網(wǎng)絡(luò)安全事件應(yīng)急指南2024

SANGFOR深信服科技SANGFOR深信服科技出品時(shí)間：2024年網(wǎng)絡(luò)安全事件應(yīng)急指南EmergencyGuidelinesforCybersecurityIncidents::2024全年3000+起應(yīng)急事件的處置經(jīng)驗(yàn)APT、Web入侵6大場(chǎng)景類型盤點(diǎn)2023-2024年6大行業(yè)熱點(diǎn)網(wǎng)絡(luò)安全事件在這個(gè)信息技術(shù)日新月異的時(shí)代，網(wǎng)絡(luò)攻擊手段的復(fù)雜性與日俱增，安全威脅層出不窮，給企事業(yè)單位的安全防護(hù)能力帶供一套全面、系統(tǒng)的網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)處置的思路框架和操作指南。我們希望這不僅是一份指南，更是大家在網(wǎng)絡(luò)戰(zhàn)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)，通常是指一個(gè)組織在特定網(wǎng)絡(luò)和系統(tǒng)面臨或已經(jīng)遭受突然攻擊行為時(shí)，進(jìn)行快速應(yīng)急反應(yīng)，提出并實(shí)和應(yīng)急機(jī)制的綜合性考驗(yàn)。本報(bào)告匯集了應(yīng)急響應(yīng)中心多年應(yīng)急處置經(jīng)驗(yàn)的精華，以及對(duì)最新安全威脅事件的深入研究成我們期待此報(bào)告能夠幫助各企事業(yè)單位提升對(duì)網(wǎng)絡(luò)安全事件的應(yīng)對(duì)能力，并希望與行業(yè)同仁共同探討和分享網(wǎng)絡(luò)安全的最新技術(shù)思路和最佳實(shí)踐，攜手構(gòu)建起更加堅(jiān)固的網(wǎng)絡(luò)安全防線。讓我們一起翻開《網(wǎng)絡(luò)安全事件應(yīng)急指南》，探索如何在本報(bào)告除明確注明來源的內(nèi)容以外，數(shù)據(jù)均來自深信服安全應(yīng)急響應(yīng)中心，目的僅為幫助用戶及時(shí)了解安全事件應(yīng)急響應(yīng)的相關(guān)內(nèi)容，僅供參考。本報(bào)告中所含內(nèi)容乃一般性信息，不應(yīng)被視為任何意義上的決策意見或依據(jù)，任何深信服科技股》》》錄數(shù)據(jù)泄露場(chǎng)景01背景簡(jiǎn)介01某用戶重要業(yè)務(wù)數(shù)據(jù)在暗網(wǎng)論壇被售賣事件01某單位因敏感數(shù)據(jù)泄露被通報(bào)事件數(shù)據(jù)泄露場(chǎng)景01背景簡(jiǎn)介01某用戶重要業(yè)務(wù)數(shù)據(jù)在暗網(wǎng)論壇被售賣事件01某單位因敏感數(shù)據(jù)泄露被通報(bào)事件04勒索場(chǎng)景06背景簡(jiǎn)介06處置與溯源流程07phobos勒索家族通過RDP端口暴破入侵事件09mallox勒索家族通過Web應(yīng)用漏洞入侵事件11mallox勒索家族通過MSSQL端口暴破入侵+內(nèi)網(wǎng)橫向事件13勒索軟件的防御措施16主機(jī)病毒場(chǎng)景18背景簡(jiǎn)介18Linux系統(tǒng)主機(jī)病毒案例18PwnDNS挖礦家族：一度風(fēng)靡的惡意軟件18Mirai僵尸網(wǎng)絡(luò)家族：活躍時(shí)間最長的網(wǎng)絡(luò)威脅22Windows系統(tǒng)主機(jī)病毒案例24“麻辣香鍋”病毒：劫持萬千用戶瀏覽器主頁的病毒24主機(jī)病毒的應(yīng)對(duì)策略31網(wǎng)頁暗鏈場(chǎng)景33背景簡(jiǎn)介33處置與溯源流程34某服務(wù)行業(yè)用戶因「IIS惡意模塊+UA頭部劫持」植入暗鏈被通報(bào)36某媒體行業(yè)用戶因「Nginx配置文件劫持+靜態(tài)html頁面劫持」植入暗鏈被通報(bào)網(wǎng)頁暗鏈的防御措施APT場(chǎng)景背景簡(jiǎn)介某單位遭遇海蓮花惡意IP攻擊被通報(bào)某科研機(jī)構(gòu)遭遇白象郵件釣魚攻擊某單位遭遇境外NSA武器滲透攻擊Web入侵場(chǎng)景背景簡(jiǎn)介 