2020年上半年网络安全应急响应分析报告.pdf

2020 年上半年 网络安全应急响应 分析报告 2020 年 7 月 主要观点 2020 年上半年奇安信集团安服团队应急响应接到服务需求 367 起，政府部 门、医疗卫生和事业单位等行业的办公终端和业务服务器是 2020 年上半年 攻击者攻击的主要目标，攻击手段也多以窃取重要数据、扰乱业务正常运营 为主。出于各种意图的网络安全攻击不会停止，攻击对象更具针对性。 2020 年上半年网络安全应急响应事件发生的主要原因除系统、网络环境存 在漏洞外，大概率的网络安全事件主要归结为内部问题，如内部员工的不规 范操作、内部人员数据泄露等问题，随意转发重要资料导致信息泄露等。政 企机构应加大力度提升内部员工网络安全防范意识，培养严谨的网络安全观 念至关重要。 2020 年上半年，政企机构应急攻击事件发现分析中，有 41.7%的政企机构 是在遭受勒索攻击后才发 现系统被攻陷。这一方面是由于攻击者针对性的攻 击较多，另一方面则反映出政企机构仍缺乏足够的安全监测能力，忽视内部 漏洞检测和修复动作。政企机构应完善网络安全防御体系，构建内部网络纵 深防护能力，以应对新常态下的各种网络安全威胁。 疫情防控工作下，政企机构应更好的 反思自身网络安全环境存在的弊端，审 视当下网络安全治理是否满足国家网络安全治理要求。进一步推动和完善网 络安全应急响应预案和演练工作， 对突发事件作出及时响应和处置，避免突 发事件扩大、升级，最大限度的 减少突发事件造成的损失和影响。完善应急 响应预案和演练机制仍然是 大中型政企机构日常管理运营的重要工作之一。 网络安全应急响应需要政府机构、安全厂商、企业之间加强合作，形成多方 参与的生态链，取长补短才能共同完成。网络安全厂商作为生态链中的创新 主体，应基于实现内生安全、数据驱动的安全服务运营理念，积极开展网络 安全事件的预防、发现、预警和协调等工作，为客户提供咨询规划、威胁检 测、攻防演习、持续响应、预警通告、安全运营等一系列的安全保障服务。 摘 要 2020 年上半年奇安信集团安服团队共参与和处置了全国范围内 367 起的网 络安全应急响应事件。 2020 年上半年应急处置事 件最多的行业 TOP3 分别为：政府部门行业（ 69 起）、医疗卫生行业（ 59 起）以及事业单位（ 39 起），事件处置数分别占应 急处置所有行业的 18.8%、 16.1%、 10.6%。 2020 年上半年奇安信安服团队参与处置的所有政府机构和企业的网络安全 应急响应事件中，由行业单位自行发现的安全攻击事件占 93.8%，其中有 41.7%的政企机构是在遭受勒索攻击后才发现系统被攻击；而另有 6.2%的 安全攻击事件则是由监管机构及第三方平台通报得知。 2020年上半年应急安全事件的影响范围主要集中在业务专网，占比 69.8%； 办公终端， 占比为 30.2%。 2020 年上半年应急安全事件中，攻击者对系统的攻击所产生的影响主要表 现为数据丢失、系统 /网络不可用、生产效率低下。 2020 年上半年应急安全事件中，敲诈勒索、黑产活动仍然是攻击者攻击大 中型政企机构的主要原因。 2020 年上半年大中型政企机构安全事件攻击类型，排名前三的类型分别 是：恶意程序，占比 58.6%；漏洞利用，占比 24.5%；钓鱼邮件，占比， 5.2%。 2020 年上半年安服团队共参与和处置了医疗卫生行业网络安全应急响应事 件 59 起，其中， 94.9%的安全攻击事件是由行业自行发现， 5.1%为监管机 构及第三方平台通报得知；受影响范围主要分为业务专网占比 66.1%，办 公终端占比 33.9%；攻击所产生的影响主要表现为系统 /网络不可用、数据 丢失和数据被篡改等；攻击类型主要表现在：恶意程序，占比 61.0%；漏 洞利用，占比， 30.5%；钓鱼邮件，占比 3.4%，其次为拒绝服务攻击和网 络监听攻击。 关键词： 应急响应、安全服务、黑产、敲诈、勒索病毒 目 录 第一章 2020 年上半年应急 . 