2024網(wǎng)絡信息安全應急響應案例介紹

應急響應培訓案例介紹（上）PA

R

T tw

o勒索病

毒0

1勒索病毒勒索病毒勒索病毒事件流程案例：某公司勒索病毒事件勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應急要求，稱某公司(簡稱”XXXX”)的內(nèi)網(wǎng)兩臺電腦感染勒索病毒，要求我方對此進行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應急要求，稱某公司(簡稱”XXXX”)的內(nèi)網(wǎng)兩臺電腦感染勒索病毒，要求我方對此進行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應急要求，稱某公司(簡稱”XXXX”)的內(nèi)網(wǎng)兩臺電腦感染勒索病毒，要求我方對此進行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應急要求，稱某公司(簡稱”XXXX”)的內(nèi)網(wǎng)兩臺電腦感染勒索病毒，要求我方對此進行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應急要求，稱某公司(簡稱”XXXX”)的內(nèi)網(wǎng)兩臺電腦感染勒索病毒，要求我方對此進行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應急要求，稱某公司(簡稱”XXXX”)的內(nèi)網(wǎng)兩臺電腦感染勒索病毒，要求我方對此進行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應急要求，稱某公司(簡稱”XXXX”)的內(nèi)網(wǎng)兩臺電腦感染勒索病毒，要求我方對此進行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應急要求，稱某公司(簡稱”XXXX”)的內(nèi)網(wǎng)兩臺電腦感染勒索病毒，要求我方對此進行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應急要求，稱某公司(簡稱”XXXX”)的內(nèi)網(wǎng)兩臺電腦感染勒索病毒，要求我方對此進行溯源分析。應急結(jié)論：攻擊者通過IP:58

(上海電信）、IP:54(北京阿里云）于2020-10-17

15:26左右，使用系統(tǒng)賬戶VA_03通過互聯(lián)網(wǎng)遠程登錄用友U8系統(tǒng)服務器，并開始進行上傳和釋放勒索病毒程序。隨后用友U8系統(tǒng)服務器于2020-10-1719:29

和22:29分使用管理員賬戶通過局域網(wǎng)登錄個人辦公電腦，該電腦部分文件于2020-10-17

22:37左右被進行病毒感染和完成文件加密。后續(xù)：協(xié)助客戶報警處置，應急報告提交公安機關(guān)。協(xié)助可以重裝電腦，并加固操作系統(tǒng)。PA

R

T Tw

o挖礦病

毒0

2挖礦木馬挖礦木馬案例：某校園服務器感染挖礦病毒事件挖礦病毒應急響應流程案例：某校園服務器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機房內(nèi)一網(wǎng)段6臺服務器頻繁攻擊校園網(wǎng)內(nèi)其他服務器，懷疑被入侵。挖礦病毒應急響應流程案例：某校園服務器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機房內(nèi)一網(wǎng)段6臺服務器頻繁攻擊校園網(wǎng)內(nèi)其他服務器，懷疑被入侵。挖礦病毒應急響應流程案例：某校園服務器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機房內(nèi)一網(wǎng)段6臺服務器頻繁攻擊校園網(wǎng)內(nèi)其他服務器，懷疑被入侵。挖礦病毒應急響應流程案例：某校園服務器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機房內(nèi)一網(wǎng)段6臺服務器頻繁攻擊校園網(wǎng)內(nèi)其他服務器，懷疑被入侵。挖礦病毒應急響應流程案例：某校園服務器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機房內(nèi)一網(wǎng)段6臺服務器頻繁攻擊校園網(wǎng)內(nèi)其他服務器，懷疑被入侵。綜合上述特征比較，確認該木馬程序為linux挖礦木馬systemdMiner，該木馬通過bash命令下載執(zhí)行多個功能模塊，通過SSH暴力破解、SSH免密登錄利用、Hadoop

Yarn未授權(quán)訪問漏洞和自動化運維工具內(nèi)網(wǎng)擴散，且該木馬的文件下載均利用暗網(wǎng)代理，感染后會清除主機上的其他挖礦木馬，以達到資源獨占的目的，該病毒行為特征圖如下：挖礦病毒應急響應流程案例：某校園服務器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機房內(nèi)一網(wǎng)段6臺服務器頻繁攻擊校園網(wǎng)內(nèi)其他服務器，懷疑被入侵。挖礦病毒應急響應流程案例：某校園服務器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機房內(nèi)一網(wǎng)段6臺服務器頻繁攻擊校園網(wǎng)內(nèi)其他服務器，懷疑被入侵。挖礦病毒應急響應流程案例：某校園服務器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機房內(nèi)一網(wǎng)段6臺服務器頻繁攻擊校園網(wǎng)內(nèi)其他服務器，懷疑被入侵。應急結(jié)論：被通報的校園網(wǎng)攻擊事件應為由挖礦木馬程序在嘗試進行內(nèi)網(wǎng)擴散時掃描攻擊產(chǎn)生，該木馬的下載定時任務、進程由賬戶yuanfa創(chuàng)建和運行，判斷該挖礦木馬可能為通過Hadoop

