|
主要觀點
凡事預則立,不預則廢��。網(wǎng)絡(luò)安全應急響應是為了對網(wǎng)絡(luò)安全有所認識、有所準備��,以便在遇到突發(fā)網(wǎng)絡(luò)安全事件時做到有序應對���、妥善處理���。 2018年全年,全國應急響應服務需求呈逐步上升趨勢�����,自2017年“永恒之藍”勒索病毒爆發(fā)以來,針對政府�����、金融等行業(yè)的攻擊層出不窮,我國網(wǎng)絡(luò)安全態(tài)勢嚴峻。 政府、醫(yī)療��、金融和教育培訓行業(yè)是2018年黑客攻擊的主要目標,傳媒����、銀行、科研等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)也面臨著越來越多的安全威脅風險���。網(wǎng)絡(luò)安全防護存在短板���、人員缺乏安全意識是網(wǎng)絡(luò)攻擊有機可乘的重要原因,應大力倡導各行各業(yè)����,通過宣傳教育�����、攻防演練等方式��,加強網(wǎng)絡(luò)安全意識培訓�����。 2018年,應急響應處理安全事件中����,勒索病毒攻擊是政府機構(gòu)��、大中型企業(yè)服務器��、終端失陷的重要原因之一���,面對勒索病毒的頻繁變種,政府機構(gòu)、大中型企業(yè)應打破傳統(tǒng)安全防護觀念,多角度看待安全問題,實現(xiàn)安全能力的大幅提升與技術(shù)體系的全面升級�����。 網(wǎng)絡(luò)安全應急響應工作應成為政府機構(gòu)、大中型企業(yè)日常管理的一部分。勒索病毒等影響廣泛的網(wǎng)絡(luò)安全事件可能擴大為全行業(yè)、全國甚至全球性問題,網(wǎng)絡(luò)安全應急響應需要政府機構(gòu)、安全廠商、企業(yè)加強合作��、取長補短�����,必要時進行跨國協(xié)作����。 網(wǎng)絡(luò)安全廠商提供的網(wǎng)絡(luò)安全應急服務已經(jīng)成為政府機構(gòu)��、大中型企業(yè)有效應對網(wǎng)絡(luò)安全突發(fā)事件的重要手段����。網(wǎng)絡(luò)安全應急服務應該基于數(shù)據(jù)驅(qū)動�����、安全能力服務化的安全服務運營理念���,結(jié)合云端大數(shù)據(jù)和專家診斷����,為客戶提供安全運維���、預警檢測���、持續(xù)響應��、數(shù)據(jù)分析���、咨詢規(guī)劃等一系列的安全保障服務��。
摘 要
2018年全年360安服團隊共參與和處置了717起網(wǎng)絡(luò)安全應急響應事件。 行業(yè)應急處置排在前三位的分別為公檢法(66起)�����、政府部門(63起)、醫(yī)療機構(gòu)(56起)��,占到所有行業(yè)應急處置的9.0%、8.0%����、8.0%����,三者之和約占應急處置事件總量的25%��。 在2018年360安服團隊參與處置的所有政府機構(gòu)和企業(yè)的網(wǎng)絡(luò)安全應急響應事件中�����,由行業(yè)單位自己發(fā)現(xiàn)的安全攻擊事件占92%��,而另有8%的安全攻擊事件政府機構(gòu)和企業(yè)實際上是不自知的���,他們是在得到了監(jiān)管機構(gòu)或主管單位的通報才得知已被攻擊����。 安全事件的影響范圍主要集中在外部網(wǎng)站和內(nèi)部網(wǎng)站(25.3%)�����、內(nèi)部服務器和數(shù)據(jù)庫(18.7%)���。除此之外�����,還占有一定比例的還有辦公終端(17.5%)�����、業(yè)務專網(wǎng)(6.3%)�����。 黑產(chǎn)活動��、敲詐勒索仍然是攻擊者攻擊政府機構(gòu)�����、大中型企業(yè)的主要原因����。