《95015网络安全应急响应分析报告(2023).docx》由会员分享,可在线阅读,更多相关《95015网络安全应急响应分析报告(2023).docx(27页珍藏版)》请在课桌文档上搜索。
1、%flDo奇安信95015网络安全应急响应分析报告(2023)THEREPORTCwWWWW发布机构:,乡奇安僖安眼团队主要观点2023年,奇安信集团安服团队共接到应急服务需求853起。政府部门、制造业和金融机构的业务专网是2023年攻击者攻击的主要目标。令严重缺乏最基本的网络安全基础设施建设,缺乏最基本的网络安全运营能力,是当前国内绝大多数政企机构的通病。一方面,弱口令、永恒之蓝等基础漏洞仍然普遍存在,高危端口大量暴露;另一方面,仅有13.6%的政企机构能够通过安全巡检提前发现问题,避免损失,而绝大多数政企机构只能在重大损失发生之后,或被第三方机构通报后才能发现安全问题。令2023年,攻击者
2、攻击目标仍以业务专网为主,然而办公终端问题也不容小觑。与去年相比,服务器受感染台数较去年减少2535台,办公终端受感染台数较去年增加12375台。受影响终端数量的明显增加,预示着不仅是服务器安全问题,日益凸显的终端安全问题也需要引起我们的关注。安全意识问题已经成为制约政企机构安全生产的根本性问题:由内部人员违规操作触发的应急响应事件约占2023年95015服务平台接报事件总量的五分之一;近三成的应急事件与弱口令有关;员工被黑客钓鱼、私自下载带毒软件、滥用U盘导致系统瘫痪、乱开端口感染勒索病毒等由安全意识不足引发的应急事件层出不穷。由此可见,大中型政企机构加大力度提升内部员工网络安全防范意识迫在
3、眉睫。令2023年接收的安全事件中有小部分来自政企机构内部实战攻防演习活动,通过实际的攻击模拟和防御演练,企业可以更好地发现和识别可能存在的安全漏洞,能够尽早发现并修复潜在的威胁,防止实际攻击的发生,减少潜在的损失。Q2023年,95015服务平台共接到全国政企机构网络安全应急事件报告853起。奇安信安服团队累计投入工时6654.0小时处置相关事件,折合831.8人天,处置一起应急事件平均用时7.8小时。令从行业分布来看,2023年,95015服务平台接报的网络安全应急响应事件中,政府部门报告的事件最多,为158起;其次是制造业107起;金融机构排第三,为96起。此外,医疗卫生、事业单位、IT
4、信息技术等行业也是网络安全应急响应事件高发行业。令49.0%的政企机构,是在系统已经出现了非常明显的入侵迹象后,拨打的95015网络安全服务热线;33.1%的政企机构,是在被攻击者勒索之后进行的报案求助。而真正能够通过安全运营巡检,提前发现问题的仅占比13.6%o令从网络安全事件的影响范围来看,68.3%的事件主要影响业务专网,而主要影响办公网的事件占比31.7%o从受影响的设备数量来看,失陷服务器为11745台,失陷办公终端为17787台。业务专网、办公终端是网络攻击者攻击的主要目标。令从网络安全事件造成的损失来看,造成生产效率低下的事件352起,占比41.3%;造成数据丢失的事件198起,
5、占比23.2%;造成数据泄露的事件89起,占比10.4%;此外,造成声誉影响的事件47起,造成数据被篡改的事件36起。内部人员为了方便工作等原因进行违规操作,进而触发应急响应的网络安全事件多达186起。这一数量仅次于黑产活动(207起)、超过了以窃取重要数据(173起)和敲诈勒索(170起)等为目的的外部网络攻击事件的数量。令以漏洞利用为主要手段的网络攻击最为常见,占比38.4%;其次是恶意程序,占比29.8%;钓鱼邮件排第三,占比7.8%o网页篡改、网络监听攻击、Web应用CC攻击等也比较常见。还有约18.8%的安全事件,并非网络攻击事件。应急事件分析显示,勒索病毒、挖矿木马、网站木马是攻击
6、者使用最多的恶意程序类型,分别占到恶意程序攻击事件的21.8%、9.7%和6.0%。此外,蠕虫病毒、DDOS木马、永恒之蓝下载器木马、APT专用木马等也都是经常出现的恶意程序类型。令在应急响应事件处置的勒索软件中,排名第一的是Phobos勒索软件,全年触发大中型政企机构网络安全应急响应事件30次;其次是1.ockBit勒索软件15次,Makop勒索软件15次。这些流行的勒索病毒,十分值得警惕。弱口令是攻击者在2023年利用最多的网络安全漏洞,相关应急事件多达231起,占比27.1%。其次是永恒之蓝漏洞,相关利用事件为162起,占比19.0%o关键词:95015、应急响应、安全服务、弱口令、内部