Yarn未授權(quán)訪問漏洞或弱口令用戶漏洞進行植入，疑似攻擊源IP為。后續(xù)：疑似攻擊源IP為交由客戶繼續(xù)跟進，事件結(jié)束。P

A

R

T

T

h

r

e

e入侵攻擊事件0

3入侵攻擊事件入侵攻擊事件入侵事件應急響應流程案例：某公司內(nèi)網(wǎng)項目文件被盜事件入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應急響應流程某公司內(nèi)網(wǎng)項目文件被盜事件xxxx公司（簡稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。應急結(jié)論：初步判斷xxxx公司的服務器（IP:00）最早于2019-5-7日已遭受攻擊并獲取管理員權(quán)限進入到公司內(nèi)網(wǎng)，攻擊者再隨后的時間不定期的通過已建立的后門通道進行內(nèi)網(wǎng)訪問其它服務器的文件目錄。攻擊者在2020-9-4重新進入內(nèi)網(wǎng)并執(zhí)行本地密碼讀取工具，獲得域控管理員權(quán)限，訪問多臺內(nèi)網(wǎng)其它服務器，并最后在2020-9-25日再次進入xxxx公司內(nèi)網(wǎng)并開始執(zhí)行拷貝項目相關(guān)文檔的操作。PA

R

T Tw

o數(shù)據(jù)泄露事件0

4數(shù)據(jù)泄露事件數(shù)據(jù)泄露事件數(shù)據(jù)泄露事件案例：某學校數(shù)據(jù)泄露事件數(shù)據(jù)泄露事件某學校數(shù)據(jù)泄露事件稱某學校（簡稱“某學?！保?/p>

存在Elasticsearch未授權(quán)訪問漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。數(shù)據(jù)泄露事件某學校數(shù)據(jù)泄露事件稱某學校（簡稱“某學校”）

存在Elasticsearch未授權(quán)訪問漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。數(shù)據(jù)泄露事件某學校數(shù)據(jù)泄露事件稱某學校（簡稱“某學?！保?/p>

存在Elasticsearch未授權(quán)訪問漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。數(shù)據(jù)泄露事件某學校數(shù)據(jù)泄露事件稱某學校（簡稱“某學校”）

存在Elasticsearch未授權(quán)訪問漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。數(shù)據(jù)泄露事件某學校數(shù)據(jù)泄露事件稱某學校（簡稱“某學?！保?/p>

存在Elasticsearch未授權(quán)訪問漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。數(shù)據(jù)泄露事件某學校數(shù)據(jù)泄露事件稱某學校（簡稱“某學?！保?/p>

存在Elasticsearch未授權(quán)訪問漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。數(shù)據(jù)泄露事件某學校數(shù)據(jù)泄露事件稱某學校（簡稱“某學?！保?/p>

存在Elasticsearch未授權(quán)訪問漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。應急結(jié)論：某學校Elasticsearch服務存在未授權(quán)訪問漏洞，該服務存儲某學校業(yè)務軟件運行的異常記錄。在2020年4月和9月有多個境外IP(附表)異常連接該Elasticsearch服務器，存在數(shù)據(jù)傳輸情況。Thanks應急響應培訓案例分析（下）PA

R

T tw

o網(wǎng)頁篡

改0

5網(wǎng)頁篡改事件網(wǎng)頁篡改事件網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務篡改事件網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標語”事件進行進一步排查。網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標語”事件進行進一步排查。網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標語”事件進行進一步排查。網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標語”事件進行進一步排查。網(wǎng)頁篡改事件案例：某公司勒索病毒事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標語”事件進行進一步排查。網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標語”事件進行進一步排查。網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標語”事件進行進一步排查。網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標語”事件進行進一步排查。網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標語”事件進行進一步排查。應急結(jié)論：結(jié)合技術(shù)分析研判，初步判定此次事件主要原因是XXX公司后臺商戶管理系統(tǒng)存在weblogic反序列化漏洞，漏洞被黑客攻擊者利用上傳惡意圖片文件。PA

