95015網(wǎng)絡(luò)安全應(yīng)急響應(yīng)分析報(bào)告（2023上半年）

主要觀點(diǎn)金融行業(yè)是2023年上半年網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件最為高發(fā)然構(gòu)成嚴(yán)重威脅。當(dāng)前國(guó)內(nèi)絕大多數(shù)政企機(jī)構(gòu)在網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)和網(wǎng)絡(luò)安全運(yùn)營(yíng)能力方面存能發(fā)現(xiàn)安全問(wèn)題；另一方面，攻擊者利用弱密碼、永恒之藍(lán)等常規(guī)漏洞攻擊主機(jī)、近三分之一。迫在眉睫。過(guò)實(shí)際的攻擊模擬和防御演練，企業(yè)可以更好地發(fā)現(xiàn)和識(shí)別可能存在的安全漏洞，摘要47.6%的政企機(jī)構(gòu)，是在系統(tǒng)已經(jīng)出現(xiàn)了非常明顯的入侵跡象后進(jìn)行的報(bào)案求助；達(dá)98起。這一數(shù)量?jī)H次于黑產(chǎn)活動(dòng)(106起)，超過(guò)了以竊取重要數(shù)據(jù)(71起)和敲詐勒索(68起)等為目的的外部網(wǎng)絡(luò)攻擊事件的數(shù)量。段的網(wǎng)絡(luò)攻擊最為常見(jiàn)，占比為34.3%，其次是漏洞利用，占第一章網(wǎng)絡(luò)安全應(yīng)急響應(yīng)形勢(shì)綜述 1第二章應(yīng)急響應(yīng)事件受害者分析 2 第三章應(yīng)急響應(yīng)事件攻擊者分析 5 第四章應(yīng)急響應(yīng)典型案例分析 9 (一)事件概述 9(二)防護(hù)建議 10 (一)事件概述 10(二)防護(hù)建議 11 (一)事件概述 11(二)防護(hù)建議 12 (一)事件概述 12(二)防護(hù)建議 13 (一)事件概述 13(二)防護(hù)建議 14 ?奇安信集團(tuán)第1頁(yè)，共18頁(yè)第一章網(wǎng)絡(luò)安全應(yīng)急響應(yīng)形勢(shì)綜述等的持續(xù)安全穩(wěn)定運(yùn)行。?奇安信集團(tuán)第2頁(yè)，共18頁(yè)第二章應(yīng)急響應(yīng)事件受害者分析從安全事件的發(fā)現(xiàn)方式來(lái)看，47.6%的政企機(jī)構(gòu)，是在系統(tǒng)已經(jīng)出現(xiàn)了非常明顯的?奇安信集團(tuán)第3頁(yè)，共18頁(yè)所示。?奇安信集團(tuán)第4頁(yè)，共18頁(yè)。要目標(biāo)。露的主要原因是黑客的入侵和內(nèi)部人員的泄密。?奇安信集團(tuán)第5頁(yè)，共18頁(yè)第三章應(yīng)急響應(yīng)事件攻擊者分析、惡意全件展開(kāi)分析。攻擊者是出于何種目的發(fā)起的網(wǎng)絡(luò)攻擊呢？應(yīng)急人員在對(duì)網(wǎng)絡(luò)安全事件進(jìn)行溯源黑產(chǎn)活動(dòng)(106起)、超過(guò)了竊取重要數(shù)據(jù)(71起)和敲詐勒索(68起)等為目的的外件的數(shù)量?；顒?dòng)牟取暴利。?奇安信集團(tuán)第6頁(yè)，共18頁(yè)C。?奇安信集團(tuán)第7頁(yè)，共18頁(yè)名稱(chēng)66433222?奇安信集團(tuán)第8頁(yè)，共18頁(yè)題。?