7、违规、敲诈勒索、漏洞利用目录第一章网络安全应急响应形势综述1第二章应急响应事件受害者分析2一、行业分布2二、事件发现2三、 影响范围3四、 事件损失4第三章应急响应事件攻击者分析5一、 攻击意图5二、 攻击手段6三、 恶意程序6四、 漏洞利用7第四章应急响应典型案例分析9一、 某企业数据库遭Mallox病毒勒索9二、 某单位官网存在安全漏洞被挂黑链10三、 某地运营商用户路由器被插件劫持11四、 某企业感染WatchDogs挖矿病毒12五、 某企业使用盗版激活工具感染蠕虫13六、 某单位装驱动服务器感染U盘病毒14七、 某单位财务主管遭微信钓鱼被远控16八、 某企业域名管理权限在暗网被倒卖17
8、附录195015网络安全服务热线19附录2奇安信集团安服团队20附录3网络安全应急响应图书推荐21第一章网络安全应急响应形势综述2023年112月95015服务平台共接到全国范围内网络安全应急响应事件报告853起,奇安信安服团队第一时间协助政企机构处置安全事故,确保了政企机构门户网站、数据库和重要业务系统等的持续安全稳定运行。综合统计数据显示,在全年853起网络安全应急响应事件的处置中,奇安信安服团队累计投入工时为6654.0小时,折合831.8人天,处置一起应急事件平均用时7.8小时。其中,1月份,因春节假期期间,应急响应处理量略有减少;8月,因全国多地举行网络安全实战攻防演习活动,应急响应
9、处理量大幅增加。95015平台网络安全应急响应服务年度数据变化趋势第二草应急响应事件受害者分析本章将从网络安全应急响应事件受害者的视角出发,从行业分布、事件发现方式、影响范围、以及攻击行为造成的影响等几个方面,对95015服务平台全年接报的853起网络安全应急响应事件展开分析。一、行业分布从行业分布来看,2023年,95015服务平台接报的网络安全应急响应事件中,政府部门报告的事件最多,为158起,占比18.5%;其次是制造业,为107起,占比12.5%;金融机构排第三,为96起,占比11.3%o此外,医疗卫生、事业单位、IT信息技术等行业也是网络安全应急响应事件高发行业。下图给出了不同行业网
10、络安全应急响应事件报案数量的TOPlO排行。180160140120100806040200数据来源:95015服务平台统计周期:2023年全年,Jf*v奇安Ig不同行业网络安全应急响应事件报案数量排行TOPl015810783Iii政府制造业金融医疗事业IT信息部门卫生单位技术二、事件发现从安全事件的发现方式来看,49.0%的政企机构,是在系统已经出现了非常明显的入侵迹象后,拨打的95015网络安全服务热线;33.1%的政企机构,是在被攻击者勒索之后进行的报案求助。这二者之和为82.1%。也就是说,超过八成的大中型政企机构是在系统已经遭到了巨大损失,甚至是不可逆的破坏后,才向专业机构进行求助
11、。而真正能够通过安全运营巡检,在损失发生之前及时发现问题并呼救,避免损失发生的政企机构,占比就仅为13.6%。此外,还有约4.3%的政企机构是在得到了主管单位、监管机构及第三方平台的通报后启动的应急响应。这些机构不仅严重缺乏有效的网络安全运营,也严重缺乏必要的威胁情报能力支撑,致使自己的主管单位或监管机构总是先于自己,发现自身的安全问题或被攻击的现象。其中,某些通报可能还会使相关单位面临法律责任及行政处罚。这些被通报的政企机构都是潜在的定时炸弹,随时都有可能爆发。网络安全应急响应事件的发现方式监管机构及第三方平台通报主管单位通报安全运营巡检13.6%数据来源:95015服务平台统计周期:202
12、3年全年即、奇安信三、影响范围网络安全事件往往会对IT及业务系统产生重大的影响。在2023年95015服务平台接报处置的网络安全应急响应事件中,68.3%的事件主要影响的是业务专网,而主要影响办公网的事件占比31.7%o从受网络安全事件影响的设备数量来看,失陷服务器为11745台,失陷办公终端为17787台。2023年大中型政企机构遭受网络攻击事件的影响范围如下图所示。大中型政企机构遭受攻击影响范围分布受影响区域分布数据来源:95015服务平台统计周期:2023年全年奇安信在本报告中,办公网是指企业员工使用的台式机、笔记本电脑、打印机等设备组成基本办公网络,而业务专网泛指机构整体运行与对外支撑
