1、 主要观点 2023 年,奇安信集团安服团队共接到应急服务需求 853 起。政府部门、制造业和金融机构的业务专网是 2023 年攻击者攻击的主要目标。严重缺乏最基本的网络安全基础设施建设,缺乏最基本的网络安全运营能力,是当前国内绝大多数政企机构的通病。一方面,弱口令、永恒之蓝等基础漏洞仍然普遍存在,高危端口大量暴露;另一方面,仅有 13.6%的政企机构能够通过安全巡检提前发现问题,避免损失,而绝大多数政企机构只能在重大损失发生之后,或被第三方机构通报后才能发现安全问题。2023 年,攻击者攻击目标仍以业务专网为主,然而办公终端问题也不容小觑。与去年相比,服务器受感染台数较去年减少 2535 台
2、,办公终端受感染台数较去年增加12375 台。受影响终端数量的明显增加,预示着不仅是服务器安全问题,日益凸显的终端安全问题也需要引起我们的关注。安全意识问题已经成为制约政企机构安全生产的根本性问题:由内部人员违规操作触发的应急响应事件约占 2023 年 95015 服务平台接报事件总量的五分之一;近三成的应急事件与弱口令有关;员工被黑客钓鱼、私自下载带毒软件、滥用 U 盘导致系统瘫痪、乱开端口感染勒索病毒等由安全意识不足引发的应急事件层出不穷。由此可见,大中型政企机构加大力度提升内部员工网络安全防范意识迫在眉睫。2023 年接收的安全事件中有小部分来自政企机构内部实战攻防演习活动,通过实际的攻
3、击模拟和防御演练,企业可以更好地发现和识别可能存在的安全漏洞,能够尽早发现并修复潜在的威胁,防止实际攻击的发生,减少潜在的损失。摘 要 2023 年,95015 服务平台共接到全国政企机构网络安全应急事件报告 853 起。奇安信安服团队累计投入工时 6654.0 小时处置相关事件,折合 831.8 人天,处置一起应急事件平均用时 7.8 小时。从行业分布来看,2023 年,95015 服务平台接报的网络安全应急响应事件中,政府部门报告的事件最多,为 158 起;其次是制造业 107 起;金融机构排第三,为 96起。此外,医疗卫生、事业单位、IT 信息技术等行业也是网络安全应急响应事件高发行业。
4、49.0%的政企机构,是在系统已经出现了非常明显的入侵迹象后,拨打的 95015 网络安全服务热线;33.1%的政企机构,是在被攻击者勒索之后进行的报案求助。而真正能够通过安全运营巡检,提前发现问题的仅占比 13.6%。从网络安全事件的影响范围来看,68.3%的事件主要影响业务专网,而主要影响办公网的事件占比 31.7%。从受影响的设备数量来看,失陷服务器为 11745 台,失陷办公终端为 17787 台。业务专网、办公终端是网络攻击者攻击的主要目标。从网络安全事件造成的损失来看,造成生产效率低下的事件 352 起,占比 41.3%;造成数据丢失的事件 198 起,占比 23.2%;造成数据泄
5、露的事件 89 起,占比 10.4%;此外,造成声誉影响的事件 47 起,造成数据被篡改的事件 36 起。内部人员为了方便工作等原因进行违规操作,进而触发应急响应的网络安全事件多达 186 起。这一数量仅次于黑产活动(207 起)、超过了以窃取重要数据(173 起)和敲诈勒索(170 起)等为目的的外部网络攻击事件的数量。以漏洞利用为主要手段的网络攻击最为常见,占比 38.4%;其次是恶意程序,占比29.8%;钓鱼邮件排第三,占比 7.8%。网页篡改、网络监听攻击、Web 应用 CC 攻击等也比较常见。还有约 18.8%的安全事件,并非网络攻击事件。应急事件分析显示,勒索病毒、挖矿木马、网站木
6、马是攻击者使用最多的恶意程序类型,分别占到恶意程序攻击事件的 21.8%、9.7%和 6.0%。此外,蠕虫病毒、DDOS木马、永恒之蓝下载器木马、APT 专用木马等也都是经常出现的恶意程序类型。在应急响应事件处置的勒索软件中,排名第一的是Phobos 勒索软件,全年触发大中型政企机构网络安全应急响应事件 30 次;其次是 LockBit 勒索软件 15 次,Makop 勒索软件 15 次。这些流行的勒索病毒,十分值得警惕。弱口令是攻击者在 2023 年利用最多的网络安全漏洞,相关应急事件多达 231 起,占比 27.1%。其次是永恒之蓝漏洞,相关利用事件为 162 起,占比 19.0%。关键词