攻擊者通過黑詞暗鏈���、釣魚頁面、挖礦程序等攻擊手段開展黑產(chǎn)活動謀取暴利���;利用勒索病毒感染政府機構(gòu)����、大中型企業(yè)終端�����、服務器,對其實施敲詐勒索�����。 從上述數(shù)據(jù)可以看出��,攻擊者對系統(tǒng)的攻擊所產(chǎn)生現(xiàn)象主要表現(xiàn)為導致生產(chǎn)效率低下�����、破壞性攻擊、聲譽影響�����、系統(tǒng)不可用。其中�����,導致生產(chǎn)效率低下占比20%����,數(shù)據(jù)丟失占比13%����,破壞性攻擊占比10%。
關(guān)鍵詞:應急響應��、安全服務��、敲詐勒索��、黑產(chǎn)活動、木馬病毒
目 錄
第一章 研究背景 第二章 應急響應監(jiān)測分析 一�����、 月度報告趨勢分析 二、 行業(yè)報告排名分析 三��、 攻擊事件發(fā)現(xiàn)分析 四����、 影響范圍分布分析 五����、 攻擊意圖分布分析 六����、 攻擊現(xiàn)象統(tǒng)計分析 七��、 事件類型分布分析 第三章 應急響應服務分析 一、 網(wǎng)站安全 (一) 網(wǎng)頁被篡改 (二) 非法子頁面 (三) 網(wǎng)站DDoS攻擊 (四) CC攻擊 (五) 網(wǎng)站流量異常 (六) 異常進程與異常外聯(lián) (七) 網(wǎng)站安全總結(jié)及防護建議 二��、 終端安全 (一) 運行異常 (二) 勒索病毒 (三) 終端DDoS攻擊 (四) 終端安全總結(jié)及防護建議 三�����、 服務器安全 (一) 運行異常 (二) 木馬病毒 (三) 勒索病毒 (四) 服務器DDoS攻擊 (五) 服務器安全總結(jié)及防護建議 四�����、 郵箱安全 (一) 郵箱異常 (二) 郵箱DDoS攻擊 (三) 郵箱安全總結(jié)及防護建議 第四章 應急響應典型案例 一����、 某醫(yī)院服務器勒索軟件事件應急響應 (一) 事件概述 (二) 防護建議 二��、 某電網(wǎng)公司終端勒索軟件事件應急響應 (一) 事件概述 (二) 防護建議 三����、 某汽車公司挖礦木馬事件應急響應 (一) 事件概述 (二) 防護建議 四���、 某部委CC事件應急響應 (一) 事件概述 (二) 防護建議 五��、 某證券公司DDoS事件應急響應 (一) 事件概述 (二) 防護建議 六、 某集團網(wǎng)站掛馬事件應急響應 (一) 事件概述 (二) 防護建議 七�����、 某大學網(wǎng)站非法頁面應急響應 (一) 事件概述 (二) 防護建議 八�����、 某部委蠕蟲病毒事件應急響應 (一) 事件概述 (二) 防護建議 九��、 某人民法院遭到APT攻擊事件應急響應 (一) 事件概述 (二) 防護建議 第五章 附錄 360安服團隊
第一章 研究背景
當前����,網(wǎng)絡(luò)空間安全形勢日益嚴峻��,國內(nèi)政府機構(gòu)、大中型企業(yè)的門戶網(wǎng)站和重要核心業(yè)務系統(tǒng)成為攻擊者的首要攻擊目標��,安全事件層出不窮、逐年增加�����,給各單位造成嚴重的影響����。為妥善處置和應對政府機構(gòu)����、大中型企業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生的突發(fā)事件,確保關(guān)鍵信息基礎(chǔ)設(shè)施的安全����、穩(wěn)定�����、持續(xù)運行����,防止造成重大聲譽影響和經(jīng)濟損失,需進一步加強網(wǎng)絡(luò)安全與信息化應急保障能力��。