13、所需要的各种网络系统。从影响范围和受影响设备数量可以看出,大中型政企机构的业务专网、办公终端是网络攻击者攻击的主要目标。大中型政企机构在对业务专网进行安全防护建设的同时,还应提高内部人员安全防范意识,加强对内网中办公终端、重要服务器的安全防护保障和数据安全管理。四、事件损失网络安全事件通常都会引起政企机构不同程度、不同类型的损失。应急处置现场情况分析显示,在95015服务平台全年接报的853起报案中,有352起事件,造成了相关机构的生产效率低下,占比41.3%,是排名第一的损失类型:其次是造成数据丢失的事件有198起,占比23.2%,排名第二;造成数据泄露的事件89起,占比10.4%,排名第三
14、;此外,造成政企机构声誉影响的事件47起,造成数据被篡改的事件36起,造成其他损失的事件131起。造成不同类型损失的网络安全应急响应事件数量分布特别说明,在上述统计中,同一事件只计算一次,我们只统计每起事件造成的最主要的损失类型。造成生产效率低下的主要原因是挖矿、蠕虫、木马等攻击手段使服务器CPU占用率过高,造成生产效率降低。也有部分企业是因为勒索病毒攻击造成了部分生产系统停产。造成数据丢失的原因是多方面的,其中,因勒索病毒加密而导致数据无法恢复是首要原因。造成数据泄露的主要原因是黑客的入侵和内部人员的泄密。第三章应急响应事件攻击者分析本章将从网络安全应急响应事件攻击者的视角出发,从攻击意图、
15、攻击类型、恶意程序和漏洞利用等几个方面,对95015服务平台全年接报的853起网络安全应急响应事件展开分析。一、攻击意图攻击者是出于何种目的发起的网络攻击呢?应急人员在对网络安全事件进行溯源分析过程中发现,2023年,内部人员为了方便工作等原因进行违规操作,进而导致系统出现故障或被入侵,触发应急响应的网络安全事件多达186起。这一数量仅次于黑产活动(207起)、超过了窃取重要数据(173起)和敲诈勒索(170起)等为目的的外部网络攻击事件的数量。网络安全应急响应事件中的攻击者意图溯源分析在这里,黑产活动以境内团伙为主,主要是指通过黑词黑链、钓鱼页面、挖矿程序等攻击手段开展黑产活动牟取暴利。在1
16、86起内部违规事件中,内部人员为了方便工作或出于其他原因将内部业务端口映射至外网的违规操作需要引起大中型企业的重视。以窃取重要数据为目的的攻击,一般分为两种:一种是民间黑客非法入侵政企机构内部系统盗取敏感、重要数据,如个人信息、账号密码等;另一种则是商业间谍活动或APT活动。从实际情况来看,第一种情况更为普遍,第二种情况偶尔会发生。敲诈勒索,主要是指攻击者利用勒索软件攻击政企机构的终端和服务器,进而实施勒索。此类攻击几乎全部是由境外攻击者发起,打击难度极大。二、攻击手段不同的安全事件,攻击者所使用的攻击手段也有所不同。对2023年全年的网络安全应急响应事件分析发现,以漏洞利用为主要手段的网络攻
17、击最为常见,占比38.4%;其次是恶意程序,占比29.8%;钓鱼邮件排第三,占比7.8虬此外,网页篡改、网络监听攻击、Web应用CC攻击、拒绝服务攻击等也比较常见。还有约18.8%的安全事件,最终被判定为非攻击事件。也就是说,由于企业内部违规操作,意外事件等原因,即便没有导致系统被入侵,但也同样触发了网络安全应急响应的事件也不在少数,值得警惕。非攻击事件拒绝服务攻击18.8$网络安全应急响应事件中的攻击手段分析数据来源:95015服务平台统计周期:2023年全年同一事件只统计最主要的攻击手段三、恶意程序应急事件分析显示:勒索病毒、挖矿木马、网站木马是攻击者使用最多的恶意程序类型,分别占到恶意程
18、序攻击事件的21.89.7%和6.0%o此外,蠕虫病毒、DDOS木马、永恒之蓝下载器木马、APT专用木马等也都是经常出现的恶意程序类型。还有10.6%恶意程序攻击事件与比较常见的,针对普通网民的互联网流行木马有关。其他木马数据来源:95015服务平台统计周期:2023年全年44.OS流行互联网木马10.6%APT专用木马0.8S永恒之蓝下载器木马1.4%DDOS木马1.4%V!v奇安信表1给出了2023年95015服务平台接报的网络安全应急响应事件中,出现频率最高的勒索软件排行榜TOPlOo可以看到,排名第一的是Phobos勒索软件,全年触发大中型政企机构网络安全应急响应事件30次;其次是1.