奇安信集團(tuán)第9頁(yè)，共18頁(yè)第四章應(yīng)急響應(yīng)典型案例分析制應(yīng)急人員到達(dá)現(xiàn)場(chǎng)后，對(duì)受害數(shù)據(jù)庫(kù)服務(wù)器(x.x.x.31)進(jìn)行排查以及結(jié)合勒索信和加密應(yīng)用日志以及現(xiàn)場(chǎng)安全防護(hù)軟件云端日志進(jìn)行排查后發(fā)現(xiàn)，外網(wǎng)攻擊者(92.63.196.x)對(duì)數(shù)據(jù)庫(kù)服務(wù)器(x.x.x.31)有大量暴力破解行為，并成功入侵服務(wù)器(x.x.x.31)下載安裝遠(yuǎn)程桌ipC弱口令，被攻擊者利用，成功獲取該服務(wù)器(x.x.x.31)權(quán)限，隨后以服務(wù)器(x.x.x.31)為?奇安信集團(tuán)第10頁(yè)，共18頁(yè)1)系統(tǒng)、應(yīng)用相關(guān)用戶(hù)杜絕使用弱口令，應(yīng)使用高復(fù)雜強(qiáng)度的密碼，盡量包含大小寫(xiě)字2)配置必要的防火墻并開(kāi)啟防火墻策略，防止暴露不必要的服務(wù)為黑客提供利用條件；生時(shí)可提供可靠的追溯依據(jù)；及服務(wù)器之間的訪(fǎng)問(wèn)，采用白名單機(jī)制只允許開(kāi)放特定的業(yè)務(wù)必要端口，其他端口一3123.aspx。應(yīng)急人員對(duì)上傳點(diǎn)/xx/admin/settings/ttemplet_file_edi?奇安信集團(tuán)第11頁(yè)，共18頁(yè)1)配置必要的防火墻并開(kāi)啟防火墻策略，防止暴露不必要的服務(wù)為黑客提供利用條件；2)加強(qiáng)權(quán)限管理，對(duì)敏感目錄進(jìn)行權(quán)限設(shè)置，限制上傳目錄的腳本執(zhí)行權(quán)限，不允許配4)開(kāi)展對(duì)系統(tǒng)、應(yīng)用以及網(wǎng)絡(luò)層面的安全評(píng)估、滲透測(cè)試以及代碼審計(jì)工作，主動(dòng)發(fā)現(xiàn)5)加強(qiáng)日常安全巡檢制度，定期對(duì)系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合、安全日志以及安全策略落。急人員到達(dá)現(xiàn)場(chǎng)對(duì)被劫持頁(yè)面進(jìn)行排查發(fā)現(xiàn)，只有訪(fǎng)問(wèn)特定頁(yè)面時(shí)才會(huì)出現(xiàn)劫持現(xiàn)象，構(gòu)造請(qǐng)求訪(fǎng)問(wèn)這兩個(gè)地址發(fā)現(xiàn)，訪(fǎng)問(wèn)時(shí)會(huì)自動(dòng)加載一個(gè)包含大量的廣告、色情地址以及跳轉(zhuǎn)代由器的問(wèn)題。急人員在用戶(hù)同意后嘗試從攻擊者角度對(duì)路由設(shè)備進(jìn)行測(cè)試發(fā)現(xiàn)，該款路由器存在命令?奇安信集團(tuán)第12頁(yè)，共18頁(yè)接訪(fǎng)問(wèn)到該路由器。因此應(yīng)急人員推測(cè)，用戶(hù)購(gòu)入該路由器時(shí)已經(jīng)存在劫持代碼，由于路由器址進(jìn)行封堵，應(yīng)急結(jié)束。1)建議運(yùn)營(yíng)商在用戶(hù)網(wǎng)絡(luò)出口上對(duì)相關(guān)惡意地址進(jìn)行封堵；2)在購(gòu)買(mǎi)產(chǎn)品時(shí)，務(wù)必確保從官方渠道進(jìn)行購(gòu)買(mǎi)，避免從非官方或可疑的第三方渠道購(gòu)量產(chǎn)品的風(fēng)險(xiǎn)。病毒，服務(wù)器系統(tǒng)資源占用較高，影響業(yè)務(wù)正常運(yùn)行，希望能對(duì)受害服務(wù)器進(jìn)行排查，并溯源應(yīng)急人員到達(dá)現(xiàn)場(chǎng)后，對(duì)該企業(yè)運(yùn)維人員提供的外聯(lián)惡意挖礦域名進(jìn)行分析，確定該服務(wù)器感染W(wǎng)atchDogs挖礦病毒。