95015网络安全应急响应分析报告（2023上半年）

主要观点金融行业是2023年上半年网络安全应急响应事件最为高发然构成严重威胁。当前国内绝大多数政企机构在网络安全基础设施建设和网络安全运营能力方面存能发现安全问题；另一方面，攻击者利用弱密码、永恒之蓝等常规漏洞攻击主机、近三分之一。迫在眉睫。过实际的攻击模拟和防御演练，企业可以更好地发现和识别可能存在的安全漏洞，摘要47.6%的政企机构，是在系统已经出现了非常明显的入侵迹象后进行的报案求助；达98起。这一数量仅次于黑产活动(106起)，超过了以窃取重要数据(71起)和敲诈勒索(68起)等为目的的外部网络攻击事件的数量。段的网络攻击最为常见，占比为34.3%，其次是漏洞利用，占第一章网络安全应急响应形势综述 1第二章应急响应事件受害者分析 2 第三章应急响应事件攻击者分析 5 第四章应急响应典型案例分析 9 (一)事件概述 9(二)防护建议 10 (一)事件概述 10(二)防护建议 11 (一)事件概述 11(二)防护建议 12 (一)事件概述 12(二)防护建议 13 (一)事件概述 13(二)防护建议 14 ©奇安信集团第1页，共18页第一章网络安全应急响应形势综述等的持续安全稳定运行。©奇安信集团第2页，共18页第二章应急响应事件受害者分析从安全事件的发现方式来看，47.6%的政企机构，是在系统已经出现了非常明显的©奇安信集团第3页，共18页所示。©奇安信集团第4页，共18页。要目标。露的主要原因是黑客的入侵和内部人员的泄密。©奇安信集团第5页，共18页第三章应急响应事件攻击者分析、恶意全件展开分析。攻击者是出于何种目的发起的网络攻击呢？应急人员在对网络安全事件进行溯源黑产活动(106起)、超过了窃取重要数据(71起)和敲诈勒索(68起)等为目的的外件的数量。活动牟取暴利。©奇安信集团第6页，共18页C。©奇安信集团第7页，共18页名称66433222©奇安信集团第8页，共18页题。©奇安信集团第9页，共18页第四章应急响应典型案例分析制应急人员到达现场后，对受害数据库服务器(x.x.x.31)进行排查以及结合勒索信和加密应用日志以及现场安全防护软件云端日志进行排查后发现，外网攻击者(92.63.196.x)对数据库服务器(x.x.x.31)有大量暴力破解行为，并成功入侵服务器(x.x.x.31)下载安装远程桌ipC弱口令，被攻击者利用，成功获取该服务器(x.x.x.31)权限，随后以服务器(x.x.x.31)为©奇安信集团第10页，共18页1)系统、应用相关用户杜绝使用弱口令，应使用高复杂强度的密码，尽量包含大小写字2)配置必要的防火墙并开启防火墙策略，防止暴露不必要的服务为黑客提供利用条件；生时可提供可靠的追溯依据；及服务器之间的访问，采用白名单机制只允许开放特定的业务必要端口，其他端口一3123.aspx。应急人员对上传点/xx/admin/settings/ttemplet_file_edi©奇安信集团第11页，共18页1)配置必要的防火墙并开启防火墙策略，防止暴露不必要的服务为黑客提供利用条件；2)加强权限管理，对敏感目录进行权限设置，限制上传目录的脚本执行权限，不允许配4)开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作，主动发现5)加强日常安全巡检制度，定期对系统配置、网络设备配合、安全日志以及安全策略落。急人员到达现场对被劫持页面进行排查发现，只有访问特定页面时才会出现劫持现象，构造请求访问这两个地址发现，访问时会自动加载一个包含大量的广告、色情地址以及跳转代由器的问题。急人员在用户同意后尝试从攻击者角度对路由设备进行测试发现，该款路由器存在命令©奇安信集团第12页，共18页接访问到该路由器。因此应急人员推测，用户购入该路由器时已经存在劫持代码，由于路由器址进行封堵，应急结束。