2018年���,360安全服務團隊/360安服團隊共為全國各地600余家政府機構(gòu)、大中型企業(yè)提供了網(wǎng)絡(luò)安全應急響應服務����,參與和協(xié)助處置各類網(wǎng)絡(luò)安全應急響應事件717次,第一時間恢復系統(tǒng)運行��,最大限度減少突發(fā)安全事件對政府機構(gòu)、大中型企業(yè)的門戶網(wǎng)站和業(yè)務系統(tǒng)造成的損失和對公眾的不良影響����,提高了公眾服務滿足度。同時�����,為政府機構(gòu)、大中型企業(yè)建立完善的應急響應體系提供技術(shù)支撐。
網(wǎng)絡(luò)安全應急響應服務是安全防護的最后一道防線��,鞏固應急防線對安全能力建設(shè)至關(guān)重要����。360構(gòu)建了全流程的應急響應服務體系��,為政府機構(gòu)����、大中型企業(yè)提供高效��、實時��、全生命周期的應急服務����。
第二章 應急響應監(jiān)測分析
2018年360安服團隊共參與和處置了717起全國范圍內(nèi)的網(wǎng)絡(luò)安全應急響應事件����,第一時間協(xié)助用戶處理安全事故,確保了用戶門戶網(wǎng)站和重要業(yè)務系統(tǒng)的持續(xù)安全穩(wěn)定運行�����。為進一步提高政府機構(gòu)����、大中型企業(yè)對突發(fā)安全事件的認識�����,增強安全防護意識����,同時強化第三方安全服務商的應急響應能力����,對2018年全年處置的所有應急響應事件從不同維度進行統(tǒng)計分析,反映全年的應急響應情況和攻擊者的攻擊目的及意圖。
一����、 月度報告趨勢分析
2018年全年360安服團隊共參與和處置了717起網(wǎng)絡(luò)安全應急響應事件�����,月度報告趨勢分布如下圖所示:
從上述數(shù)據(jù)中可以看到,每年年初和年底發(fā)生的應急響應事件請求存在較大反差,年初處置的安全應急請求較少�����,年底相對較多��,8月份應急請求達全年最高,全年整體上處置的安全應急請求趨于上升趨勢�����。
對政府機構(gòu)、大中型企業(yè)的攻擊從未間斷過���,在重要時期的攻擊更加頻繁��。所以�����,政府機構(gòu)��、大中型企業(yè)應做好全年的安全防護工作,特別是重要時期的安全保障工作����,同時建立完善的應急響應機制�����。
二���、 行業(yè)報告排名分析
通過對2018年全年應急響應事件行業(yè)分類分析�����,匯總出行業(yè)應急處置數(shù)量排名��,如下圖所示:
需要說明的是��,應急響應次數(shù)多,并不意味著這個行業(yè)的整體安全狀況差。這與機構(gòu)本身的數(shù)量和性質(zhì)有關(guān)�����,與360的客戶覆蓋也有關(guān)����。
從上述數(shù)據(jù)中可以看出�����,行業(yè)應急處置排在前三位的分別為公檢法(66起)、政府部門(63起)、醫(yī)療機構(gòu)(56起)����,占到所有行業(yè)應急處置的9.0%、8.0%��、8.0%��,三者之和約占應急處置事件總量的25%��,即全年應急響應事件四分之一是出在政府部門����、事業(yè)單位、金融機構(gòu)。而金融、教育培訓����、事業(yè)單位��、IT信息技術(shù)、制造業(yè)所產(chǎn)生的應急響應事件也占到了所有行業(yè)的18%��。
從行業(yè)報告排名可知,攻擊者的主要攻擊對象為公檢法����、各級政府部門以及醫(yī)療衛(wèi)生�����,其次為金融、教育培訓���、IT信息技術(shù)和事業(yè)單位�����,從中竊取數(shù)據(jù)���、敲詐勒索�����。上述機構(gòu)在原有安全防護基礎(chǔ)上,應進一步強化安全技術(shù)和管理建設(shè)��,同時應與第三方安全服務商建立良好的應急響應溝通和處置機制����。
三���、 攻擊事件發(fā)現(xiàn)分析