1 第二章 应急事件受害者分析 . 2 一、 行业现状分析 . 2 二、 事件发现分析 . 2 三、 影响范围分析 . 3 四、 攻击影响分析 . 4 第三章 应急事件攻击者分析 . 5 一、 攻击意图分析 . 5 二、 攻击类型分析 . 5 三、 恶意程序分析 . 6 四、 漏洞利用分 析 . 7 第四章 典型事件案例分析 . 9 一、 某运输公司员工敏感数据泄露致内网 20 多台机器受感染事件 . 9 （一） 事件概述 . 9 （二） 防护建议 . 9 二、 某大型企业挖矿木马事件处置 . 9 （一） 事件概述 . 9 （二） 防护建议 . 10 三、 某政府单位服务器因 SQL 注入漏洞被攻陷事件 . 10 （一） 事件概述 . 10 （二） 防护建议 . 11 四、 某国有企业勒索病毒 Hermes837 事件处置 . 11 （一） 事件概述 . 11 （二） 防护建议 . 11 第五章 医疗卫生行业分析专题 . 13 一、 月度分布分析 . 13 二、 事件发现分析 . 13 三、 影响范围分析 . 14 四、 攻击影响分析 . 14 五、 攻击意图分析 . 15 六、 攻击类型分析 . 15 七、 恶意程序分析 . 16 八、 漏洞利用分析 . 16 九、 医疗行业应急典型案例 . 17 案例一：某市医药公司 OA 系统失陷，造成数 据泄露 . 17 案例二：某省三甲医院感染 Crysis 勒索病毒事件 . 18 案例三：某市华侨医院网站存在任意文件上传漏洞，导致多台主机沦陷 . 19 附录 1 奇安信集团安服团队 . 20 附录 2 应急响应工具箱介绍 . 21 第一章 2020 年上半年应急 2020 年 1-6 月奇安信集团安服团队共参与和处置了全国范围内 367 起网络安全应 急响应事件，第一时间协助用户处理安全事故，确保了用户门户网站、数据库和重要业 务系统的持续安全稳定运行。 应急响应服务 2020 年月度统计情况具体如下： 2020 年上半年奇安信安服应急事件共处置 367 起，投入工时为 5171 小时，折合 646.4 人天 ， 同比 2019 年上半年下降 40.1%。通过对下降原因进行分析，主要分为以下 两点： 1) 2020 年上半年受疫情影响，大部分政企机构的生产活动处于暂停或半暂停状 态，客观上减少了安全事故的发生率； 2) 2019 年 3 月份，“永恒之蓝下载器 ” 木马攻击事件全面爆发， 2020 年暂无突发 性的、感染性较强的新型木马病毒的出现。 第二章 应急事件受害者分析 为进一步提高大中型政企机构对突发安全事件的认识和处置能力，增强政企机构安 全防护意识，对 2020 年上半年处置的所有应急事件从政企机构被攻击角度，对受害者 行业分布、攻击事件发现方式、影响范围以及攻击行为造成的现象进行统计分析， 直观 呈现上半年政企机构内部网络安全情况。 一、 行业现状分析 2020 年上半年应急处置事件最多的行业 TOP3 分别为：政府部门行业（ 69 起）、医 疗卫生行业（ 59 起）以及事业单位（ 39 起），事件处置数分别占应急处置所有行业的 18.8%、 16.1%、 10.6%。 大中型政企机构应急行业分布 TOP10 详见下图： 从行业报告排名可知， 2020 年上半 年攻击者的攻击对象主要分布于政府机构、事业 单位以及医疗行业， 上半年 接近 半数的应急事件均发生于上述三个均属国家机构的行业。 由此可见， 2020 年上半年 针对我国 的网络攻击 更具针对性。 二、 事件发现分析 2020 年上半年奇安信安 服团队参与处置的所有政府机构和企业的网络安全应急响 应事件中，由行业单位自行发现的安全攻击事件占 93.8%，其中被攻击者勒索后才发现 被攻击达 41.7%，另有 6.2%的安全攻击事件政府机构和企业是在得到了监管机构及第三 方平台通报才得知已被攻击。 