7、:关键词:95015、应急响应、安全服务、弱口令、内部违规、敲诈勒索、漏洞利用 目 录 第一章第一章 网络安全应急响应形势综述网络安全应急响应形势综述.1 第二章第二章 应急响应事件受害者分析应急响应事件受害者分析.2 一、行业分布.2 二、事件发现.2 三、影响范围.3 四、事件损失.4 第三章第三章 应急响应事件攻击者分析应急响应事件攻击者分析.5 一、攻击意图.5 二、攻击手段.6 三、恶意程序.6 四、漏洞利用.7 第四章第四章 应急响应典型案例分析应急响应典型案例分析.9 一、某企业数据库遭 Mallox 病毒勒索.9 二、某单位官网存在安全漏洞被挂黑链.10 三、某地运营商用户路由
8、器被插件劫持.11 四、某企业感染 WatchDogs 挖矿病毒.12 五、某企业使用盗版激活工具感染蠕虫.13 六、某单位装驱动服务器感染 U 盘病毒.14 七、某单位财务主管遭微信钓鱼被远控.16 八、某企业域名管理权限在暗网被倒卖.17 附录附录 1 950151 95015 网络安全服务热线网络安全服务热线.19 附录附录 2 2 奇安信集团安奇安信集团安服团队服团队.20 附录附录 3 3 网络安全应急响应图书推荐网络安全应急响应图书推荐.21 奇安信集团 第 1 页,共 22 页 第一章 网络安全应急响应形势综述 2023 年 112 月,95015 服务平台共接到全国范围内网络安
9、全应急响应事件报告 853起,奇安信安服团队第一时间协助政企机构处置安全事故,确保了政企机构门户网站、数据库和重要业务系统等的持续安全稳定运行。综合统计数据显示,在全年 853 起网络安全应急响应事件的处置中,奇安信安服团队累计投入工时为 6654.0 小时,折合 831.8 人天,处置一起应急事件平均用时 7.8 小时。其中,1 月份,因春节假期期间,应急响应处理量略有减少;8 月,因全国多地举行网络安全实战攻防演习活动,应急响应处理量大幅增加。奇安信集团 第 2 页,共 22 页 第二章 应急响应事件受害者分析 本章将从网络安全应急响应事件受害者的视角出发,从行业分布、事件发现方式、影响范
10、围、以及攻击行为造成的影响等几个方面,对 95015 服务平台全年接报的 853 起网络安全应急响应事件展开分析。一、行业分布 从行业分布来看,2023 年,95015 服务平台接报的网络安全应急响应事件中,政府部门报告的事件最多,为 158 起,占比 18.5%;其次是制造业,为 107 起,占比 12.5%;金融机构排第三,为 96 起,占比 11.3%。此外,医疗卫生、事业单位、IT 信息技术等行业也是网络安全应急响应事件高发行业。下图给出了不同行业网络安全应急响应事件报案数量的 TOP10 排行。二、事件发现 从安全事件的发现方式来看,49.0%的政企机构,是在系统已经出现了非常明显的
11、入侵迹象后,拨打的 95015 网络安全服务热线;33.1%的政企机构,是在被攻击者勒索之后进行的报案求助。这二者之和为 82.1%。也就是说,超过八成的大中型政企机构是在系统已经遭到了巨大损失,甚至是不可逆的破坏后,才向专业机构进行求助。而真正能够通过安全运营巡检,在损失发生之前及时发现问题并呼救,避免损失发生的政企机构,占比就仅为 13.6%。此外,还有约 4.3%的政企机构是在得到了主管单位、监管机构及第三方平台的通报后启动的应急响应。这些机构不仅严重缺乏有效的网络安全运营,也严重缺乏必要的威 奇安信集团 第 3 页,共 22 页 胁情报能力支撑,致使自己的主管单位或监管机构总是先于自己
12、,发现自身的安全问题或被攻击的现象。其中,某些通报可能还会使相关单位面临法律责任及行政处罚。这些被通报的政企机构都是潜在的定时炸弹,随时都有可能爆发。三、影响范围 网络安全事件往往会对 IT 及业务系统产生重大的影响。在 2023 年 95015 服务平台接报处置的网络安全应急响应事件中,68.3%的事件主要影响的是业务专网,而主要影响办公网的事件占比 31.7%。从受网络安全事件影响的设备数量来看,失陷服务器为11745 台,失陷办公终端为 17787 台。2023 年大中型政企机构遭受网络攻击事件的影响范围如下图所示。奇安信集团 第 4 页,共 22 页 在本报告中,办公网是指企业员工使用
