wǎng)絡安全防護措施，》》》7070馬最初因其通過鍵盤記錄、覆蓋攻擊和VNC功能竊取金融及社交媒體應用的憑證而聲名鵲起，能夠繞過安全限制，并具備高度的隱蔽性和難以檢測的特性。CRIL研究人員在2024年9月和10月識別到這段時間內(nèi)該活動顯著增加，表明ErrorFather惡意軟件通過安卓和iOS應用商店的假冒銀行應用傳播，下載一個多階段的銀行木馬，旨在繞過安全限制并竊取銀行信息。通過覆蓋攻擊進行操作，掃描手機中的金融應用，并在用戶與這些應用互動時加載假釣魚頁面，從而竊取建議用戶從官方應用商店下載應用，避免使用小眾或上線時間短的應用軟件；不要隨意下載應用或點擊陌生鏈接，尤其是EvolveBank&Trust迅速采取應急措施保障客戶資金安全，為美國居民提供了為期兩年的信用監(jiān)控和身份保護服務，并7171EquiLend在發(fā)現(xiàn)事件后公司立即聘請了第三方網(wǎng)絡安全專家并啟動了調(diào)查，同時迅速采取措施控制事件影響，并逐步恢攻擊對該銀行業(yè)務運營和數(shù)據(jù)安全造成了嚴重影響，業(yè)務中斷導致公司無法正常提供服務，影響了客戶的業(yè)務辦理和資金該銀行表示，發(fā)現(xiàn)攻擊后立即切斷并隔離了受影響系統(tǒng)，展開徹底調(diào)查并向執(zhí)法部門報告，并在專業(yè)信息安全專家遭受攻擊后，PayPal迅速凍結了所有受影響的用戶賬戶，防止攻擊者進一步竊取資金或篡改賬戶信息。查向用戶發(fā)送電子郵件，告知系統(tǒng)近期遭到撞庫攻擊，部分用戶數(shù)據(jù)可能已經(jīng)泄露。Pa72722024年6月，云存儲巨頭Snow?ake遭黑客攻擊，全球超過165家知名企業(yè)因此遭遇數(shù)據(jù)泄露，包括票務巨頭此次事件被認為是云計算歷史上最嚴重的數(shù)據(jù)泄漏事件之一，導致全球多家知名企業(yè)的敏感數(shù)據(jù)被非法訪問和泄露，可能調(diào)查發(fā)現(xiàn)，黑客利用之前通過信息竊取惡意軟件竊取的憑證入侵Snow?ake某些憑據(jù)已有數(shù)年歷史。為防止類似事件，云服務提供商必須實施強大的多因素身份驗證和安全身份驗證措施，采用更嚴TheMoon僵尸網(wǎng)絡的攻擊導致了大量用戶網(wǎng)絡的癱瘓和數(shù)據(jù)泄露，嚴重影響了用戶的網(wǎng)絡使用體驗和數(shù)據(jù)安全。同時，7373XZUtils的開發(fā)團隊迅速發(fā)布了安全公告和修復補丁，并通知了所有用戶更新到安全版本。同時，加強了代碼審查和簽名段成功入侵了部分高管的電子郵件賬戶，并獲得了該公司源代碼存儲庫和內(nèi)部系統(tǒng)的訪問權限。隨后，黑客利用這一立足影響了微軟公司的聲譽，高管賬戶泄露可能導致公司戰(zhàn)略機密、商業(yè)計劃以及客戶數(shù)據(jù)等敏感信息被泄露給競爭對手或惡微軟公司向可能受到影響的客戶發(fā)出了安全提醒通知。微軟還加強了網(wǎng)絡安全措施，包括多因素認證、定期密碼更新以及2023年12月，卡巴斯基安全研究人員披露了IPhone歷史上最復雜的間諜軟件攻擊?三角測量（Triangulation）的技年以來被用于監(jiān)聽IPhone用戶，能夠利用多種手段（如釣三角測量間諜軟件攻擊導致了大量敏感數(shù)據(jù)的泄露和用戶隱私的暴露。被攻擊的組織可能面臨商業(yè)機密泄露、業(yè)務中斷以受影響的組織和個人應立即采取行動加強安全防護，包括更新操作系統(tǒng)和軟件、安裝可靠的安全軟件、加強密碼管理和網(wǎng)2023年10月，知名基因檢測公司23andMe遭遇了一次大規(guī)模的數(shù)據(jù)泄露事件，一名匿名黑客聲稱竊取了數(shù)百萬7474這次數(shù)據(jù)泄露可能導致用戶的個人隱私嚴重暴露，增加遺傳歧視和身份盜用的風