政企機構(gòu)對網(wǎng)絡(luò)攻擊的重視程度、發(fā)現(xiàn)能力和主動響應的能力正在顯著上升。2016年,在360安服團隊參與處置的網(wǎng)絡(luò)安全應急響應事件中����,僅有31.5%的攻擊事件是政企機構(gòu)自行發(fā)現(xiàn)的�����,其他68.5%均為接到了第三方機構(gòu)通報��。這些第三方機構(gòu)包括網(wǎng)絡(luò)安全監(jiān)管機構(gòu),行業(yè)主管機構(gòu)和媒體等����。
但是,2017年和2018年的統(tǒng)計數(shù)據(jù)顯示��,近九成的攻擊事件都是政企機構(gòu)自行發(fā)現(xiàn)并請求援助的��。分析認為�����,這可能主要是由于2017年6月《網(wǎng)絡(luò)安全法》的實施���,大中型政企機構(gòu)對安全事件的應急響應重視程度大幅提高���,盡早發(fā)現(xiàn)�����,盡早處置���,自行響應漸成主流。但是�����,仍有近一成的安全事件�����,企業(yè)實際上是不自知的,他們是在得到了監(jiān)管機構(gòu)的通報或看到了媒體的公開報道后���,才得知自己已經(jīng)被攻擊了�����。
通過對2018年全年應急響應事件攻擊發(fā)現(xiàn)類型分析,匯總出攻擊事件發(fā)現(xiàn)情況����,如下圖所示:
在2018年360安服團隊參與處置的所有政府機構(gòu)和企業(yè)的網(wǎng)絡(luò)安全應急響應事件中,由行業(yè)單位自己發(fā)現(xiàn)的安全攻擊事件占92%�����,而另有8%的安全攻擊事件政府機構(gòu)和企業(yè)實際上是不自知的,他們是在得到了監(jiān)管機構(gòu)或主管單位的通報才得知已被攻擊��。
雖然政府機構(gòu)和企業(yè)自行發(fā)現(xiàn)的安全攻擊事件占到了92%,但并不代表其具備了潛在威脅的發(fā)現(xiàn)能力�����。其中,占安全攻擊事件總量61%的事件是政府機構(gòu)和企業(yè)通過內(nèi)部安全運營巡檢的方式自主查出的�����,而其余31%的安全攻擊事件能夠被發(fā)現(xiàn)��,則完全是因為其網(wǎng)絡(luò)系統(tǒng)已經(jīng)出現(xiàn)了顯著的入侵跡象��,或者是已經(jīng)遭到了攻擊者的敲詐勒索���。更有甚者���,某些單位實際上是在已經(jīng)遭遇了巨大的財產(chǎn)損失后才發(fā)現(xiàn)自己的網(wǎng)絡(luò)系統(tǒng)遭到了攻擊����。
從上述數(shù)據(jù)中可以看出,政府機構(gòu)、大中型企業(yè)仍然普遍缺乏足夠的安全監(jiān)測能力���,缺乏主動發(fā)現(xiàn)隱蔽性較好地入侵威脅的能力���。
四、 影響范圍分布分析
通過對2017年全年應急響應事件處置報告分析���,匯總出安全事件的影響范圍分布即失陷區(qū)域分布,如下圖所示:
從上述數(shù)據(jù)中可以看出�����,安全事件的影響范圍主要集中在外部網(wǎng)站和內(nèi)部網(wǎng)站(25.3%)���、內(nèi)部服務器和數(shù)據(jù)庫(18.7%)���。除此之外,還占有一定比例的還有辦公終端(17.5%)��、業(yè)務專網(wǎng)(6.3%)����。
從影響范圍分布可知,攻擊者的主要攻擊對象為政府機構(gòu)、大中型企業(yè)的互聯(lián)網(wǎng)門戶網(wǎng)站��、內(nèi)部網(wǎng)站、內(nèi)部業(yè)務系統(tǒng)服務器以及數(shù)據(jù)庫���,其主要原因是門戶網(wǎng)站暴露在互聯(lián)網(wǎng)上受到多重安全威脅,攻擊者通過對網(wǎng)站的攻擊����,實現(xiàn)敲詐勒索����、滿足個人利益需求���;而內(nèi)部網(wǎng)站��、內(nèi)部服務器和數(shù)據(jù)庫運行核心業(yè)務系統(tǒng)��、存放重要數(shù)據(jù)���,也成為攻擊者進行黑產(chǎn)活動����、敲詐勒索等違法行為的主要攻擊目標�����。