19、ockBit勒索软件15次,Nfakop勒索软件15次。这些流行的勒索病毒,十分值得警惕。表1遭受攻击勒索软件类型TOPlO勒索软件名称应急次数Phobos勒索软件301.ockBit勒索软件15Makop勒索软件15TelIyouthepass勒索软件14Mallox勒索软件12Wannacry勒索软件8BeijingCrypt勒索软件6Babuk勒索软件3Devos勒索软件3G1.obeImposter勒索软件3四、漏洞利用应急事件分析显示:弱口令是攻击者在2023年最为经常利用的网络安全漏洞,相关网络安全应急响应事件多达231起95015平台全年应急响应事件接报总数的27.1%。其次是永
20、恒之蓝漏洞,相关利用事件为162起,占比19.0%。相比之下,其他单个类型的漏洞利用占比都要小很多,排名第三的钓鱼邮件仅有49起,占比5.7%。网络安全应急响应事件中常见漏洞利用方式TOPl0弱口令的大行其道,完全是安全意识淡薄、安全管理松懈的体现。而永恒之蓝漏洞自2017年WannaCcr病毒爆发后,已经成为广为人知,必须修补的安全漏洞。时至今日仍然有大量的政企机构倒在永恒之蓝的枪口之下,说明这些政企机构严重缺乏最基本的网络安全基础设施建设,缺乏最基本的网络安全运营能力。预计在未来相当长的时间里,弱口令和永恒之蓝漏洞仍将是国内政企机构亟待解决的、基础性的网络安全问题。rtv奇安倍第四章应急响
21、应典型案例分析2023年,95015网络安全服务热线共接到全国各地网络安全应急响应求助853起,涉及全国31个省市(自治区、直辖市)、2个特别行政区,覆盖政府部门、制造业、金融机构、医疗卫生、事业单位等20余个行业。本章将结合2023年的网络安全应急响应实践,介绍8起典型案例,希望能够为政企机构网络安全建设与运营提供有价值的参考。一、某企业数据库遭MallOX病毒勒索(一)事件概述2023年1月,奇安信安服应急响应团队接到某企业应急求助,该企业服务器被勒索,文件被加密,希望溯源入侵途径。应急人员到达现场后,对受害数据库服务器(x.X.x.31)进行排查以及结合勒索信和加密后缀,确认该企业服务器
22、感染MaIloX勒索病毒,暂时无法解密。对受害数据库服务器(x.x.x.31)应用日志以及现场安全防护软件云端日志进行排查后发现,外网攻击者(92.63.196.x)对数据库服务器(x.X.x.31)有大量暴力破解行为,并成功入侵服务器(x.x.x.31)下载安装远程桌面工具Anydesk,上传黑客工具hrsword_v5.0.1.1.exe,关闭安全防护软件。应急人员对外网攻击者(92.63.196.x)进行威胁情报查询,显示该TP为恶意C2服务器,其常用手段为扫描暴破1433端口。应急人员与该企业员工沟通了解,为方便业务运营,数据库服务器(x.X.x.31)的1433端口对公网开放。随后,
23、应急人员对服务器(x.x.x.31)最近访问文件和可疑程序进行排查发现,存在大量暴破字典,以及暴力破解工具N1.BrUtel.2.exe。至此,应急人员推断,由于服务器(x.X.x.31)对外开放1433端口,且该服务器账号存在弱口令,被攻击者利用,成功获取该服务器(x.X.x.31)权限,随后以服务器(x.X.x.31)为跳板,对内网其他主机进行暴破,成功后投放Mallox勒索病毒,加密主机文件。f114JM三三n0MwAm*a(一)防护建议1)系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现
24、:2)配置必要的防火墙并开启防火墙策略,防止暴露不必要的服务为黑客提供利用条件:3)建议部署全流量监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;4)有效加强访问控制AC1.策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员TP可对管理端口进行访问,如FTP、数据库服务、远程桌面等管理端口。二、某单位官网存在安全漏洞被挂黑链(一)事件概述2023年2月,奇安信应急团队接到某单位应急求助,该单位接到补天漏洞响应平台通报,官网被攻击者挂黑链接,希望对