處置與溯源流程 某企業(yè)用戶業(yè)務(wù)服務(wù)器內(nèi)存馬注入事件 某用戶財(cái)務(wù)系統(tǒng)SQL注入事件附錄：2023-2024大型網(wǎng)絡(luò)安全事件盤點(diǎn)基礎(chǔ)設(shè)施行業(yè) 政府機(jī)構(gòu) 金融行業(yè) 科技行業(yè) 連鎖服務(wù)行業(yè) 參考鏈接3842434346 48515456本章節(jié)，我們將從Web方向分析數(shù)據(jù)泄露的可能性，以及如何利用現(xiàn)有的日志進(jìn)行綜合分析以應(yīng)對(duì)數(shù)據(jù)泄露事件。在一種是已知泄露數(shù)據(jù)源，類似下文案例分析中某樣板數(shù)據(jù)被公布在了暗網(wǎng)或各大平臺(tái)上，這時(shí)我們可以通過已知的線另外一種情況是更加嚴(yán)重的，即收到監(jiān)管單位通報(bào)說某個(gè)單位存在數(shù)據(jù)泄露情況，但給出的信息較少，不足以支撐后追蹤數(shù)據(jù)泄露的源頭，并采取相應(yīng)的補(bǔ)救措施。在實(shí)際應(yīng)用中，這種方法不僅有助于理解數(shù)據(jù)泄露的過程，還能為未來的某用戶通過相關(guān)情報(bào)得知，自身重要業(yè)務(wù)數(shù)據(jù)被黑客在暗網(wǎng)論壇上售賣，應(yīng)急響應(yīng)中心應(yīng)用戶要求對(duì)本次事件進(jìn)行深入0101根據(jù)黑客發(fā)布的信息以及連接中的數(shù)據(jù)初步判斷該數(shù)據(jù)格式和某業(yè)務(wù)系統(tǒng)中的導(dǎo)出功能相似，由于該系統(tǒng)本身支持導(dǎo)出功Web業(yè)務(wù)遭受攻擊拿到Webshell權(quán)限，通過Webshel前期得知該服務(wù)器曾被其他安全團(tuán)隊(duì)分析過，并未發(fā)現(xiàn)被攻擊痕跡存在而且用戶已將業(yè)務(wù)系統(tǒng)關(guān)閉并收斂到了內(nèi)網(wǎng)，故公■事件分析方案方案一希望用戶提供數(shù)據(jù)導(dǎo)出的接口按鈕功能連接，人工猜測(cè)可能存在的接口信息根據(jù)關(guān)鍵字段搜索，關(guān)鍵信息例如：xlsx、?lename、Export等凡是與文0202波音公司迅速啟動(dòng)應(yīng)急響應(yīng)機(jī)制，積極與執(zhí)法和網(wǎng)絡(luò)安全專家合作調(diào)查該事件并恢復(fù)任何受影響的數(shù)據(jù)。黑客索要高達(dá)2攻擊者試圖抹去該通訊社系統(tǒng)上所有數(shù)據(jù)的嘗試失敗了，只成功摧毀了“幾個(gè)數(shù)據(jù)存儲(chǔ)系統(tǒng)”上的文件，這并沒有影響烏6565》》》6666CDKGlobal在發(fā)現(xiàn)攻擊后立即關(guān)閉了大部分系統(tǒng)以防止攻擊蔓延，并開始分階段恢復(fù)系統(tǒng)，受影響的經(jīng)銷商也斷開了與臺(tái)積電證實(shí)，其一家“IT硬件供應(yīng)商發(fā)生了網(wǎng)絡(luò)安全事件6767臺(tái)積電根據(jù)公司的安全協(xié)議和標(biāo)準(zhǔn)操作程序，立即終止了與受影響供應(yīng)商的數(shù)據(jù)交換。公司將加強(qiáng)供應(yīng)鏈安全管理，提高攻擊導(dǎo)致產(chǎn)線停產(chǎn)，部分訂單無法按時(shí)完成，對(duì)公司的業(yè)務(wù)運(yùn)營和客戶交付造成了嚴(yán)重影響。此外，病毒的清理和系統(tǒng)的Hoya立即隔離受影響的服務(wù)器，并向受影響生產(chǎn)設(shè)施所在國家的有關(guān)當(dāng)局報(bào)告。聘請(qǐng)專業(yè)的網(wǎng)絡(luò)安全專家進(jìn)行處理?！