从 41.7%被攻击者勒索才 发现 安全 事件可以看出 ，大中型政企机构仍然普遍缺乏足 够的安全监测能力， 很难自主发现那些隐蔽性较好的网络威胁。外部通报形式的发现方 式占据了 6.2%的比例，也从侧面反映出政企机构网络安全建设仍需持续完善，内部网络 安全监测能力仍然有待提高。 三、 影响范围分析 2020 年上半年应急安全事件的影响范围主要集中在业务专网 占比 69.8%。其次为办 公终端 占比为 30.2%。根据受影响区 域分布 对受影响设备数量进行了统计，上半年失陷 的设备中， 3070 台办公终端受到影响， 2777 台服务器被攻陷。 从影响范围和受影响设备数量可以看出，大中型政企机构的业务专网、办公终端为 攻击者攻击的主要攻击目标。其中办公终端被攻陷数量较多，多为内部安全意识不足导 致被攻击者轻易利用，进而对服务器、业务专网进行了进一步的攻击，常见如：攻击者 利用员工安全意识的薄弱通过钓鱼邮件获取了办公终 端的权限，进而内部投毒、横向扩 散感染内部服务器，获取重要数据或者通过敲诈勒索的方式牟取非法暴利。 大中型政企机构应在强化对业务专网的安全防护建设的同时，提高内部人员安全防 范意识，加强对内网中办公终端、重要服务器的安全防护保障和数据安全管理。 四、 攻击影响分析 2020 年上半年 ,大中型政企机构遭受攻击影响后果显示，攻击者对系统的攻击所产 生的影响主要表现为数据丢失、系统 /网络不可用、生产效率低下、数据被篡改等。 上述数据中，导致数据丢失占比 25.6%，攻击者通过对大中型政企机构重要服务器 及数据库进行攻击，导致数 据被破坏或丢失等后果； 系统 /网络不可用占比 22.1%，主要表现为攻击者通过对系统持续性攻击，直接造成 业务系统宕机，网络不可用； 生产效率低下占比 21.8%，攻击者主要通过挖矿、蠕虫、木马等病毒木马类的攻击 手段使服务器 CPU 占用率异常高，造成生产效率低下； 同时，数据被篡改、声誉影响也是政企机构被攻击后产生的现象，造成的后果也是 非常严重的。 第三章 应急事件攻击者分析 应急响应事件攻击者分析以 2020 年上半年大中型政企机构所有应急数据为支撑， 从攻击者角度对攻击者攻击意图、攻击类型攻击者常用木马以及攻击者常见漏洞利用方 式进行分析 ， 为各政企机构安全防护、制定应急处突方案提供参考依据。 一、 攻击意图分析 2020 年上半年应急事件中，攻击者攻击意图主要为敲诈勒索、黑产活动、窃取重要 数据和内部违规操作。 内部违规中，内部人员为了方便工作或出于其他原因将内部业务端口映射至外网的 违规操作需要引起大中型企业的重视。政企机构在完善整体安全防护体系建设时，应将 内部员工网络安全意识作为重要模块进行培训，可以通过网络安全培训、定期举办攻防 演习、应急演练等方式加强内部人员的网络安全意识。 二、 攻击类型分析 通过对 2020 年上半年大中型政 企机构安全事件攻击类型进行分析，排名前三的类 型分别是：恶意程序 占比 58.6%；漏洞利用 占比 24.5%；钓鱼邮件占比 5.2%。恶意程序 中蠕虫病毒攻击占比 61.4%，木马攻击（非蠕虫病毒）攻击占比 38.6%。 蠕虫病毒和木马，由于传播速度快、感染性强等特征成为最受攻击者青睐的攻击手 段，攻击者利用病毒、木马对办公系统进行攻击，通常会产生大范围感染，造成系统不 可用、数据损坏或丢失等现象； 漏洞利用则是攻击者利用政企机构网络安全建设不完善的弊端，使用常见系统漏洞、 Web 漏洞等，对服务器进行的破坏性攻 击，通常会导致重要数据丢失、泄露、内部投毒、 敲诈勒索等严重后果； 除此之外，钓鱼邮件、网页篡改、网络监听攻击等也是较为常见的攻击类型。因此， 2020 年大中型政企机构应做好日常安全防范工作，定期巡检，及时发现威胁并有效遏 制。 三、 恶意程序分析 2020 年上半年大中型政企机 构安全事件遭受攻击恶意程序中，占比较多的木马病 毒分别为勒索病毒 总占比 51.6%；挖矿木马 占比 23.8%；以及一 般木马 占比 10.5%。 