25、此事件进行分析排查并溯源入侵途径。应急人员到达现场,通过验证确认该单位官网确实存在被挂黑链的情况。随后对被挂黑链服务器(x.x.x.117)的Web日志进行排查发现,存在上传Webshell后门文件123123123.aspx以及大量访问该后门文件的记录,通过文件查找成功在templates目录下定位到该文件123123123.asp0应急人员对上传点t.aspx进行测试发现,该位置存在任意文件上传漏洞。查看服务器(x.x.x.117)用户情况发现,Guest用户被克隆提权为管理员用户,并且有多次可疑登录情况。查看服务器(x.x.x.117)的iis配置文件后发现,存在含有搜索引擎seo相关字
26、符和相关跳转代码的可疑dll文件。至此应急人员确认,由于该单位官网存在任意文件上传漏洞,攻击者利用该漏洞获得服务器权限,通过克隆提权Guest用户,篡改iis配置加载恶意dll文件植入黑链的方式在该单位官网挂黑链。SMWGMKtmPMMa,XXX117).md牛的女内AAM.5tfjnmW)S女件NR1.t传*btt11*2312301XMMa()UU1.117);取叁,.竞GNIFfiWnnMaGumtivpm(二)防护建议1)配置必要的防火墙并开启防火墙策略,防止暴露不必要的服务为黑客提供利用条件;2)加强权限管理,对敏感目录进行权限设置,限制上传目录的脚本执行权限,不允许配置执行权限等;
27、3)将站点纳入边界WAF防护范围内,HTTPS类的站点需要加载证书;4)开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患;5)加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。三、某地运营商用户路由器被插件劫持(一)事件概述2023年3月,奇安信应急响应团队接到某地运营商应急求助,当地某用户在使用运营商宽带正常看电视时出现页面被劫持的情况,导致该运营商在被用户投诉。该运营商希望能查明此次事件的原因。应急人员到达现场对被劫持页面进行排查发现,只有访问特定页面时才会出现劫持现象,并且用
28、户页面被劫持跳转时首先会跳转到106.14.x.x、139.196.X.X两个地址。应急人员通过构造请求访问这两个地址发现,访问时会自动加载一个包含大量的广告、色情地址以及跳转代码的恶意js文件。随后,应急人员对同型号的电视盒子进行测试,并未发现相关劫持情况,猜测可能是路由器的问题。应急人员在用户同意后尝试从攻击者角度对路由设备进行测试发现,该款路由器存在命令执行漏洞,可以通过它直接获取到路由器系统权限。应急人员拿到路由器系统权限后,对路由器系统进程、文件等进行排查发现,存在的nginx进程运行时会在设备的8080端口启动监听。随后,对nginx进程的配置文件进行排查发现,在nginx.con
29、f文件中被植入劫持代码。由于该路由器为家用路由器,且用户接入运营商网络时不会分配公网地址,攻击者无法宜接访问到该路由器。因此应急人员推测,用户购入该路由器时已经存在劫持代码,由于路由器厂商官网无法访问,应急人员无法拿到官方固件,无法确定该路由器使用的固件是否为官方版本。目前,应急人员建议该运营商在用户网络出口上对相关恶意地址进行封堵,应急结束。(二)防护建议1)建议运营商在用户网络出口上对相关恶意地址进行封堵;2)在购买产品时,务必确保从官方渠道进行购买,避免从非官方或可疑的第三方渠道购买,以防止遭遇假冒、盗版或低质量产品的风险。四、某企业感染WatchDogs挖矿病毒(一)事件概述2023年
30、5月,奇安信应急响应团队接到某企业应急求助,该企业内网多台服务器感染挖矿病毒,服务器系统资源占用较高,影响业务正常运行,希望能对受害服务器进行排查,并溯源入侵途径。应急人员到达现场后,对该企业运维人员提供的外联恶意挖矿域名进行分析,确定该服务器感染WatchDogs挖矿病毒。对受害服务器(x.X.X.80)系统进程和计划任务进行排查,发现符合WatchDogs挖矿病毒特征的恶意进程以及恶意计划任务。应急人员利用命令删除恶意计划任务、结束恶意进程后,服务器(x.X.X.80)处理器资源占用率恢复到正常状态。随后,应急人员对受害服务器(x.X.X.80)日志进行排查,发现大量来自内网服务器(x.X