贰贰贰?8682024年7月，某市公安局發(fā)布警情通報(bào)稱，該市某公共服務(wù)機(jī)構(gòu)部分網(wǎng)絡(luò)設(shè)備被竊取，嚴(yán)重威脅我國國家安全。據(jù)通報(bào)，這可能是一次以軍事偵察為目的的網(wǎng)絡(luò)攻擊，發(fā)起網(wǎng)絡(luò)攻擊的是境外有政府背GrimResource是一種新型的野外代碼執(zhí)行技術(shù)，由Elastic安全研究人員在2024年6月揭露。OceanLotus(海一個(gè)東南亞黑客組織，多年來對(duì)我國黨政機(jī)關(guān)、國防軍工、科研院所等核心要害單位發(fā)起攻擊。本次使用GrimResourceGrimResource技術(shù)可繞過防御，能夠繞過ActiveX控件告警，實(shí)現(xiàn)無文件落地的payload執(zhí)行；在野外發(fā)現(xiàn)的樣本在VirusTotal中有0個(gè)靜態(tài)檢測(cè)，表明其隱蔽性極高，難以被發(fā)現(xiàn)；可以預(yù)見，MSC樣式的魚叉郵件可能會(huì)替代lnk、o?ce宏文檔等成為攻擊者最常用的釣魚誘餌，潛在影響大。不下載非官方軟件；提高警覺性，避免點(diǎn)擊來歷不明的鏈接或下載不明來源的應(yīng)用程序；確保操作系統(tǒng)和安全軟件保持最2024年4月，美國國家環(huán)境保護(hù)局（EPA）遭受此次數(shù)據(jù)泄露攻擊對(duì)美國國家環(huán)境保護(hù)局的聲譽(yù)和公信力造成了嚴(yán)重?fù)p害。泄露的數(shù)據(jù)在俄羅斯黑客和網(wǎng)絡(luò)犯罪論壇中流6969EPA立即切斷了受影響的系統(tǒng)連接，防止攻擊者進(jìn)一步影響了希臘國內(nèi)中學(xué)期末考試，教師無法從題庫平臺(tái)抽取考題，部分考生不得不在教室等待數(shù)小時(shí)。也可能泄露學(xué)生的個(gè)希臘最高法院下令對(duì)此次網(wǎng)絡(luò)襲擊展開調(diào)查，并由警方的網(wǎng)絡(luò)犯罪部門提供協(xié)助。同時(shí)教育部加強(qiáng)了網(wǎng)絡(luò)安全防護(hù)措施，》》》7070ErrorFather是一項(xiàng)新型網(wǎng)絡(luò)攻擊活動(dòng)，利用一種未被檢測(cè)的Cerberus安卓銀行木馬，專門針對(duì)安卓用戶。馬最初因其通過鍵盤記錄、覆蓋攻擊和VNC功能竊取金融及社交媒體應(yīng)用的憑證而聲名鵲起，能夠繞過安全限制，并具備高度的隱蔽性和難以檢測(cè)的特性。CRIL研究人員在2024年9月和10月識(shí)別到這段時(shí)間內(nèi)該活動(dòng)顯著增加，表明ErrorFather的運(yùn)營者正在擴(kuò)大針對(duì)全球安卓用戶的攻擊。ErrorFather惡意軟件通過安卓和iOS應(yīng)用商店的假冒銀行應(yīng)用傳播，下載一個(gè)多階段的銀行木馬，旨在繞過安全限制并竊取銀行信息。通過覆蓋攻擊進(jìn)行操作，掃描手機(jī)中的金融應(yīng)用，并在用戶與這些應(yīng)用互動(dòng)時(shí)加載假釣魚頁面，從而竊取建議用戶從官方應(yīng)用商店下載應(yīng)用，避免使用小眾或上線時(shí)間短的應(yīng)用軟件；不要隨意下載應(yīng)用或點(diǎn)擊陌生鏈接，尤其是美國知名銀行EvolveBank&Trust在遭遇LockBit勒索軟件攻擊后，其客戶數(shù)據(jù)送數(shù)據(jù)泄露通知。調(diào)查顯示，由于公司員工點(diǎn)擊了惡意鏈接，導(dǎo)致Lockbit成員在未經(jīng)授權(quán)的情況下訪問了Evolv此次攻擊導(dǎo)致EvolveBank&Trust的客戶數(shù)據(jù)被盜，部分系統(tǒng)無法正常工作，影響了金融科技公司如A?rm、Wise和EvolveBank&Trust迅速采取應(yīng)急措施保障客戶資金安全，為美國居民提供了為期兩年的信用監(jiān)控和身份保護(hù)服務(wù)，并Solutions暫時(shí)不可用，對(duì)公司運(yùn)營和客戶服務(wù)造成了影響。