13、的台式机、笔记本电脑、打印机等设备组成基本办公网络,而业务专网泛指机构整体运行与对外支撑所需要的各种网络系统。从影响范围和受影响设备数量可以看出,大中型政企机构的业务专网、办公终端是网络攻击者攻击的主要目标。大中型政企机构在对业务专网进行安全防护建设的同时,还应提高内部人员安全防范意识,加强对内网中办公终端、重要服务器的安全防护保障和数据安全管理。四、事件损失 网络安全事件通常都会引起政企机构不同程度、不同类型的损失。应急处置现场情况分析显示,在 95015 服务平台全年接报的 853 起报案中,有 352 起事件,造成了相关机构的生产效率低下,占比 41.3%,是排名第一的损失类型;其次是造
14、成数据丢失的事件有 198 起,占比 23.2%,排名第二;造成数据泄露的事件 89 起,占比 10.4%,排名第三;此外,造成政企机构声誉影响的事件 47 起,造成数据被篡改的事件 36 起,造成其他损失的事件 131 起。特别说明,在上述统计中,同一事件只计算一次,我们只统计每起事件造成的最主要的损失类型。造成生产效率低下的主要原因是挖矿、蠕虫、木马等攻击手段使服务器 CPU 占用率过高,造成生产效率降低。也有部分企业是因为勒索病毒攻击造成了部分生产系统停产。造成数据丢失的原因是多方面的,其中,因勒索病毒加密而导致数据无法恢复是首要原因。造成数据泄露的主要原因是黑客的入侵和内部人员的泄密。
15、奇安信集团 第 5 页,共 22 页 第三章 应急响应事件攻击者分析 本章将从网络安全应急响应事件攻击者的视角出发,从攻击意图、攻击类型、恶意程序和漏洞利用等几个方面,对 95015 服务平台全年接报的 853 起网络安全应急响应事件展开分析。一、攻击意图 攻击者是出于何种目的发起的网络攻击呢?应急人员在对网络安全事件进行溯源分析过程中发现,2023 年,内部人员为了方便工作等原因进行违规操作,进而导致系统出现故障或被入侵,触发应急响应的网络安全事件多达 186 起。这一数量仅次于黑产活动(207 起)、超过了窃取重要数据(173 起)和敲诈勒索(170 起)等为目的的外部网络攻击事件的数量。
16、在这里,黑产活动以境内团伙为主,主要是指通过黑词黑链、钓鱼页面、挖矿程序等攻击手段开展黑产活动牟取暴利。在 186 起内部违规事件中,内部人员为了方便工作或出于其他原因将内部业务端口映射至外网的违规操作需要引起大中型企业的重视。以窃取重要数据为目的的攻击,一般分为两种:一种是民间黑客非法入侵政企机构内部系统盗取敏感、重要数据,如个人信息、账号密码等;另一种则是商业间谍活动或APT 活动。从实际情况来看,第一种情况更为普遍,第二种情况偶尔会发生。敲诈勒索,主要是指攻击者利用勒索软件攻击政企机构的终端和服务器,进而实施勒索。此类攻击几乎全部是由境外攻击者发起,打击难度极大。奇安信集团 第 6 页,
17、共 22 页 二、攻击手段 不同的安全事件,攻击者所使用的攻击手段也有所不同。对 2023 年全年的网络安全应急响应事件分析发现,以漏洞利用为主要手段的网络攻击最为常见,占比 38.4%;其次是恶意程序,占比 29.8%;钓鱼邮件排第三,占比 7.8%。此外,网页篡改、网络监听攻击、Web 应用 CC 攻击、拒绝服务攻击等也比较常见。还有约 18.8%的安全事件,最终被判定为非攻击事件。也就是说,由于企业内部违规操作,意外事件等原因,即便没有导致系统被入侵,但也同样触发了网络安全应急响应的事件也不在少数,值得警惕。三、恶意程序 应急事件分析显示:勒索病毒、挖矿木马、网站木马是攻击者使用最多的恶
18、意程序类型,分别占到恶意程序攻击事件的 21.8%、9.7%和 6.0%。此外,蠕虫病毒、DDOS 木马、永恒之蓝下载器木马、APT 专用木马等也都是经常出现的恶意程序类型。还有 10.6%恶意程序攻击事件与比较常见的,针对普通网民的互联网流行木马有关。奇安信集团 第 7 页,共 22 页 表 1 给出了 2023 年 95015 服务平台接报的网络安全应急响应事件中,出现频率最高的勒索软件排行榜 TOP10。可以看到,排名第一的是Phobos 勒索软件,全年触发大中型政企机构网络安全应急响应事件 30 次;其次是LockBit勒索软件 15 次,Makop 勒索软件15 次。这些流行的勒索病