31、.X.81)、(x.X.X.22)、(x.x.x.82)和(x.x.x.187)的SSh爆破行为,经过对这四台服务器日志进行排查,发现攻击最早来自该企业下属单位服务器(x.x.x.81)。应急人员对服务器(x.X.x.81)进行排查,发现该服务器部署java应用,使用shiro组件,并且现场流量监控设备存在该服务器被IP(X.X.X.69)利用Shiro反序列化漏洞攻击成功的告警,经威胁情报查询TP(x.X.X.69)为恶意IP0因此应急人员判定由于该企业下属单位服务器(x.X.x.81)未更新Shiro反序列化漏洞补丁,被攻击者成功利用获取到该服务器权限,且该企业内网服务器均使用相同口令且强
32、度较低,攻击者利用服务器(x.X.x.81)通过批量口令暴破方式成功获取该企业内网大量服务器权限,投放WatchDogs挖矿病毒。随后应急人员编写并执行python脚本,帮助该企业删除恶意计划任务、结束恶意进程,将内网大量受害服务器恢复正常后,应急结束。通过shir。反序化弱取展竞器(xxx81)权限客户内网客户下属cxj9单位内网0a服务器(x.x.x.81)以服务器(XXX.81)为跳Ifi.咫客户单位进行SSh爆破,获取火量胴务器权限.)三WatchDogsJg三服务器(x.x.x.22)服务器(x.x.x.22)3an服务器(x.x.x.82)3EXZlCSS内网其他服努器服务器(x.
33、x.x.80)服务器(x.x.x.187)(一)防护建议1)系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;2)服务器定期维护,部署服务器安全防护系统,修复系统应用漏洞、中间件漏洞、组件、插件等相关漏洞,保障服务器安全;3)建议安装防病毒软件,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器病毒预防、抑制及清除能力;4)禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制。五、某企业使用盗版激活工具感
34、染蠕虫(一)事件概述2023年5月,奇安信安服应急团队接到某企业应急求助,该企业被监管单位通报,内网50+台办公PC均感染蠕虫病毒,希望对此事件进行排查,并溯源入侵途径。应急人员到达现场,了解到现场办公PC均不能连接互联网,也无安全告警设备。立即对被通报PC进行排查发现,在所有被通报PC的C盘Windows目录下存在相同病毒样本文件tasksche.exe随后对病毒样本tasksche.exe进行分析,确认该样本为永恒之蓝蠕虫病毒。应急人员对病毒样本文件所在目录进行排查发现,所有被通报PC中均存在KMS激活工具残留文件。应急人员与该企业员工沟通了解到,现场所有被通报PC均是由工作人员统一使用从
35、第三方网站下载的KMS激活工具激活。应急人员对现场主机系统信息进行排查,未发现存在可疑账户。对主机补丁情况进行查看发现,存在MS17010漏洞补丁,但不能确定打补丁时间。根据以上排查信息,应急人员初步推断病毒样本是KMS激活工具所携带,由于该企业员工安全意识不足,使用第三方网站下载的KMS激活工具,导致本次安全事件发生。因为现场部分日志缺失,致使无法溯源出详细的攻击细节,目前应急人员已协助该企业将病毒样本进行清除,并提出安全防护建议,应急结束。(一)防护建议1)加强人员安全意识培养,强调网络安全重要性,禁止通过非官方渠道下载应用软件。对来源不明的文件包括邮件附件、上传文件等要先杀毒处理:2)建
36、议安装防病毒软件,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器病毒预防、抑制及清除能力;3)部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据:4)配置并开启相关关键系统、应用日志,对系统日志进行定期异地归档、备份,避免在攻击行为发生时,导致无法对攻击途径、行为进行溯源等,加强安全溯源能力;5)加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。六、某单位装驱动服务器感染U盘病毒(一)事件概述2023年6月,奇安信安服应急响应团队接到某单位应急求助,该单位存在服务器感