上半年最常见的勒索病毒 是 GlobeImposter 勒索病毒、 Wannacry 勒索 病毒、 Phobos 勒索病毒、 Satan 勒索 病毒以及相关变种病毒。 大中型政企机构应更清楚的 认识到木马 病毒对我们的服务器、数据库所造成的严重损害，加强内部网络安全建设，针对多变种 勒索病毒、挖矿木马以及随时可能出现的新型病毒制定完善的应急方案和安全防护措施， 将应急常态化。 四、 漏洞利用分析 2020 年上半年应急响应事件攻击类型中，对漏洞利用部分进行统计分析，发现弱口 令、永恒之蓝漏洞是大中型政企机构被攻陷的重要原因，其次，服务器配置不当、服务 器漏洞也经常作为攻击者日常利用的攻击手段。 弱口令、永恒之蓝漏洞需要引起政企机构关注，全面的安全管理策略、内部漏洞检 测和日常修复动作不容忽视。除弱口令、永恒之蓝漏 洞以及服务器漏洞外， Web 漏洞常 见如：任意文件上传、 SQL 注入、 JAVA 反序列化也是攻击者最常利用的漏洞，攻击者通 过利用某一漏洞入侵系统，传播病毒，获取重要数据以达到敲诈勒索、牟取暴利等意图。 政企机构应加大内部巡检力度，定期对设备、终端进行漏洞扫描、 修复。定期更换 服务器、终端登录密码、加大密码复杂度，不给攻击者任何可乘之机。 第四章 典型事件案例分析 2020 年上半年奇安信安全服务团队共接到全国各地应急求助 367 起，涉及全国 31 个省市， 23 个行业， 包括医疗卫生，大中型政企机构、事业单位等。发生的安全事件包 括各种变种勒索病毒、挖矿木马、漏洞利用等不同事件类型，均不同程度地给大中型政 企机构带来经济损失和恶性的社会影响。 一、 某 运输 公司员工 敏感数据泄露 致内网 20 多台机器受感染 事件 （一） 事件概述 2020 年 2 月 ， 安服团队接到某 运输 公司 应急请求， 该公司 通过天眼发现存在服务器 失陷的危急告警。 应急人员通过分析天眼发现，该公司内部环境中 20 余台服务器出现失陷告警，其 中 两台重要 服务器 上 发现被植入后门，服务器已沦陷，同时多台服务器上均发现 Frp 代 理、 CobaltStrike 上线脚本与漏洞利用工具使用痕迹，攻击者正在通过 Frp 代理对内网 服务器进行 SQL 注入漏洞攻击。 通过人工排查，发现该公司内部某员工上传敏感信息到 GitHub 中，导致敏感数据 泄露，攻击者利用该员工账号登录 VPN 对 该公司 某重要 服务器发起攻击，并利用 Redis 未授权访问漏洞获得权限，上传 Frp 代理工具、 MS17-010 等漏洞利用工具，进行内 网横 向渗透，成功攻下内网服务器、主机 20 余台，并利用已攻陷机器在内网中进行横向攻 击。 （二） 防护建议 1) 定期进行内部人员安全意识培养，禁止将敏感信息私自暴露至公网，禁止点击 来源不明的邮件附件等； 2) 为 Redis 服务添加密码验证，为 Redis 服务创建单独的 user 和 home 目录，并 且配置禁止登陆，低权限运行 Redis 服务； 3) 加强日常安全巡检制度，定期对系统配置、系统漏洞、安全日志以及安全策略 落实情况进行检查，及时修复漏洞（如 MS17-010 漏洞等 ）、安装补丁，将信息 安全工作常态化； 4) 建议配置 VPN 登录的双因素认证，如 增加手机短信验证码认证等，严格控制用 户登录，防止账号信息被盗用。 二、 某大型企业挖矿木马事件处置 （一） 事件概述 2020 年 6 月， 安服应急响应团队 接到 某大型企业 的 应 急响 应请 求 ，该企业服 务 器存 在被种植挖矿木马病毒程序，态势感知出现病毒告警，要求 对 服 务 器后 门进 行排 查 ，同 时对攻击来源进行追溯。 应急人员经过排查，发现该企业内部已有 38 台服务器受到 SystemdMiner 挖矿木马 最新变种 病毒的感染， 存在内网横向传播的情况 ，且服务器中 均 未安装杀毒软件 。