19、毒,十分值得警惕。表 1 遭受攻击勒索软件类型 TOP10 勒索软件名称勒索软件名称 应急次数应急次数 Phobos 勒索软件 30 LockBit 勒索软件 15 Makop 勒索软件 15 Tellyouthepass 勒索软件 14 Mallox 勒索软件 12 Wannacry 勒索软件 8 BeijingCrypt 勒索软件 6 Babuk 勒索软件 3 Devos 勒索软件 3 GLobeImposter 勒索软件 3 四、漏洞利用 应急事件分析显示:弱口令是攻击者在 2023 年最为经常利用的网络安全漏洞,相关网络安全应急响应事件多达231起,占95015平台全年应急响应事件接报
20、总数的27.1%。其次是永恒之蓝漏洞,相关利用事件为 162 起,占比 19.0%。相比之下,其他单个类型的漏洞利用占比都要小很多,排名第三的钓鱼邮件仅有 49 起,占比 5.7%。奇安信集团 第 8 页,共 22 页 弱口令的大行其道,完全是安全意识淡薄、安全管理松懈的体现。而永恒之蓝漏洞自 2017 年 WannaCry 病毒爆发后,已经成为广为人知,必须修补的安全漏洞。时至今日仍然有大量的政企机构倒在永恒之蓝的枪口之下,说明这些政企机构严重缺乏最基本的网络安全基础设施建设,缺乏最基本的网络安全运营能力。预计在未来相当长的时间里,弱口令和永恒之蓝漏洞仍将是国内政企机构亟待解决的、基础性的网
21、络安全问题。奇安信集团 第 9 页,共 22 页 第四章 应急响应典型案例分析 2023 年,95015 网络安全服务热线共接到全国各地网络安全应急响应求助 853 起,涉及全国 31 个省市(自治区、直辖市)、2 个特别行政区,覆盖政府部门、制造业、金融机构、医疗卫生、事业单位等 20 余个行业。本章将结合 2023 年的网络安全应急响应实践,介绍 8 起典型案例,希望能够为政企机构网络安全建设与运营提供有价值的参考。一、某企业数据库遭 Mallox 病毒勒索(一)事件概述 2023 年 1 月,奇安信安服应急响应团队接到某企业应急求助,该企业服务器被勒索,文件被加密,希望溯源入侵途径。应急
22、人员到达现场后,对受害数据库服务器(x.x.x.31)进行排查以及结合勒索信和加密后缀,确认该企业服务器感染 Mallox 勒索病毒,暂时无法解密。对受害数据库服务器(x.x.x.31)应用日志以及现场安全防护软件云端日志进行排查后发现,外网攻击者(92.63.196.x)对数据库服务器(x.x.x.31)有大量暴力破解行为,并成功入侵服务器(x.x.x.31)下载安装远程桌面工具 Anydesk,上传黑客工具 hrsword_v5.0.1.1.exe,关闭安全防护软件。应急人员对外网攻击者(92.63.196.x)进行威胁情报查询,显示该 IP 为恶意 C2 服务器,其常用手段为扫描暴破 1
23、433 端口。应急人员与该企业员工沟通了解,为方便业务运营,数据库服务器(x.x.x.31)的 1433 端口对公网开放。随后,应急人员对服务器(x.x.x.31)最近访问文件和可疑程序进行排查发现,存在大量暴破字典,以及暴力破解工具 NLBrute1.2.exe。至此,应急人员推断,由于服务器(x.x.x.31)对外开放 1433 端口,且该服务器账号存在弱口令,被攻击者利用,成功获取该服务器(x.x.x.31)权限,随后以服务器(x.x.x.31)为跳板,对内网其他主机进行暴破,成功后投放 Mallox 勒索病毒,加密主机文件。奇安信集团 第 10 页,共 22 页(二)防护建议 1)系统
24、、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;2)配置必要的防火墙并开启防火墙策略,防止暴露不必要的服务为黑客提供利用条件;3)建议部署全流量监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;4)有效加强访问控制 ACL 策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员 IP 可对管理端口进行访问,如 FTP、数据库服务、远程桌面等管理端口。二、某
25、单位官网存在安全漏洞被挂黑链(一)事件概述 2023 年 2 月,奇安信应急团队接到某单位应急求助,该单位接到补天漏洞响应平台通报,官网被攻击者挂黑链接,希望对此事件进行分析排查并溯源入侵途径。应急人员到达现场,通过验证确认该单位官网确实存在被挂黑链的情况。随后对被挂黑链服务器(x.x.x.117)的 Web 日志进行排查发现,存在上传 Webshell 后门文件 123123123.aspx以及大量访问该后门文件的记录,通过文件查找成功在 templates 目录下定位到该文件 123123123.aspx。应急人员对上传点 https:/ 进行测试发现,该位置存在任意文件上传漏洞。查看服务