37、染病毒,并且有部分文件丢失的情况,需要进行溯源处置。应急人员到达现场后对服务器(x.x.x.240)进行排查分析发现,共享目录jingsai被上传病毒文件:autorun.infkabe.batkabe.exe;在病毒文件创建前,内网终端A(x.x.x.53)曾访问过共享目录jingsai应急人员通过测试发现,服务器(x.x.x.240)上的病毒文件能被现场安装的杀毒软件查杀。随后,应急人员对现场的杀毒软件进行排查发现,在杀毒日志中,存在该病毒文件的查杀记录;在信任区中,存在可疑加白文件:F:打印机驱动.exe。应急人员通过排查内网终端A(x.x.x.53)发现,在temp目录下存在可疑进程e
38、xplorer.exe;启动项中存在可疑启动项sajith,经过分析验证该启动项启动文件的MD5,确认该文件为U盘病毒文件。应急人员通过和客户沟通了解到,在6月27日,客户单位有员工使用U盘插入内网终端A(x.X.X.53)和内网终端B(x.X.X.206)安装打印机驱动。经过客户协调,应急人员拿到当日插入过终端的两个U盘,对其进行排查分析发现,在其中一个U盘中存在U盘病毒文件:打印机驱动.exeO至此,应急人员确认,由于客户单位内部人员在给内网终端A(X.X.X.53)和内网终端B(x.X.X.206)安装打印机驱动时插入带有病毒的U盘,并且在病毒程序运行后,被人为误操作加入白名单,躲过了杀
39、毒软件查杀,导致本次事件发生。(一)防护建议1)在杀毒软件控制中心加黑以下病毒文件的MD5:58fa927cb724122fa5619cf3495dll3esE434F266505B4570A8535201805018E7、8EAAA7D8F86B1B9C99A7E49AF1046711;2)关闭Windows自动播放,防止在插入感染病毒的移动介质后自动运行病毒程序:3)建议部署病毒防护软件,对移动存储设备进行查杀,在确定无病毒的情况下,再进行其他操作;4)非业务需要,禁止未授权移动存储设备接入主机,应使用白名单的方式只允许可信任移动存储设备接入;5)禁止服务器主动发起外部连接请求,对于需要向
40、外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接TP范围进行限制;6)加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。七、某单位财务主管遭微信钓鱼被远控(一)事件概述2023年7月,奇安信接到某单位应急求助,该单位财务主管办公电脑疑似遭遇恶意远程控制,微信聊天记录被恶意删除,同时存在有多个使用公司法人相同头像的微信好友要求其转款,希望能进行协助排查。应急人员到达现场后迅速对涉事终端进行排查发现,存在异常进程以及外联恶意IP(111.230.34.x)通信行为;通过进一步排查发现,此异常进程存放于微信
41、聊天文件默认保存路径中。应急人员通过与涉事人员沟通后了解到,近期该单位多个微信财务群内出现类似“税务相关政策”等关键字的压缩包,并且涉事人员也曾在群内点击下载过该压缩包。随后,应急人员对此压缩包进行排查分析发现,存在远控木马恶意脚本文件。至此,应急人员确认,此次应急事件为大面积针时财税人员的微信钓鱼事件。该电信诈骗团伙使用微信,向财税行业相关群聊发送带有“财税相关政策”等关键字,并且后缀为“.zip”、“.rar”的恶意压缩包,群发后立即退群并删除相关聊天记录:随后,通过利用远程控制软件,恶意监控财税人员办公电脑进行进一步传播扩散,并伺机删除、伪造员工微信中内部领导账号;最后根据企业内部财务流