對(duì)受害服務(wù)器(x.x.x.80)系統(tǒng)進(jìn)程和計(jì)劃任務(wù)進(jìn)行排查，發(fā)現(xiàn)任務(wù)、結(jié)束惡意進(jìn)程后，服務(wù)器(x.x.x.80)處理器資源占用率恢復(fù)到正常狀態(tài)。隨后，應(yīng)急人員對(duì)受害服務(wù)器(x.x.x.80)日志進(jìn)行排查，發(fā)現(xiàn)大量來(lái)自?xún)?nèi)網(wǎng)服務(wù)器 器日志進(jìn)行排查，發(fā)現(xiàn)攻擊最早來(lái)自該企業(yè)下屬單位服務(wù)器(x.x.x.81)。應(yīng)急人員對(duì)服務(wù)器 ?奇安信集團(tuán)第13頁(yè)，共18頁(yè)1)系統(tǒng)、應(yīng)用相關(guān)用戶(hù)杜絕使用弱口令，應(yīng)使用高復(fù)雜強(qiáng)度的密碼，盡量包含大小寫(xiě)字洞，保障服務(wù)器安全；3)建議安裝防病毒軟件，及時(shí)對(duì)病毒庫(kù)進(jìn)行更新，并且定期進(jìn)行全面掃描，加強(qiáng)服務(wù)器4)禁止服務(wù)器主動(dòng)發(fā)起外部連接請(qǐng)求，對(duì)于需要向外部服務(wù)器推送共享數(shù)據(jù)的，應(yīng)使用?奇安信集團(tuán)第14頁(yè)，共18頁(yè)通報(bào)PC進(jìn)行排查發(fā)現(xiàn)，在所有被通報(bào)PC的C盤(pán)Windows目錄下存在相同病毒樣本文件人員對(duì)現(xiàn)場(chǎng)主機(jī)系統(tǒng)信息進(jìn)行排查，未發(fā)現(xiàn)存在可疑賬戶(hù)。對(duì)主機(jī)補(bǔ)丁情況進(jìn)行查看1)加強(qiáng)人員安全意識(shí)培養(yǎng)，強(qiáng)調(diào)網(wǎng)絡(luò)安全重要性，禁止通過(guò)非官方渠道下載應(yīng)用軟件。件包括郵件附件、上傳文件等要先殺毒處理；2)建議安裝防病毒軟件，及時(shí)對(duì)病毒庫(kù)進(jìn)行更新，并且定期進(jìn)行全面掃描，加強(qiáng)服務(wù)器3)部署高級(jí)威脅監(jiān)測(cè)設(shè)備，及時(shí)發(fā)現(xiàn)惡意網(wǎng)絡(luò)流量，同時(shí)可進(jìn)一步加強(qiáng)追蹤溯源能力，生時(shí)可提供可靠的追溯依據(jù)；4)配置并開(kāi)啟相關(guān)關(guān)鍵系統(tǒng)、應(yīng)用日志，對(duì)系統(tǒng)日志進(jìn)行定期異地歸檔、備份，避免在5)加強(qiáng)日常安全巡檢制度，定期對(duì)系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合、安全日志以及安全策略落。?奇安信集團(tuán)第15頁(yè)，共18頁(yè)件015是承載全國(guó)各地政企機(jī)構(gòu)網(wǎng)絡(luò)安全保障工作的重要支撐平臺(tái)，同時(shí)也是全國(guó)各地重大網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)的綠色通道，是全國(guó)冬奧網(wǎng)絡(luò)安全保障工作中的關(guān)鍵一環(huán)。北京冬奧會(huì)結(jié)。冬奧會(huì)期間，將作為網(wǎng)絡(luò)安全保障工作的重要支撐平臺(tái)，為網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)開(kāi)辟一應(yīng)服務(wù)?！