基于此,政府機構(gòu)��、大中型企業(yè)應強化對互聯(lián)網(wǎng)門戶網(wǎng)站的安全防護建設(shè),加強對內(nèi)網(wǎng)中內(nèi)部網(wǎng)站�����、內(nèi)部服務器和數(shù)據(jù)庫����、終端以及業(yè)務系統(tǒng)的安全防護保障和數(shù)據(jù)安全管理��。
五���、 攻擊意圖分布分析
通過對2018年全年應急響應事件處置報告分析,匯總出攻擊者攻擊政府機構(gòu)�����、大中型企業(yè)的攻擊意圖分布,如下圖所示:
從上述數(shù)據(jù)中可以看出�����,黑產(chǎn)活動、敲詐勒索仍然是攻擊者攻擊政府機構(gòu)�����、大中型企業(yè)的主要原因���。攻擊者通過黑詞暗鏈�����、釣魚頁面、挖礦程序等攻擊手段開展黑產(chǎn)活動謀取暴利����;利用勒索病毒感染政府機構(gòu)�����、大中型企業(yè)終端�����、服務器�����,對其實施敲詐勒索�����。對于大部分攻擊者而言,其進行攻擊的主要原因是為獲取暴利���,實現(xiàn)自身最大利益�����。
其次是內(nèi)部違規(guī)響應事件����,表明政府機構(gòu)��、大中型企業(yè)業(yè)務人員、運維人員的安全意識有待提升��。
APT攻擊和出于政治原因攻擊意圖的存在���,說明具有組織性���、針對性的攻擊團隊對政府機構(gòu)����、大中型企業(yè)的攻擊目的不單單是為錢財,而有可能出于政治意圖�����,竊取國家層面�����、重點領(lǐng)域的數(shù)據(jù)�����。雖然APT攻擊和出于政治原因的攻擊數(shù)量相對較少,但其危害性較重�����,所以政府機構(gòu)�����、大中型企業(yè)����,特別是政府機構(gòu)����,應強化整體安全防護體系建設(shè)。
六��、 攻擊現(xiàn)象統(tǒng)計分析
通過對2018年全年應急響應事件處置報告分析�����,匯總出攻擊現(xiàn)象排名,如下圖所示:
從上述數(shù)據(jù)可以看出���,攻擊者對系統(tǒng)的攻擊所產(chǎn)生現(xiàn)象主要表現(xiàn)為導致生產(chǎn)效率低下�����、破壞性攻擊����、聲譽影響����、系統(tǒng)不可用����。
其中,導致生產(chǎn)效率低下占比20%����,攻擊者通過挖礦、拒絕服務等攻擊手段使服務器CPU占用率異常高�����,從而造成生產(chǎn)效率低下;數(shù)據(jù)丟失占比13%����;破壞性攻擊占比10%,攻擊者通過利用服務器漏洞����、配置不當、弱口令�����、Web漏洞等系統(tǒng)安全缺陷��,對系統(tǒng)實施破壞性攻擊��;系統(tǒng)不可用占比7%��,主要表現(xiàn)為攻擊者通過對系統(tǒng)的攻擊����,直接造成業(yè)務系統(tǒng)宕機;聲譽影響占比5%���,主要體現(xiàn)在對政府機構(gòu)����、大中型企業(yè)門戶網(wǎng)站進行的網(wǎng)頁篡改、黑詞暗鏈����、釣魚網(wǎng)站、非法子頁面等攻擊����,對政府和企業(yè)造成嚴重的聲譽影響,特別是政府機構(gòu)���。同時,敏感信息泄露�����、數(shù)據(jù)被篡改��、網(wǎng)絡(luò)不可用也是攻擊產(chǎn)生的現(xiàn)象����,對政府機構(gòu)、大中型企業(yè)造成嚴重后果�����。
從攻擊現(xiàn)象統(tǒng)計看,攻擊者對系統(tǒng)的攻擊具備破壞性��、針對性����,嚴重影響系統(tǒng)正常運行。