42、程漏洞实施诈骗。(一)防护建议D建议加强单位内部人员安全防范意识,不随意安装非官方下载正版软件,不随意点开来路不明存在安全隐患的文件及链接,下班及时关闭电脑,防止黑客夜间远程作案;2)建议单位内电脑安装相应的防病毒软件,及时时病毒库进行更新,定期进行全面扫描,加强服务器上的病毒清除能力;加强技术部门日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。八、某企业域名管理权限在暗网被倒卖(一)事件概述2023年7月,奇安信安服应急响应团队接到某企业应急求助,客户反馈公司域名管理权限被挂暗网出售,疑似域控服务器被控制,需要进行溯源处置。经奇安信网
43、络安全威胁情报团队确认,黑客组织在暗网出售客户公司域名管理权限消息属实。应急人员到达现场后,通过排查服务器A(x.x.X.89)并结合态势感知平台的相关记录发现,攻击者(91.90.44.x)通过暴力破解的方式获取服务器A(x.x.x.89)的管理员用户权限,随后通过rdp远程连接到服务器B(x.X.X.84)和服务器C(x.x.x.85后并以服务器C(x.x.x.85)为跳板机rdp远程连接域控服务器(x.x.X.Do应急人员通过与客户进行沟通了解到,服务器A(x.x.x.89)的Web登陆入口开放在互联网。应急人员通过对服务器B(x.X.X.84)和服务器C(x.X.X.85)进行排查分析
44、发现,两台服务器均存在提示有Netlogon特权提升漏洞的恶意文件C:applzl.exe以及密码抓取工具C:applzd.exe;在服务器B(x.x.x.84)上存在密码抓取工具抓取本地hash的结果文件。应急人员通过排查分析域控服务器(x.x.x.l)的相关日志发现,存在被服务器B(x.X.X.84)rdp远程连接,以及ittestad账号登录记录,通过对比记录时间,发现与攻击者暗网售卖域控权限时间一致。应急人员通过和客户进行沟通了解到,ittestad账号是Citrix服务的专用域账号,拥有域管理员的权限可导出所有的域内hash值。至此,应急人员确认,此次事件是由于服务器A(x.X.X.
45、89)的Web登陆入口开放在互联网,并且服务器存在弱口令、以及口令复用的情况被攻击者利用导致。黑容祖织KMP:9190.44.x服务器Ax.x.x.89漏洞昌域投做劣:Sx.xx.1昌I一服务想Bx_xjc.84昌IH霰身器CXXS(二)防护建议1)修改域内所有用户账号密码,系统、应用相关用户杜绝使用弱口令,应使用密码长度大于9,尽量包含大小写字母、数字、特殊符号等的高复杂强度密码,加强管理员安全意识,禁止密码重用的情况出现;2)建议客户对公司整体信息化安全建设进行全面风险评估,确保暴露在互联网及其它网络层面的风险,可被进入内部的方式及风险进一步降低,可被恶意利用的范围能够进一步收窄;3)建议
46、加强社会工程学方面的安全防范,定期对内部员工进行培训、演练,加强邮箱系统本身安全管理,包括但不限于安全邮件产品防护、安全策略调整、安全加固等,非必要不将登陆方式暴露在互联网;4)建议加强各区域间的安全防护能力,包括但不限于安全产品隔离及控制,如防火墙、堡垒机,更要确保安全策略最小化控制,非必要交互的区域相互隔离等安全工作;5)建议对内部系统、系统内部功能组件及其供应链进行调研工作,特别是集权系统如VPN、堡垒机、OA等,确保系统版本为安全版本,内部安全组件为安全版本,供应链本身未出现大型安全泄露事件等风险问题。同时,集权系统不提倡使用纯开源、无售后保障的系统产品,以保证有可靠的漏洞修复及版本提
47、升途径。附录195015网络安全服务热线2022年1月20日,全国首个网络安全行业服务短号95015正式开通。95015是为全国各地政府、企业、相关机构提供网络安全应急响应、合作与咨询服务的电话专线。“安全快一步,95015,95015网络安全服务热线,由北京2022年冬奥会和冬残奥会官方网络安全服务和杀毒软件赞助商奇安信集团,在北京冬奥会开幕前夕正式推出。在北京2022年冬奥会和冬残奥会期间,95015是承载全国各地政企机构网络安全保障工作的重要支撑平台,同时也是全国各地重大网络安全事件应急响应的绿色通道,是全国冬奥网络安全保障工作中的关键一环。北京冬奥会结束后,95015网络安全服务热线将永久保留,持续为全国各地政企机构提供网络安全应急响应、合作与咨询服务。奇安信集团董事长齐向东表示,“95015是我国第一个网络安全服务短号,是北京冬奥会网络安全保