通过 对病毒样本和受感染机器的日志分析，确定 攻击者利用 该企业 已存在 未授权 漏洞的 堡垒 机和服务器作为跳板机，获得 了 主机控制权限 ， 上传 SystemdMiner 挖矿木马程序，并 配置计划任务，定时连接矿池域名， 又 利用 Consul rce /Hadoop rce /Jenkins rce/PostgreSQL rce、主机系统弱口令漏洞入侵 IDC 机房 其他 主机操作系统 ， 利用自动 化运维工具 (salt/ansible/chef-knife)横向传播 ， 利用失陷主机本地保存的 SSH 密钥 传播自身 ，最 终 触发了态势感知病毒告警。 （二） 防护建议 1) 将已检测到的矿池相关非法域名，通过安全防护设置将其加入黑名单列表，并 设置安全策略为阻断访问 ； 2) 系统、应用相关用户杜绝使用弱口令，应使用高复杂强度的密码，加强内部人 员安全意识，禁止密码重用的情况出现； 3) 增强内部人员密码管理意识，禁止将密码进行本地保存； 4) 建议安装防病毒软件，及时对病毒库进行更新，并且定期进行全面扫描，加强 服务器上的病毒发现及清除能力； 5) 加强日常安全巡检制度，定期对系统配置、系统漏洞、安全日志以及安全策略 落实情况进行检查，及时修复漏洞、安装补丁，将信息安全工作常态化 。 三、 某政府单位服务器因 SQL 注 入漏洞 被攻陷事件 （一） 事件概述 2020 年 6 月 ， 安服应急响应团队 接到 某政府单位 应急响应请求， 该单位员工 发现天 眼存在 SQL 注入告警，需要上机排查服务器是否存在异常 。 应急人员在到达现场后，根据天眼 SQL 注入告警，首先对数据库服务器 进行 排查 ， 发 现 该 服 务 器 存 在 大 量 “powershell.exe” 和 “mshta.exe” 进程 。 通过 对 “powershell.exe” 进程 进行 解密，确定该进程为攻击者的远控进程 。 结合天眼流量分 析， 确定攻击者 于 1 天前凌晨 3 时 11 分左右，利用 SQL 注入漏洞，对该服务器进行命 令执行攻击 。 查询服务器用户，发现可疑隐藏账户。对业务服务器进行排查发现有 Webshell 后门脚本文件 “1.aspx” 和 “index.aspx” 。 最终确定攻击者利用业务服务器登录处的 SQL 注入漏洞，进行任意命令执行 ，并创 建 隐藏账户 、上传后门文件 。因该业务服务器和数据库服务器为站库分离设计，故导致 业务服务器和数据库服务器均被攻陷 。 （二） 防护建议 1) 对用户输入内容进行检查与验证。检查所输入字符串变量的内容，使用白名单， 只接受所需的值，拒绝包含二进制数据、转义序列和注释字符的输入内容，限 制用户输入内容的大小和数据类型，对输入内容进行强制转换等； 2) 重要业务系统及核心数据库应设置独立的安全区域，做好区域边界的安全防御 工作，严格限制重要区域的访问权限并关闭不必要、不安全的服务； 3) 禁止重要服务器主动发起外部连接请求，对于需要向外部服务器推送共享数据 的，应使用白名单的方式，在出口防火墙加入相关策略，对主动连接 IP 范围 进行限制； 4) 部署高级威胁监测设备，及时发现恶意网络流量，同时可进一步加强追踪溯源 能力，对安全事件发生时可提供可靠的追溯依据； 5) 建议在服务器上部署安全加固软件，通过限制异常登录行为、开启防爆破功能、 防范漏洞利用等方式，提高系统安全基线，防范黑客入侵。 四、 某国有企业勒索病毒 Hermes837 事件处置 （一） 事件概述 2020 年 3 月， 安服应急响应团队 接到 某国有企业 应急响应请求， 该企业感染勒索病 毒、多个主机文件被加密，要求协助对攻击路径进行溯源。 应急人员通过对主机 /服务器的进程、文件、日志等排查分析，发现主机审核策略 配置存在缺陷，部分审计未开启，系统被植入恶意程序等现象，确认多台机器感染 Hermes837 勒索病毒，被病毒加密后的文件后缀为 “ Hermes837”。 