弊诸^短號(hào)碼是工信部統(tǒng)一管理的全國(guó)通用號(hào)碼，95015服務(wù)短號(hào)，整合了原有的4009-?奇安信集團(tuán)第16頁(yè)，共18頁(yè)附錄2奇安信集團(tuán)安服團(tuán)隊(duì)集團(tuán)是北京2022年冬奧會(huì)和冬殘奧會(huì)官方網(wǎng)絡(luò)安全服務(wù)和殺毒軟件贊助商，作為國(guó)領(lǐng)先的網(wǎng)絡(luò)安全品牌，奇安信多次承擔(dān)國(guó)家級(jí)的重大活動(dòng)網(wǎng)絡(luò)安全保障工作，創(chuàng)建了穩(wěn)定的網(wǎng)絡(luò)安全服務(wù)體系——全維度管控、全網(wǎng)絡(luò)防護(hù)、全天候運(yùn)行、全領(lǐng)域覆蓋、全兵種協(xié)防演習(xí)、持續(xù)響應(yīng)、預(yù)警通告、安全運(yùn)營(yíng)等一系列實(shí)戰(zhàn)化的服務(wù)，在云端安全大數(shù)據(jù)的支撐推出了應(yīng)急響應(yīng)訓(xùn)練營(yíng)服務(wù)，將一線(xiàn)積累的豐富應(yīng)急響應(yīng)實(shí)踐經(jīng)驗(yàn)面向廣大政企機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)和賦能，幫助政企機(jī)構(gòu)的安全管理者、安全運(yùn)營(yíng)人員、工程師等不同層級(jí)的人群提高網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的能力和技術(shù)水平。奇安信集團(tuán)正在用專(zhuān)業(yè)的技術(shù)能力保障著負(fù)面影響。?奇安信集團(tuán)第17頁(yè)，共18頁(yè)附錄3網(wǎng)絡(luò)安全應(yīng)急響應(yīng)圖書(shū)推薦《應(yīng)急響應(yīng)-網(wǎng)絡(luò)安全的預(yù)防、發(fā)現(xiàn)、處置和恢復(fù)》書(shū)內(nèi)容主要將前沿的應(yīng)急響應(yīng)理論與奇安信安服團(tuán)隊(duì)的應(yīng)急響應(yīng)一線(xiàn)實(shí)戰(zhàn)經(jīng)驗(yàn)相結(jié)合，從高級(jí)科普的角度介紹網(wǎng)絡(luò)安全應(yīng)急響應(yīng)基礎(chǔ)知識(shí)，可以指導(dǎo)政企機(jī)構(gòu)、監(jiān)管機(jī)構(gòu)加強(qiáng)網(wǎng)絡(luò)安關(guān)鍵技術(shù)、人才培養(yǎng)、應(yīng)急演練、漏響響應(yīng)平臺(tái)以及案例。本書(shū)旨在為全國(guó)網(wǎng)信干部提供理論指南、實(shí)踐指導(dǎo)和趨勢(shì)指引，也可以作為從事網(wǎng)絡(luò)安全應(yīng)急響應(yīng)incombookdetailbook《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)實(shí)戰(zhàn)指南》積累應(yīng)急響應(yīng)概述、應(yīng)急工程師基礎(chǔ)技能、應(yīng)急響應(yīng)常用工具介紹。后七章內(nèi)容為當(dāng)前應(yīng)急響應(yīng)會(huì)處置思路、掌握基礎(chǔ)技能、熟悉應(yīng)急工具，以便實(shí)現(xiàn)快速響應(yīng)應(yīng)急事件的安全新要求。本適合政企機(jī)構(gòu)、安全公司的安全運(yùn)營(yíng)人員、應(yīng)急響應(yīng)人員和大中專(zhuān)院校網(wǎng)絡(luò)安全相關(guān)的學(xué)生nxin