七�����、 事件類型分布分析
通過對2018年全年應急響應事件處置報告分析���,匯總出事件類型分布�����,如下圖所示:
從上述數(shù)據(jù)可以看出����,安全事件類型主要表現(xiàn)在服務器病毒告警����、網(wǎng)頁被篡改�����、運行異常/異常外聯(lián)����、PC病毒告警等方面����。
其中,服務器病毒告警是攻擊者利用病毒感染對服務器進行的攻擊�����,占48%����,成為攻擊者主要的攻擊手段����;PC病毒告警是攻擊者利用病毒感染對辦公終端進行攻擊,占14%�����,是對攻擊終端的主要手段;webshell告警����、木馬告警是攻擊者對互聯(lián)網(wǎng)門戶網(wǎng)站進行的常見攻擊,占8%�����,可能會導致政府機構(gòu)��、大中型企業(yè)數(shù)據(jù)外泄�����;運行異常/異常外聯(lián)是攻擊者利用不同的攻擊手段造成服務器��、系統(tǒng)運行異?��;虍惓M饴?lián)�����,降低生產(chǎn)效率��;��。
除此之外����,還有流量監(jiān)測異常、被通報安全事件��、網(wǎng)站無法訪問/訪問遲緩�����、網(wǎng)站被篡改等安全事件類型���。所以��,作為政府機構(gòu)�����、大中型企業(yè)的安全負責人和安全主管�����,應清楚地認識到攻擊者可通過不同的攻擊手段、攻擊方式,對我們的服務器或系統(tǒng)進行攻擊��,單一���、被動的安全防護措施已無法滿足安全防護需要���。
第三章 應急響應服務分析
根據(jù)2018年360安服團隊的現(xiàn)場處置情況,政府機構(gòu)���、大中型企業(yè)在自行發(fā)現(xiàn)或被通告攻擊事件����,并主動尋求應急響應服務時��,絕大多數(shù)情況是因為互聯(lián)網(wǎng)網(wǎng)站(DMZ區(qū))���、辦公區(qū)終端�����、核心重要業(yè)務服務器以及郵件服務器等遭到了網(wǎng)絡(luò)攻擊��,影響了系統(tǒng)運行和服務質(zhì)量���。
下面將分別對這四類對象從主要現(xiàn)象���、主要危害、攻擊方法����,以及攻擊者的主要目的進行分類分析。
一���、 網(wǎng)站安全
(一)網(wǎng)頁被篡改
主要現(xiàn)象:首頁或關(guān)鍵頁面被篡改��,出現(xiàn)各種不良信息�����,甚至反動信息��。
主要危害:散步各類不良或反動信息���,影響政府機構(gòu)、企業(yè)聲譽��,特別是政府機構(gòu)�����,降低其公信力���。
攻擊方法:黑客利用webshell等木馬后門��,對網(wǎng)頁實施篡改�����。
攻擊目的:宣泄對社會或政府的不滿��;炫技或挑釁中招企業(yè)�����;對企業(yè)進行敲詐勒索�����。
(二)非法子頁面
主要現(xiàn)象:網(wǎng)站存在賭博��、色情��、釣魚等非法子頁面����。
主要危害:通過搜索引擎搜索相關(guān)網(wǎng)站,將出現(xiàn)賭博���、色情等信息��;通過搜索引擎搜索賭博���、色情信息,也會出現(xiàn)相關(guān)網(wǎng)站��;對于被植入釣魚網(wǎng)頁的情況��,當用戶訪問相關(guān)釣魚網(wǎng)站頁面時���,安全軟件可能不會給出風險提示�����。
對于政府網(wǎng)站而言�����,該現(xiàn)象的出現(xiàn)將嚴重降低政府的權(quán)威性及在民眾中的公信力�����,挽回難度相對較大��。
攻擊方法:黑客利用webshell等木馬后門�����,對網(wǎng)站進行子頁面的植入����。
攻擊目的:惡意網(wǎng)站的SEO優(yōu)化��;為網(wǎng)絡(luò)詐騙提供“相對安全”釣魚頁面�����。
(三)網(wǎng)站DDoS攻擊