攻击者利用 IPC 暴力破解，成功登陆内网主机和办公主机，在办公主机进行安装 TeamViewer，创建 ProcessHacker 服务，修改密码等一系列操作，以内网主机为跳板， 在 SMB 服务器安装恶意程序 KProcessHacker 。最终导致多台机器感染 Hermes837 勒索 病毒，文件被加密。 （二） 防护建议 1) 系统、应用相关用户杜绝使用弱口令，应使用高复杂强度的密码，加强内部人 员安全意识，禁止密码重用的情况出现； 2) 加强日常安全巡检制度，定期对系统配置、系统漏洞、安全日志以及安全策略 落实情况进行检查，及时修复漏洞、安装补丁，将信息安全工作常态化 ； 3) 建议在服务器上部署安全加固软件，通过限制异常登录行为、开启防爆破功能、 禁用或限用危险端口（如 3389、 445、 139、 135 等）、防范漏洞利用等方式，提 高系统安全基线，防范黑客入侵； 4) 配置并开启相关关键系统、应用日志，对系统日志进行定期异地归档、备份，避 免在攻击行为发生时，导致无法对攻击途径、行为进行溯源等，加强安全溯源 能力； 5) 建立安全灾备预案，一旦核心系统遭受攻击，需要确保备份业务系统可以立即 启用；同时，需要做好备份系统与主系统的安全隔离工 作，避免主系统和备份 系统同时被攻击，影响业务连续性。 第五章 医疗卫生行业分析专题 医疗卫生行业的网络安全问题，直接影响到抗疫工作的顺利展开，本次半年报我们 特别针对医疗卫生行业的应急响应状况进行一次专题报告。 一、 月度分布分析 2020 年 1-6 月奇安信集团安服团队应急响应医疗卫生行业救援服务 59 起，占 2020 年上半年各行业应急事件的 16.1%。 3 月、 5 月医疗卫生行业应急次数较多，分别占上半 年医疗卫生行业应急总数的 22.0%、 28.8%。 二、 事件发现分析 2020 年上半年医疗卫生行业相关的网络安全应急事件中，自行发现的安全攻击事 件占 94.9%，其中有 52.5%安全事件是在遭到攻击者勒索后后知后觉；另有 5.1%的安全 攻击事件是通过监管机构及第三方平台通报得知。 三、 影响范围分析 2020 年上半年 医疗卫生行业相关的网络安全应急事件的影响范围主要集中在业务 专网 占比 66.1%；办公终端 占比 33.9%。在受影响的设备中，办公终端有 415 台，服务 器有 239 台。 四、 攻击影响分析 2020 年上半年医疗卫生行业被攻陷系统影响后果进行分析研究，造成系统、网络不 可用和数据丢失事 件较多，其中，导致系统 /网络不可用安全事件占比 32.2%；导致数据 丢失占比 28.8%，其次为数据被篡改、生产效率低下、数据泄露等不良影响。 五、 攻击意图分析 2020 年上半年 ，攻击者针对医疗卫生行业的攻击意图主要是敲诈勒索，牟取暴 利 。 六、 攻击类型分析 2020 年上半年医 疗卫生行业应急响应处置事件中常见的攻击类型主要表现在：恶 意程序 占比 61.0%；漏洞利用占比 30.5%；钓鱼邮件 占比 3.4%，其次为拒绝服务攻击和 网络监听攻击。 七、 恶意程序分析 2020 年上半年医疗 卫生行业安全事件遭受攻击常见恶意程序主要为勒索病毒 占比 70.2%；挖矿木马 占比 10.6%；以及一般木马占比 8.5%。其中勒索病毒多以 GlobeImposter 勒索病毒及其变种病毒较多。 八、 漏洞利用分析 2020年上半年医疗卫生行业应急响应处理漏洞利用攻击事件中，弱口令 占比 59.3%； 永恒之蓝 占比 24.0%；服务器漏洞 占比 9.3%。 九、 医疗行业应急 典型案例 案例一：某市医药公司 OA 系统失陷，造成数据泄露 事件概述 2020 年 3 月， 安服应急响应团队接到某市医药公司应急请求，公司 DMZ 服务器区 出口地址存在外连行为。 应急人员排查分析，发现对外攻击的 IP 为该公司内网 某 系统的出口地址，因 该 系 统供应商要求对系统进行远程维护，特将服务器的 3389 端口映射到出口地址的 3389 端 口。