26、器(x.x.x.117)用户情况发现,Guest 用户被克隆提权为管理员用户,并且有多次可疑登录情况。查看服务器(x.x.x.117)的 iis 配置文件后发现,存在含有搜索引擎 seo 相关字符和相关跳转代码的可疑 dll 文件。至此应急人员确认,由于该单位官网存在任意文件上传漏洞,攻击者利用该漏洞获得服务器权限,通过克隆提权 Guest 用户,篡改 iis 配置加载恶意 dll 文件植入黑链的方式在该单位官网挂黑链。奇安信集团 第 11 页,共 22 页 (二)防护建议 1)配置必要的防火墙并开启防火墙策略,防止暴露不必要的服务为黑客提供利用条件;2)加强权限管理,对敏感目录进行权限设置,
27、限制上传目录的脚本执行权限,不允许配置执行权限等;3)将站点纳入边界 WAF 防护范围内,HTTPS 类的站点需要加载证书;4)开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患;5)加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。三、某地运营商用户路由器被插件劫持(一)事件概述 2023 年 3 月,奇安信应急响应团队接到某地运营商应急求助,当地某用户在使用运营商宽带正常看电视时出现页面被劫持的情况,导致该运营商在被用户投诉。该运营商希望能查明此次事件的原因。应急人员到达现场对被
28、劫持页面进行排查发现,只有访问特定页面时才会出现劫持现象,并且用户页面被劫持跳转时首先会跳转到 106.14.x.x、139.196.x.x 两个地址。应急人员通过构造请求访问这两个地址发现,访问时会自动加载一个包含大量的广告、色情地址以及跳转代码的恶意 js 文件。随后,应急人员对同型号的电视盒子进行测试,并未发现相关劫持情况,猜测可能是路由器的问题。应急人员在用户同意后尝试从攻击者角度对路由设备进行测试发现,该款路由器存在命令执行漏洞,可以通过它直接获取到路由器系统权限。应急人员拿到路由器系统权限后,对路由器系统进程、文件等进行排查发现,存在的 nginx 进程运行时会在设备的 8080
29、端口启动监听。随后,对 nginx 进程的配置文件进行排查发现,在 nginx.conf 文件中被植入劫持代码。奇安信集团 第 12 页,共 22 页 由于该路由器为家用路由器,且用户接入运营商网络时不会分配公网地址,攻击者无法直接访问到该路由器。因此应急人员推测,用户购入该路由器时已经存在劫持代码,由于路由器厂商官网无法访问,应急人员无法拿到官方固件,无法确定该路由器使用的固件是否为官方版本。目前,应急人员建议该运营商在用户网络出口上对相关恶意地址进行封堵,应急结束。(二)防护建议 1)建议运营商在用户网络出口上对相关恶意地址进行封堵;2)在购买产品时,务必确保从官方渠道进行购买,避免从非官
30、方或可疑的第三方渠道购买,以防止遭遇假冒、盗版或低质量产品的风险。四、某企业感染 WatchDogs 挖矿病毒(一)事件概述 2023 年 5 月,奇安信应急响应团队接到某企业应急求助,该企业内网多台服务器感染挖矿病毒,服务器系统资源占用较高,影响业务正常运行,希望能对受害服务器进行排查,并溯源入侵途径。应急人员到达现场后,对该企业运维人员提供的外联恶意挖矿域名进行分析,确定该服务器感染 WatchDogs 挖矿病毒。对受害服务器(x.x.x.80)系统进程和计划任务进行排查,发现符合 WatchDogs 挖矿病毒特征的恶意进程以及恶意计划任务。应急人员利用命令删除恶意计划任务、结束恶意进程后
31、,服务器(x.x.x.80)处理器资源占用率恢复到正常状态。随后,应急人员对受害服务器(x.x.x.80)日志进行排查,发现大量来自内网服务器(x.x.x.81)、(x.x.x.22)、(x.x.x.82)和(x.x.x.187)的 ssh 爆破行为,经过对这四台服务器日志进行排查,发现攻击最早来自该企业下属单位服务器(x.x.x.81)。应急人员对服务器(x.x.x.81)进行排查,发现该服务器部署 java 应用,使用 shiro 组件,并且现场流量监控设 奇安信集团 第 13 页,共 22 页 备存在该服务器被 IP(x.x.x.69)利用 shiro 反序列化漏洞攻击成功的告警,经威胁