R

T tw

o釣魚郵

件0

6釣魚事件應急處置目的：郵件取樣、事件溯源、協(xié)助止損、郵件取樣：郵件樣本、郵件附件；、事件溯源：分析郵件（釣魚、勒索、挖礦）、入侵排查；、協(xié)助止損：跟蹤溯源，安全自查。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時間到達（xxx地方）現(xiàn)場進行應急響應，通過事件情報了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時間到達（xxx地方）現(xiàn)場進行應急響應，通過事件情報了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時間到達（xxx地方）現(xiàn)場進行應急響應，通過事件情報了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時間到達（xxx地方）現(xiàn)場進行應急響應，通過事件情報了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時間到達（xxx地方）現(xiàn)場進行應急響應，通過事件情報了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時間到達（xxx地方）現(xiàn)場進行應急響應，通過事件情報了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時間到達（xxx地方）現(xiàn)場進行應急響應，通過事件情報了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時間到達（xxx地方）現(xiàn)場進行應急響應，通過事件情報了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時間到達（xxx地方）現(xiàn)場進行應急響應，通過事件情報了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時間到達（xxx地方）現(xiàn)場進行應急響應，通過事件情報了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點話題。應急結(jié)論：1、經(jīng)郵件服務器梭子魚網(wǎng)關(guān)搜索，只匹配到“關(guān)于新冠肺炎的一切”郵件信息，有9個郵箱收到該郵件（3個人員郵箱收到并未查看郵件信息，2個人員郵箱查看了郵件內(nèi)容并未打開郵件正文的附件鏈接，4個人員郵箱為離職人員（郵箱已不使用）），發(fā)件人均為“info_center@yeah.net”，郵件發(fā)送時間為2020年2月10日9點51分至10點03分，發(fā)送內(nèi)容相同，搜索其他關(guān)鍵字并未發(fā)現(xiàn)其他相關(guān)的郵件。2、分析發(fā)件人（info_center@）郵箱，該郵箱為“廣州網(wǎng)易計算機系統(tǒng)有限公司”郵箱，信息包括：郵箱地址、IP地址、歸屬地3、通過分析郵件內(nèi)容，發(fā)現(xiàn)該郵件附件內(nèi)容為超鏈接（http://*********./），超鏈接已無法訪問，未能提取出附件內(nèi)容。4、某公司醫(yī)療已在郵箱管理處配置相關(guān)安全策略，暫未發(fā)現(xiàn)存在安全風險。P

A

R

T

S

e

v

e

nD

D

O

S

流量攻擊0

7DDOS流量攻擊應急處置目的：攻擊溯源、提供解決方案、協(xié)助止損等；、事件溯源：分析防護日志（IP地址判定）、協(xié)助止損：跟蹤溯源，提供解決方案；DDOS流量攻擊案例：某企業(yè)被DDOS攻擊事件初步了解為XX公司的電視機頂盒被進行DDOS攻擊，XX公司的機頂盒客戶無法正常使用寬帶和電視服務。DDOS流量攻擊某企業(yè)被DDOS攻擊事件初步了解為XX公司的電視機頂盒被進行DDOS攻擊，XX公司的機頂盒客戶無法正常使用寬帶和電視服務。DDOS流量攻擊某企業(yè)被DDOS攻擊事件初步了解為XX公司的電視機頂盒被進行DDOS攻擊，XX公司的機頂盒客戶無法正常使用寬帶和電視服務。DDOS流量攻擊某企業(yè)被DDOS攻擊事件初步了解為XX公司的電視機頂盒被進行DDOS攻擊，XX公司的機頂盒客戶無法正常使用寬帶和電視服務。被攻擊IP響應并返回字節(jié)長度為78的ICMP回包響應攻擊者IP，由于攻擊者IP為通過攻擊工具偽造的SNMP請求，該ICMP回包報錯：目的端口無法到達。DDOS流量攻擊某企業(yè)被DDOS攻擊事件初步了解為XX公司的電視機頂盒被進行DDOS攻擊，XX公司的機頂盒客戶無法正常使用寬帶和電視服務。應急結(jié)論：攻擊者通過互聯(lián)網(wǎng)使用snmp

public掃描開放snmp協(xié)議的設(shè)備，使用境外服務器IP對設(shè)備進行SNMP協(xié)議的拒絕服務攻擊。針對攻擊時的流量數(shù)據(jù)包分析，未發(fā)現(xiàn)有明顯放大攻擊的跡象，同時由于流量數(shù)據(jù)包只有數(shù)據(jù)包包頭內(nèi)容，缺失數(shù)據(jù)包內(nèi)容，無法深入分析更多攻擊詳情。后續(xù)：機頂盒軟件問題，處置SNMP包存在bug，導致崩潰。DDOS流量攻擊某企業(yè)被DDOS攻擊事件深圳某企業(yè)網(wǎng)絡科技有限公司（下稱“某企業(yè)”）的域名www.xxxxx.com（IP：120.76.xxxx.xxxx），于2020年7月16日早上11點左右遭受DDOS攻擊目前阿里云已將IP:74進行流量屏蔽，再對垃圾數(shù)據(jù)進行清洗，網(wǎng)站暫時無法訪問。DDOS流量攻擊某企業(yè)被DDOS攻擊事件深圳某企業(yè)網(wǎng)絡科技有限公司（下稱“某企業(yè)”）的域名www.xxxxx.com（IP：120.76.xxxx.xxxx），于2020年7月16日早上11點左右遭受DDOS攻擊目前阿里云已將IP:74進行流量屏蔽，再對垃圾數(shù)據(jù)進行清洗，網(wǎng)站暫時無法訪問。DDOS流量攻擊某企業(yè)被DDOS攻擊事件深圳某企業(yè)網(wǎng)絡科技有限公司（下稱“某企業(yè)”）的域名www.xxxxx.com（IP：120.76.xxxx.xxxx），于2020年7月1