通过对 IPS、负载均衡、防火墙以及服务器系统日志进行分析排查，发现内网 某 系 统存在多个地区和国家的 IP 通过 3389 端口远程登录记录和木马文件。对 该 服务器系统 部署文件进行排查，发现此服务器存在任意文件写入漏洞，并且发现两个 Webshell 后 门。 经分析研判最终 确定，攻击者通过内网 某 系统映射在公网的 3389 端口进行远程登 录，并上传 Webshell 后门 1，用于执行系统命令；利用 该 系统任意文件写入漏洞，上传 Webshell 后门 2，用于上传任意文件，写入恶意木马文件，对外网发起异常连接，进行 数据传输。 防护建议 1) 加强日常安全巡检制度，定期对系统配置、系统漏洞、安全日志以及安全策略 落实情况进行检查，及时修复漏洞、安装补丁，将信息安全工作常态化； 2) 加强设备权限管理，对敏感目录进行权限设置，限制上传目录的脚本执行权限， 不允许配置执行权限等； 3) 建议在服务器上部署安全加固软件，通 过限制异常登录行为、开启防爆破功能、 禁用或限用危险端口（如 3389、 445、 139、 135 等）、防范漏洞利用等方式，提 高系统安全基线，防范黑客入侵； 4) 禁止服务器主动发起外部连接请求，对于需要向外部服务器推送共享数据的， 应使用白名单的方式，在出口防火墙加入相关策略，对主动连接 IP 范围进行限 制； 5) 建议安装相应的防病毒软件，及时对病 毒库进行更新，并且定期进行全面扫描， 加强服务器上的病毒清除能力。 案例二：某省三甲医院感染 Crysis 勒索病毒事件 事件概述 2020 年 2 月， 安服应急响应团队接到某省三甲医院应急请求，多台服务器文件被勒 索病毒加密，业务无法正常运行，请求溯源和应急处置。 应急人员对该医院被感染的服务器进行排查分析，判断医院主机服务器感染了 Crysis 勒索病毒， 且发现该医院多台服务器防病毒软件授权已到期。 进一步排查发现服 务器 A 对外网开放了远程桌面服务，同时在内网多台主机和服务器中发现了 RDP 爆破痕 迹，且除服务器 A 外，内网中其他多台主机和服务器 RDP 服务登录密码均为弱口令。 经排查研判后最终确定，攻击者利用服务器 A 远程桌面服务暴露在外网和弱口令的 弱点进行了暴力破解，并 成功获取服务器 A 控制权，进而以服务器 A 作为跳板，对位于 内网中的服务器 B 进行 RDP 弱口令爆破，爆破成功后，利用服务器 B 对内网中其他主机 进行爆破并手动投放 Crysis 勒索病毒横向扩散。 防护建议 1) 系统、应用相关用户杜绝使用弱口令，应使用高复杂强度的密码，尽量包含大 小写字母、数字、特殊符号等的混合密码，加强管理员安全意识，禁止密码重 用的情况出现； 2) 建议安装相应的防病毒软件，及时对病毒库进行更新，并且定期进行全面扫描， 加强服务器上的病毒清除能力； 3) 加强日常安全巡检制度，定期对系统配置、系统漏洞、安全日志以及安全策略 落实情况进行检查，及时修复漏洞、安装补丁，将信息安全工作常态化； 4) 建议在服务器上部署安全加固软件，通过限制异常登录行为、开启防爆破功能、 禁用或限用危险端口（如 3389、 445、 139、 135 等）、防范漏洞利用等方式，提 高系统安全基线，防范黑客入侵； 5) 建立安全灾备预案，一旦核心系统遭受攻击，需要确保备份业务系统可以立即 启用；同时，需要做好备份系统与主系统的安全隔离工作，避免主系统和备份 系统同时被攻击，影响业务连续性。 案例三：某市华侨医院网站存在任意文件上传漏洞，导致多台主机沦陷 事件概述 2020 年 3 月 ， 安服团队接到某市华侨医院应急请求，医院服务器被入侵。 应急响应人员通过网站的安全性检测以及系统日志分析发现，网站 xxx:999 存在任意文件上传漏洞，同时发现内网多台主机存在 MS17-010 漏洞，并且存在被暴力 破解的记录。 