32、情报查询IP(x.x.x.69)为恶意 IP。因此应急人员判定由于该企业下属单位服务器(x.x.x.81)未更新 shiro 反序列化漏洞补丁,被攻击者成功利用获取到该服务器权限,且该企业内网服务器均使用相同口令且强度较低,攻击者利用服务器(x.x.x.81)通过批量口令暴破方式成功获取该企业内网大量服务器权限,投放 WatchDogs 挖矿病毒。随后应急人员编写并执行 python 脚本,帮助该企业删除恶意计划任务、结束恶意进程,将内网大量受害服务器恢复正常后,应急结束。(二)防护建议 1)系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密
33、码,加强管理员安全意识,禁止密码重用的情况出现;2)服务器定期维护,部署服务器安全防护系统,修复系统应用漏洞、中间件漏洞、组件、插件等相关漏洞,保障服务器安全;3)建议安装防病毒软件,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器病毒预防、抑制及清除能力;4)禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接 IP 范围进行限制。五、某企业使用盗版激活工具感染蠕虫(一)事件概述 2023 年 5 月,奇安信安服应急团队接到某企业应急求助,该企业被监管单位通报,内网 50+台办公 PC 均感染蠕虫病毒,希望对此事件
34、进行排查,并溯源入侵途径。奇安信集团 第 14 页,共 22 页 应急人员到达现场,了解到现场办公 PC 均不能连接互联网,也无安全告警设备。立即对被通报 PC 进行排查发现,在所有被通报 PC 的 C 盘 Windows 目录下存在相同病毒样本文件tasksche.exe。随后对病毒样本 tasksche.exe 进行分析,确认该样本为永恒之蓝蠕虫病毒。应急人员对病毒样本文件所在目录进行排查发现,所有被通报 PC 中均存在 KMS 激活工具残留文件。应急人员与该企业员工沟通了解到,现场所有被通报 PC 均是由工作人员统一使用从第三方网站下载的 KMS 激活工具激活。应急人员对现场主机系统信息
35、进行排查,未发现存在可疑账户。对主机补丁情况进行查看发现,存在 MS17010 漏洞补丁,但不能确定打补丁时间。根据以上排查信息,应急人员初步推断病毒样本是 KMS 激活工具所携带,由于该企业员工安全意识不足,使用第三方网站下载的 KMS 激活工具,导致本次安全事件发生。因为现场部分日志缺失,致使无法溯源出详细的攻击细节,目前应急人员已协助该企业将病毒样本进行清除,并提出安全防护建议,应急结束。(二)防护建议 1)加强人员安全意识培养,强调网络安全重要性,禁止通过非官方渠道下载应用软件。对来源不明的文件包括邮件附件、上传文件等要先杀毒处理;2)建议安装防病毒软件,及时对病毒库进行更新,并且定期
36、进行全面扫描,加强服务器病毒预防、抑制及清除能力;3)部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;4)配置并开启相关关键系统、应用日志,对系统日志进行定期异地归档、备份,避免在攻击行为发生时,导致无法对攻击途径、行为进行溯源等,加强安全溯源能力;5)加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。六、某单位装驱动服务器感染 U 盘病毒(一)事件概述 2023年6月,奇安信安服应急响应团队接到某单位应急求助,该单位存在服务器感染病毒,并且有部分文件丢失的情况,需要进行
37、溯源处置。应急人员到达现场后对服务器(x.x.x.240)进行排查分析发现,共享目录/jingsai 被上传病毒文件:autorun.inf、kabe.bat、kabe.exe;在病毒文件创建前,内网终端 A(x.x.x.53)曾访问过共享目录/jingsai。应急人员通过测试发现,服务器(x.x.x.240)上的病毒文件能被现场安装的杀毒软件查杀。随后,应急人员对现场的杀毒软件进行排查发现,在杀毒日志中,存在该病毒文件的查杀记录;在信任区中,存在可疑加白文件:F:打印机驱动.exe。奇安信集团 第 15 页,共 22 页 应急人员通过排查内网终端A(x.x.x.53)发现,在temp目录下存