7171EquiLend在發(fā)現(xiàn)事件后公司立即聘請(qǐng)了第三方網(wǎng)絡(luò)安全專家并啟動(dòng)了調(diào)查，同時(shí)迅速采取措施控制事件影響，并逐步恢攻擊對(duì)該銀行業(yè)務(wù)運(yùn)營和數(shù)據(jù)安全造成了嚴(yán)重影響，業(yè)務(wù)中斷導(dǎo)致公司無法正常提供服務(wù)，影響了客戶的業(yè)務(wù)辦理和資金該銀行表示，發(fā)現(xiàn)攻擊后立即切斷并隔離了受影響系統(tǒng)，展開徹底調(diào)查并向執(zhí)法部門報(bào)告，并在專業(yè)信息安全專家遭受攻擊后，PayPal迅速凍結(jié)了所有受影響的用戶賬戶，防止攻擊者進(jìn)一步竊取資金或篡改賬戶信息。查向用戶發(fā)送電子郵件，告知系統(tǒng)近期遭到撞庫攻擊，部分用戶數(shù)據(jù)可能已經(jīng)泄露。Pa72722024年6月，云存儲(chǔ)巨頭Snow?ake遭黑客攻擊，全球超過165家知名企業(yè)因此遭遇數(shù)據(jù)泄露，包括票務(wù)巨頭此次事件被認(rèn)為是云計(jì)算歷史上最嚴(yán)重的數(shù)據(jù)泄漏事件之一，導(dǎo)致全球多家知名企業(yè)的敏感數(shù)據(jù)被非法訪問和泄露，可能調(diào)查發(fā)現(xiàn)，黑客利用之前通過信息竊取惡意軟件竊取的憑證入侵Snow?ake，最終竊取了有價(jià)值的數(shù)據(jù)，其中黑客使用的某些憑據(jù)已有數(shù)年歷史。為防止類似事件，云服務(wù)提供商必須實(shí)施強(qiáng)大的多因素身份驗(yàn)證和安全身份驗(yàn)證措施，采用更嚴(yán)/地區(qū)的超過6千臺(tái)SOHO路由器和物聯(lián)TheMoon僵尸網(wǎng)絡(luò)的攻擊導(dǎo)致了大量用戶網(wǎng)絡(luò)的癱瘓和數(shù)據(jù)泄露，嚴(yán)重影響了用戶的網(wǎng)絡(luò)使用體驗(yàn)和數(shù)據(jù)安全。同時(shí)，公司迅速發(fā)布了安全補(bǔ)丁和升級(jí)指南，通知用戶更新路由器固件以修復(fù)漏洞。同時(shí)加強(qiáng)國際合作，共同打擊TheMoon僵xz-utils軟件包遭受的供應(yīng)鏈攻擊歷時(shí)三年，幾乎成功在眾多Linux發(fā)行版中為sshd植入后門，這將允許攻擊者繞過密鑰軟件供應(yīng)鏈攻擊導(dǎo)致了大量用戶系統(tǒng)的感染和數(shù)據(jù)泄露，嚴(yán)重?fù)p害了用戶的隱私和安全。同7373XZUtils的開發(fā)團(tuán)隊(duì)迅速發(fā)布了安全公告和修復(fù)補(bǔ)丁，并通知了所有用戶更新到安全版本。同時(shí)，加強(qiáng)了代碼審查和簽名2024年1月，微軟公司遭遇了針對(duì)高管賬戶的泄露攻擊。一個(gè)名為“午夜暴雪”的黑客組織利用釣魚郵件和社交工程手段成功入侵了部分高管的電子郵件賬戶，并獲得了該公司源代碼存儲(chǔ)庫和內(nèi)部系統(tǒng)的訪問權(quán)限。隨后，黑客利用這一立足影響了微軟公司的聲譽(yù)，高管賬戶泄露可能導(dǎo)致公司戰(zhàn)略機(jī)密、商業(yè)計(jì)劃以及客戶數(shù)據(jù)等敏感信息被泄露給競(jìng)爭(zhēng)對(duì)手或惡微軟公司向可能受到影響的客戶發(fā)出了安全提醒通知。微軟還加強(qiáng)了網(wǎng)絡(luò)安全措施，包括多因素認(rèn)證、定期密碼更新以及2023年12月，卡巴斯基安全研究人員披露了IPhone歷史上最復(fù)雜的間諜軟件攻擊?三角測(cè)量（Triangulation）的技術(shù)細(xì)節(jié)。分析師在2023年6月首次發(fā)現(xiàn)了上述攻擊活動(dòng)并進(jìn)行了逆向工程年以來被用于監(jiān)聽IPhone用戶，能夠利用多種手段（如釣魚郵件、惡意鏈接等）入侵目標(biāo)系統(tǒng)，竊取敏感數(shù)據(jù)和監(jiān)控用三角測(cè)量間諜軟件攻擊導(dǎo)致了大量敏感數(shù)據(jù)的泄露和用戶隱私的暴露。