最终通过对系统的检查和分析确定，攻击者首先对网站 xxx:999进行访问， 在该网站中发现了任意文件上传漏洞，并对其进行利用，通过上传 ASP 类型的 Webshell 获取了服务器的管理员权限，进而以该沦陷服务器为跳板机，利用内网多台主机中存在 的 MS17-010 漏洞、 RDP 弱口令等对其进行攻击，导致多台内网终端沦陷。 防护建议 1) 系统、应用相关用户杜绝使用弱口令，应使用高复杂强度的密码，尽量包含大 小写字母、数字、特殊符号等的混合密码，加强管理员安全意识，禁止密码重 用的情况出现； 2) 对系统文件上传功能，采用白名单上传文件，不在白名单内的一律禁止上传， 上传目录权限遵循最小权限原则； 3) 加强权限管理，对敏感目录进行权限设置，限制上传目录的脚本执行权限，不 允许配置执行权限等； 4) 建议对内网服务器及主机开展安全大检查，检查的范围包括但不限于系统漏洞 检测（如 MS17-010 漏洞、任意文件上传漏洞等）、 后门检测，并及时进行漏洞 修复、补丁安装、后门清理等工作； 5) 加强日常安全巡检制度，定期对系统配置、网络设备配合、安全日志以及安全 策略落实情况进行检查，常态化信息安全工作。 附录 1 奇安信集团安服团队 奇安信是北京 2022 年冬奥会和冬残奥会官方网络安全服务和杀毒软件赞助商，作为中国 领先的网络安全品牌，奇安信多次承担国家级的重大活动网络安全保障工作，创建了稳定可靠 的网络安全服务体系 全维度管控、全网络防护、全天候运行、全领域 覆盖、全兵种协同、 全线索闭环。 奇安信安全服务以攻防技术为核心，聚焦威胁检测和响应，通过提供咨询规划、威胁检测、 攻防演习、持续响应、预警通告、安全运营等一系列实战化的服务，在云端安全大数据的支撑 下，为客户提供全周期的安全保障服务。 应急响应服务致力于成为“网络安全 120”。 2016 年以来，奇安信已具备了丰富的应急响应 实践经验，应急响应业务覆盖了全国 31 个省份，处置政企机构网络安全应急事件超过两千起， 累计投入工时 25000 多个小时，为全国超千家政企机构解决网络安全问题。 推出应急响应训练营服务，将一线积累 的丰富应急响应实践经验面向广大政企机构进行网 络安全培训和赋能，帮助政企机构的安全管理者、安全运营人员、工程师等不同层级的人群提 高网络安全应急响应的能力和技术水平。奇安信正在用专业的技术能力保障着企业用户的网络 安全，最大程度的减少了安全事件所带来的经济损失以及恶劣的社会负面影响。 应急响应 7*24 小时热线电话： 4009-727-120 附录 2 应急响应工具箱介绍 奇安信应急响应工具箱是一款集成奇安信安全情报及专家分析经验的自动化应急响应工具， 旨在解决应急响应人效低、应急处置标准化程度低、处置人员能力不足 等痛点。应急响应工具 箱源于实战、用于实战，是真正解决客户痛点的产品箱，而不是常见工具的简单集成。 应急 响应工具箱 在产品设计阶段就引入了大量的应急响应专家，也经历了安服团队多年来 的实战使用和不断改进，在应急响应服务、攻防演习服务、重要时期安全保障服务等业务中都 有充分应用。 依托奇安信行业领先的攻防研究能力，内置了威胁情报、专家知识库、分析模型和众多检 测工具（日志关联分析工具、 APT 检查工具、恶意代码检查工具、 Webshell 后门检查工具、漏 洞检查工具、暗链检查工具等），保障了检测、分析效率和准确度。奇安信将 应急响应工具的自 动化分析能力，提升到一个新的高度，能够进行多维度的线索关联分析、基于情报的事件溯源、 多场景的线索分析。 应急响应工具箱最大 程度 上 实现了 自动化 的 威胁 检测和 关联 分析 ，并 经过了 奇 安信 安全 服 务多年来的实战 检验， 能够 降低应急 响应的技术 难度，赋能用户。同时 ，具有高集成 化 的特点， 覆盖了 应急响应全过程 所需要的 各类支撑 功能 并简化 了操作， 也内置了 应急流程，并配套相关 模板 ， 将应急响应工作规范化 。