38、在可疑进程explorer.exe;启动项中存在可疑启动项 sajith,经过分析验证该启动项启动文件的 MD5,确认该文件为 U 盘病毒文件。应急人员通过和客户沟通了解到,在 6 月 27 日,客户单位有员工使用 U 盘插入内网终端 A(x.x.x.53)和内网终端 B(x.x.x.206)安装打印机驱动。经过客户协调,应急人员拿到当日插入过终端的两个 U 盘,对其进行排查分析发现,在其中一个 U 盘中存在 U 盘病毒文件:打印机驱动.exe。至此,应急人员确认,由于客户单位内部人员在给内网终端 A(x.x.x.53)和内网终端 B(x.x.x.206)安装打印机驱动时插入带有病毒的 U 盘
39、,并且在病毒程序运行后,被人为误操作加入白名单,躲过了杀毒软件查杀,导致本次事件发生。(二)防护建议 1)在杀毒软件控制中心加黑以下病毒文件的 MD5:58fa927cb724122fa5619cf3495d113e、E434F266505B4570A8535201805018E7、8EAAA7D8F86B1B9C99A7E49AF1046711;2)关闭 Windows 自动播放,防止在插入感染病毒的移动介质后自动运行病毒程序;3)建议部署病毒防护软件,对移动存储设备进行查杀,在确定无病毒的情况下,再进行其他操作;4)非业务需要,禁止未授权移动存储设备接入主机,应使用白名单的方式只允许可信任
40、移动存储设备接入;5)禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接 IP 范围进行限制;奇安信集团 第 16 页,共 22 页 6)加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。七、某单位财务主管遭微信钓鱼被远控(一)事件概述 2023 年 7 月,奇安信接到某单位应急求助,该单位财务主管办公电脑疑似遭遇恶意远程控制,微信聊天记录被恶意删除,同时存在有多个使用公司法人相同头像的微信好友要求其转款,希望能进行协助排查。应急人员到达现场后迅速对涉事终端进行
41、排查发现,存在异常进程以及外联恶意 IP(111.230.34.x)通信行为;通过进一步排查发现,此异常进程存放于微信聊天文件默认保存路径中。应急人员通过与涉事人员沟通后了解到,近期该单位多个微信财务群内出现类似“税务相关政策”等关键字的压缩包,并且涉事人员也曾在群内点击下载过该压缩包。随后,应急人员对此压缩包进行排查分析发现,存在远控木马恶意脚本文件。至此,应急人员确认,此次应急事件为大面积针对财税人员的微信钓鱼事件。该电信诈骗团伙使用微信,向财税行业相关群聊发送带有“财税相关政策”等关键字,并且后缀为“.zip”、“.rar”的恶意压缩包,群发后立即退群并删除相关聊天记录;随后,通过利用远
42、程控制软件,恶意监控财税人员办公电脑进行进一步传播扩散,并伺机删除、伪造员工微信中内部领导账号;最后根据企业内部财务流程漏洞实施诈骗。(二)防护建议 1)建议加强单位内部人员安全防范意识,不随意安装非官方下载正版软件,不随意点开来路不明存在安全隐患的文件及链接,下班及时关闭电脑,防止黑客夜间远程作案;2)建议单位内电脑安装相应的防病毒软件,及时对病毒库进行更新,定期进行全面扫描,加强服务器上的病毒清除能力;加强技术部门日常安全巡检制度,定期对系统配置、奇安信集团 第 17 页,共 22 页 网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。八、某企业域名管理权限在暗网被倒
43、卖(一)事件概述 2023 年 7 月,奇安信安服应急响应团队接到某企业应急求助,客户反馈公司域名管理权限被挂暗网出售,疑似域控服务器被控制,需要进行溯源处置。经奇安信网络安全威胁情报团队确认,黑客组织在暗网出售客户公司域名管理权限消息属实。应急人员到达现场后,通过排查服务器 A(x.x.x.89)并结合态势感知平台的相关记录发现,攻击者(91.90.44.x)通过暴力破解的方式获取服务器 A(x.x.x.89)的管理员用户权限,随后通过rdp 远程连接到服务器 B(x.x.x.84)和服务器 C(x.x.x.85),并以服务器 C(x.x.x.85)为跳板机 rdp 远程连接域控服务器(x.