被攻擊的組織可能面臨商業(yè)機(jī)密泄露、業(yè)務(wù)中斷以受影響的組織和個(gè)人應(yīng)立即采取行動(dòng)加強(qiáng)安全防護(hù)，包括更新操作系統(tǒng)和軟件、安裝可靠的安全軟件、加強(qiáng)密碼管理和網(wǎng)2023年10月，知名基因檢測(cè)公司23andMe遭遇了一次大規(guī)模的數(shù)據(jù)泄露事件，一名匿名黑客聲稱竊取了數(shù)百萬23andMe用戶的遺傳數(shù)據(jù)，包括用戶的電7474這次數(shù)據(jù)泄露可能導(dǎo)致用戶的個(gè)人隱私嚴(yán)重暴露，增加遺傳歧視和身份盜用的風(fēng)險(xiǎn)。還可能利用這些數(shù)據(jù)進(jìn)行基因武器研23andMe在發(fā)現(xiàn)異常后立即啟動(dòng)了安全響應(yīng)流程，關(guān)閉受影響系統(tǒng)，并通知用戶數(shù)據(jù)可能已被泄露。同時(shí)加強(qiáng)了數(shù)據(jù)加體設(shè)備有關(guān)，另一起與內(nèi)部會(huì)議有關(guān)。三星員工在運(yùn)行半導(dǎo)體設(shè)備計(jì)量成功竊取了多款熱門游戲如《英雄聯(lián)盟》、《云頂之弈》等以及反作弊平臺(tái)的源代碼，被盜代碼共計(jì)72.4G，并在暗網(wǎng)以源代碼被盜可能導(dǎo)致游戲存在嚴(yán)重的安全漏洞和未公開的功能被濫用。黑客還可能利用這些源代碼制作盜版游戲或惡意軟拳頭公司遭遇攻擊后加緊修復(fù)漏洞，承諾玩家的數(shù)據(jù)沒有受到影響；同時(shí)加強(qiáng)了代碼庫的訪問控制和數(shù)據(jù)加密措施，提升75752024年7月，黑客組織Nullbulge以“捍衛(wèi)藝術(shù)家權(quán)益”為由，通過原因是該公司的一家第三方供應(yīng)商發(fā)生了網(wǎng)絡(luò)安全事故，隨后公司加強(qiáng)了合作方的網(wǎng)絡(luò)安全保護(hù)措施，對(duì)敏感數(shù)據(jù)進(jìn)行加此次攻擊影響了拉斯維加斯和其他州的酒店預(yù)訂和博彩系統(tǒng)，給游客帶來了極大的不便。米高梅因此遭受了巨大的經(jīng)濟(jì)損內(nèi)華達(dá)州博彩控制委員會(huì)合作應(yīng)對(duì)攻擊。為客戶提供免費(fèi)的的身份保護(hù)和信用監(jiān)控服務(wù)。公司CEO向客戶發(fā)出公開信，7676/rain/a/20240403A08QZP00/article/792313.htmlChangeHealthcare遭受勒索軟件攻擊，導(dǎo)致美國醫(yī)療保健系統(tǒng)中斷/archives/3326558.html波音公司遭受LockBit勒索軟件攻擊，43GB數(shù)據(jù)被竊取/6533//news/security/ukraine-sandworm-hackers-hit-news-agency-with-5-data-wipers/.tw/articles/tech/1339899.htm/2024/0624/519321.shtmlhttp://c1c.ca/cms/jianada/528.html臺(tái)積電遭受LockBit攻擊被勒索7000萬美元/c/8R38sCq74Ua/post/id/295336/n1/2023/0726/c1008-40043917.html海蓮花組織利用GrimResource技術(shù)進(jìn)行釣魚攻擊https://www.ct?/208200.html/articles/397144.html/news/232111/2023/0601/856463.html地獄級(jí)銀行木馬病毒Cerberus變種再起，在多個(gè)國家傳播/super-hard-to-detect-hellish-new-banking-trojan-strikes/?via=E07513#google_vignette7777美國知名銀行EvolveBank&Trust遭攻擊導(dǎo)致約760萬名客戶數(shù)據(jù)被盜/archives