《2021-2022应急响应典型案例集研究报告》由会员分享,可在线阅读,更多相关《2021-2022应急响应典型案例集研究报告(5页珍藏版)》请在金锄头文库上搜索。
1、2021-2022应急响应典型案例集研究报告2021年 7月刖 百应急响应是网络安全工作中的重要组成部分,当政企机构发生重大网络安全事件时,往往意味着其背后存在着诸多的危险和隐患,应急响应事件的发生是长期网络安全监测不足,大量安全隐患未得到有效的及时处置等一系列安全问题最终隐患的集中爆发。就像一起火灾的爆发,映射着长期的消防建设不足。通过应急响应往往能够快速地发现政企机构网络安全建设中的典型不足。从应急响应事件来看,每次在应急响应结束后我们都会给政企机构提供很多的整改意见,政企机构在这些安全建议的基础上也会进行大量的建设和提高,从而避免应急事件的反复发生。我们在本书当中为大家整理了奇安信历年来
2、处置过的几千起应急响应中精选的5 0个典型的案例,一方面通过网络安全应急响应事件来分析机构的安全隐患,另一方面,我们也可以通过应急响应案例来帮助更多企业,一旦发生安全事故、安全风险时有更多的经验和参考方法进行应急响应的处置,希望通过案例的分享能够帮助我们的广大政企机构提前防御、提早发现、及时处置。通过近6年的应急响应工作,我们发现以下几个典型特点。第一,勒索病毒的攻击愈演愈烈,包括在国外发生的多起重大事件,国内也不断有相关攻击案例的发生。同时,挖矿木马也越来越流行;第二,政企机构在网络安全建设中网络安全防护存在短板,常见如:弱口令、永恒之蓝漏洞补丁下载不及时、员工缺乏安全意识等问题尤其明显;第
3、三,应急响应事件受影响范围主要集中在业务专网,平均占比可达6 0%以上,其次是办公终端;第四,敲诈勒索、黑产活动是攻击者攻击政企机构的主要原因,而对政企机构所产生的后果也尤为严重,主要表现为导致生产效率低下,数据丢失和系统/网络不可用等,对政企机构日常工作和运营造成了较大影响;第五,攻击者除利用病毒和木马攻击外,利用漏洞攻击和钓鱼邮件攻击的事件也在不断增多,常见漏洞如永恒之蓝漏洞、任意文件上传、w e blo g i c反序列化漏洞;第六,通过对这6年政企单位应急响应事件发现数据进行对比,政企机构单位自行发现能力虽逐年上升,然而,其中被攻击者勒索后才发现事件的占比却高于政企机构日常安全运营巡检
4、发现入侵迹象的占比,这说明国内政企机构的日常安全运营建设水平仍有待大幅提高。本书主要分为两个部分,第一部分结合2 0 2 1年最新的应急响应事件通过数据来表现当前网络安全应急响应的基本形势;第二部分一共分为十个章节,分别对勒索类、挖矿类、蠕虫类、篡改类等1 0种类型的典型案例进行介绍,希望能够通过应急响应数据和典型案例为政企机构的日常安全建设提供参考,使应急响应事件发生的越来越少,一旦发生安全事件时响应越来越快,损失降到越来越低,这也是我们应急响应工作的主要意义。目 录第一章网络安全应急响应形势综述.1一、应急响应事件受害者分析.2(一)行业现状分析.2(二)事件发现分析.2(三)影响范围分析
5、.3(四)攻击影响分析.4二、应急响应事件攻击者分析.5(一)攻击意图分析.5(二)攻击类型分析.5(三)恶意程序分析.6(四)漏洞利用分析.7第二章 勒索类事件典型案例.8一、服务器存漏洞感染勒索病毒.8(一)事件概述.8(-)防护建议.8二、终端电脑遭遇钓鱼邮件感染勒索病毒.8(一)事件概述.8(二)防护建议.9三 工业生产网与办公网边界模糊,感染勒索病毒.9(一)事件概述.9(-)防护建议.9四、服务器配置不当感染勒索病毒.9(一)事件概述.9(二)防护建议.10五、专网被攻击,58家医院连锁感染勒索病毒.10(一)事件概述.10(-)防护建议.11六、0A服务器远程桌面映射公网,感染勒
6、索病毒.11(一)事件概述.11(二)防护建议.12七、内网主机使用弱口令致感染勒索病毒.12(一)事件概述.12(-)防护建议.12八、8003端口映射在公网感染勒索病毒.13(一)事件概述.13(二)防护建议.13九、私自下载破解软件致服务器感染勒索病毒.13(一)事件概述.13(二)防护建议.14十、服务器补丁安装不及时感染勒索病毒.14(一)事件概述.14(-)防护建议.14十一、擅自修改网络配置致服务器感染勒索病毒.14(一)事件概述.14(二)防护建议.15十二 用户名口令被暴力破解感染勒索病毒.15(一)事件概述.16(-)防护建议.16第三章 挖矿类事件典型案例.17一、官网存
7、在上传漏洞感染挖矿木马.17(-)事件概述.17(二)防护建议.17二、误点恶意链接感染挖矿木马.17(一)事件概述.18(二)防护建议.18三 软件升级包携带“永恒之蓝下载器”致专网感染挖矿木马.18(-)事件概述.18(二)防护建议.20四、“永恒之蓝下载器”致内网挖矿木马.20(一)事件概述.20(二)防护建议.20五、安全防护不到位致终端和服务器感染挖矿木马.21(-)事件概述.21(二)防护建议.21六、SSH私钥本地保存致虚拟机感染挖矿木马.22(一)事件概述.22(二)防护建议.22七、网站存漏洞致服务器感染挖矿木马.22(一)事件概述.23(二)防护建议.23八 服务器使用弱口
8、令导致感染挖矿木马.24(一)事件概述.24(二)防护建议.24九、应用服务平台使用弱口令导致感染挖矿木马.24(一)事件概述.24(二)防护建议.25十、U盘未管控导致主机感染挖矿木马.25(一)事件概述.25(二)防护建议.25第四章 蠕虫类事件典型案例.27一、服务器弱口令导致感染蠕虫病毒.27(一)事件概述.27(二)防护建议.27二、浏览恶意链接感染蠕虫病毒.28(一)事件概述.28(二)防护建议.28三、U盘未合理管控导致感染蠕虫病毒.28(一)事件概述.28(二)防护建议.29第五章 篡改类事件典型案例.30一 Redis未授权访问漏洞致官网被植入黑链.30(-)事件概述.30(二)防护建议.30二、网站W EB漏洞致网站被挂马.30(-)事件概述.31(二)防护建议.31三、网站后台程序漏洞致网站被植入黑链.31(-)事件概述.31(二)防护建议.32四、Tomcat中间件漏洞致官网被上传博彩页面.32(一)事件概述.32(二)防护建议.32五、Weblogic WLS组件漏洞致网页被篡改.32