1)建议运营商在用户网络出口上对相关恶意地址进行封堵；2)在购买产品时，务必确保从官方渠道进行购买，避免从非官方或可疑的第三方渠道购量产品的风险。病毒，服务器系统资源占用较高，影响业务正常运行，希望能对受害服务器进行排查，并溯源应急人员到达现场后，对该企业运维人员提供的外联恶意挖矿域名进行分析，确定该服务器感染WatchDogs挖矿病毒。对受害服务器(x.x.x.80)系统进程和计划任务进行排查，发现任务、结束恶意进程后，服务器(x.x.x.80)处理器资源占用率恢复到正常状态。随后，应急人员对受害服务器(x.x.x.80)日志进行排查，发现大量来自内网服务器 器日志进行排查，发现攻击最早来自该企业下属单位服务器(x.x.x.81)。应急人员对服务器 ©奇安信集团第13页，共18页1)系统、应用相关用户杜绝使用弱口令，应使用高复杂强度的密码，尽量包含大小写字洞，保障服务器安全；3)建议安装防病毒软件，及时对病毒库进行更新，并且定期进行全面扫描，加强服务器4)禁止服务器主动发起外部连接请求，对于需要向外部服务器推送共享数据的，应使用©奇安信集团第14页，共18页通报PC进行排查发现，在所有被通报PC的C盘Windows目录下存在相同病毒样本文件人员对现场主机系统信息进行排查，未发现存在可疑账户。对主机补丁情况进行查看1)加强人员安全意识培养，强调网络安全重要性，禁止通过非官方渠道下载应用软件。件包括邮件附件、上传文件等要先杀毒处理；2)建议安装防病毒软件，及时对病毒库进行更新，并且定期进行全面扫描，加强服务器3)部署高级威胁监测设备，及时发现恶意网络流量，同时可进一步加强追踪溯源能力，生时可提供可靠的追溯依据；4)配置并开启相关关键系统、应用日志，对系统日志进行定期异地归档、备份，避免在5)加强日常安全巡检制度，定期对系统配置、网络设备配合、安全日志以及安全策略落。©奇安信集团第15页，共18页件015是承载全国各地政企机构网络安全保障工作的重要支撑平台，同时也是全国各地重大网络安全事件应急响应的绿色通道，是全国冬奥网络安全保障工作中的关键一环。北京冬奥会结。冬奥会期间，将作为网络安全保障工作的重要支撑平台，为网络安全事件的应急响应开辟一应服务。”字头短号码是工信部统一管理的全国通用号码，95015服务短号，整合了原有的4009-©奇安信集团第16页，共18页附录2奇安信集团安服团队集团是北京2022年冬奥会和冬残奥会官方网络安全服务和杀毒软件赞助商，作为国领先的网络安全品牌，奇安信多次承担国家级的重大活动网络安全保障工作，创建了稳定的网络安全服务体系——全维度管控、全网络防护、全天候运行、全领域覆盖、全兵种协防演习、持续响应、预警通告、安全运营等一系列实战化的服务，在云端安全大数据的支撑推出了应急响应训练营服务，将一线积累的丰富应急响应实践经验面向广大政企机构进行网络安全培训和赋能，帮助政企机构的安全管理者、安全运营人员、工程师等不同层级的人群提高网络安全应急响应的能力和技术水平。奇安信集团正在用专业的技术能力保障着负面影响。©奇安信集团第17页，共18页附录3网络安全应急响应图书推荐《应急响应-网络安全的预防、发现、处置和恢复》书内容主要将前沿的应急响应理论与奇安信安服团队的应急响应一线实战经验相结合，从高级科普的角度介绍网络安全应急响应基础知识，可以指导政企机构、监管机构加强网络安关键技术、人才培养、应急演练、漏响响应平台以及案例。本书旨在为全国网信干部提供理论指南、实践指导和趋势指引，也可以作为从事网络安全应急响应incombookdetailbook《网络安全应急响应技术实战指南》积累应急响应概述、应急工程师基础技能、应急响应常用工具介绍。后七章内容为当前应急响应会处置思路、掌握基础技能、熟悉应急工具，以便实现快速响应应急事件的安全新要求。本适合政企机构、安全公司的安全运营人员、应急响应人员和大中专院校网络安全相关的学生nxin