44、x.x.1)。应急人员通过与客户进行沟通了解到,服务器A(x.x.x.89)的 Web 登陆入口开放在互联网。应急人员通过对服务器 B(x.x.x.84)和服务器 C(x.x.x.85)进行排查分析发现,两台服务器均存在提示有 Netlogon 特权提升漏洞的恶意文件 C:app1zl.exe 以及密码抓取工具C:app1zd.exe;在服务器 B(x.x.x.84)上存在密码抓取工具抓取本地 hash 的结果文件。应急人员通过排查分析域控服务器(x.x.x.1)的相关日志发现,存在被服务器 B(x.x.x.84)rdp 远程连接,以及 ittestad 账号登录记录,通过对比记录时间,发现与
45、攻击者暗网售卖域控权限时间一致。应急人员通过和客户进行沟通了解到,ittestad 账号是 Citrix 服务的专用域账号,拥有域管理员的权限可导出所有的域内 hash 值。至此,应急人员确认,此次事件是由于服务器 A(x.x.x.89)的 Web 登陆入口开放在互联网,并且服务器存在弱口令、以及口令复用的情况被攻击者利用导致。(二)防护建议 1)修改域内所有用户账号密码,系统、应用相关用户杜绝使用弱口令,应使用密码长度大于 9,尽量包含大小写字母、数字、特殊符号等的高复杂强度密码,加强管理员安全意识,禁止密码重用的情况出现;2)建议客户对公司整体信息化安全建设进行全面风险评估,确保暴露在互联
46、网及其它网络层面的风险,可被进入内部的方式及风险进一步降低,可被恶意利用的范围能够进 奇安信集团 第 18 页,共 22 页 一步收窄;3)建议加强社会工程学方面的安全防范,定期对内部员工进行培训、演练,加强邮箱系统本身安全管理,包括但不限于安全邮件产品防护、安全策略调整、安全加固等,非必要不将登陆方式暴露在互联网;4)建议加强各区域间的安全防护能力,包括但不限于安全产品隔离及控制,如防火墙、堡垒机,更要确保安全策略最小化控制,非必要交互的区域相互隔离等安全工作;5)建议对内部系统、系统内部功能组件及其供应链进行调研工作,特别是集权系统如 VPN、堡垒机、OA 等,确保系统版本为安全版本,内部
47、安全组件为安全版本,供应链本身未出现大型安全泄露事件等风险问题。同时,集权系统不提倡使用纯开源、无售后保障的系统产品,以保证有可靠的漏洞修复及版本提升途径。奇安信集团 第 19 页,共 22 页 附录 1 95015 网络安全服务热线 2022 年 1 月 20 日,全国首个网络安全行业服务短号 95015 正式开通。95015 是为全国各地政府、企业、相关机构提供网络安全应急响应、合作与咨询服务的电话专线。“安全快一步,95015”。95015 网络安全服务热线,由北京 2022 年冬奥会和冬残奥会官方网络安全服务和杀毒软件赞助商奇安信集团,在北京冬奥会开幕前夕正式推出。在北京 2022 年
48、冬奥会和冬残奥会期间,95015 是承载全国各地政企机构网络安全保障工作的重要支撑平台,同时也是全国各地重大网络安全事件应急响应的绿色通道,是全国冬奥网络安全保障工作中的关键一环。北京冬奥会结束后,95015 网络安全服务热线将永久保留,持续为全国各地政企机构提供网络安全应急响应、合作与咨询服务。奇安信集团董事长齐向东表示,“95015 是我国第一个网络安全服务短号,是北京冬奥会网络安全保障指定号码,赛后,95015 将永久服役。95015 承载着网络安全行业的责任和使命,北京冬奥会期间,将作为网络安全保障工作的重要支撑平台,为网络安全事件的应急响应开辟一条绿色通道。全国的政企机构遇到任何网络
49、安全问题,都可以拨打 95015,奇安信将提供 24 小时冬奥标准的应急响应服务。”9 字头短号码是工信部统一管理的全国通用号码,95015 服务短号,整合了原有的 4009-727-120 应急响应专线、4009-303-120 客户服务热线和 4006-783-600 合作伙伴热线三条 400 电话专线,实现了“一号全通”。同时,更短的号码也意味着更快的响应速度,更加优质、更加便捷的平台服务,标志着网络安全行业在线服务能力与服务方式的一次重大升级。奇安信集团 第 20 页,共 22 页 附录 2 奇安信集团安服团队 奇安信集团是北京 2022 年冬奥会和冬残奥会官方网络安全服务和杀毒软件赞
50、助商,作为中国领先的网络安全品牌,奇安信多次承担国家级的重大活动网络安全保障工作,创建了稳定可靠的网络安全服务体系全维度管控、全网络防护、全天候运行、全领域覆盖、全兵种协同、全线索闭环。奇安信安全服务以攻防技术为核心,聚焦威胁检测和响应,通过提供咨询规划、威胁检测、攻防演习、持续响应、预警通告、安全运营等一系列实战化的服务,在云端安全大数据的支撑下,为客户提供全周期的安全保障服务。应急响应服务致力于成为“网络安全 120”。自 2018 年以来,奇安信已积累了丰富的应急响应实践经验,应急响应业务覆盖了全国 31 个省(自治区、直辖市),2 个特别行政区,处置政企机构网络安全应急响应事件 500
浙ICP备2021020529号-1 | 浙B2-20240490 