主要現(xiàn)象:政府機構(gòu)或企業(yè)網(wǎng)站無法訪問�����、訪問遲緩�����。
主要危害:網(wǎng)站業(yè)務中斷,用戶無法訪問網(wǎng)站�����。特別是對于政府官網(wǎng)����,影響民眾網(wǎng)上辦事,降低政府公信力��。
攻擊方法:黑客利用多類型DDoS技術(shù)對網(wǎng)站進行分布式抗拒絕服務攻擊���。
攻擊目的:敲詐勒索政府或企業(yè)���;企業(yè)間的惡意競爭;宣泄對網(wǎng)站的不滿����。
(四)CC攻擊
主要現(xiàn)象:網(wǎng)站無法訪問、網(wǎng)頁訪問緩慢�����、業(yè)務異常。
主要危害:網(wǎng)站業(yè)務中斷��,用戶無法訪問網(wǎng)站�����、網(wǎng)頁訪問緩慢��。
攻擊方法:主要采用發(fā)起遍歷數(shù)據(jù)攻擊行為�����、發(fā)起SQL注入攻擊行為��、發(fā)起頻繁惡意請求攻擊行為等攻擊方式進行攻擊�����。
攻擊目的:敲詐勒索��;惡意競爭�����;宣泄對網(wǎng)站的不滿��。
(五)網(wǎng)站流量異常
主要現(xiàn)象:異?�,F(xiàn)象不明顯��,偶發(fā)性流量異常偏高���,且非業(yè)務繁忙時段也會出現(xiàn)流量異常偏高����。
主要危害:盡管從表面上看��,網(wǎng)站受到的影響不大�����。但實際上����,網(wǎng)站已經(jīng)處于被黑客控制的高度危險狀態(tài),各種有重大危害的后果都有可能發(fā)生���。
攻擊方法:黑客利用webshell等木馬后門�����,控制網(wǎng)站�����;某些攻擊者甚至會以網(wǎng)站為跳板�����,對企業(yè)的內(nèi)部網(wǎng)絡(luò)實施滲透��。
攻擊目的:對網(wǎng)站進行掛馬�����、篡改���、暗鏈植入、惡意頁面植入�����、數(shù)據(jù)竊取等���。
(六)異常進程與異常外聯(lián)
主要現(xiàn)象:操作系統(tǒng)響應緩慢�����、非繁忙時段流量異常�����、存在異常系統(tǒng)進程以及服務����,存在異常的外連現(xiàn)象。
主要危害:系統(tǒng)異常�����,系統(tǒng)資源耗盡����,業(yè)務無法正常運作;同時����,網(wǎng)站也可能會成為攻擊者的跳板,或者是對其他網(wǎng)站發(fā)動DDoS攻擊的攻擊源��。
攻擊方法:使用網(wǎng)站系統(tǒng)資源對外發(fā)起DDoS攻擊����;將網(wǎng)站作為IP代理�����,隱藏攻擊者�����,實施攻擊��。
攻擊目的:長期潛伏��,竊取重要數(shù)據(jù)信息��。
(七)網(wǎng)站安全總結(jié)及防護建議
常見攻擊手段
以上六類網(wǎng)站安全威脅�����,是政府機構(gòu)���、大中型企業(yè)門戶網(wǎng)站所面臨的主要威脅����,也是網(wǎng)站安全應急響應服務所要解決的主要問題���。
通過對現(xiàn)場處置情況的匯總和分析得知,黑客主要采用以下攻擊手段對網(wǎng)站實施攻擊:
1) 黑客利用門戶網(wǎng)站Tomcat��、IIS等中間件已有漏洞��、網(wǎng)站各類應用上傳漏洞��、弱口令以及第三方組件或服務配置不當?shù)?����,將webshell上傳至門戶web服務器��,利用該webshell對服務器進行惡意操作���;
2) 黑客利用已有漏洞上傳惡意腳本�����,如挖礦木馬等����,造成網(wǎng)站運行異常��;
3) 黑客利用多類型DDoS攻擊技術(shù)(SYN Flood、ACK Flood����、UDP Flood、ICMP Flood等)���,對網(wǎng)站實施DDoS攻擊����;
4) 黑客發(fā)起遍歷數(shù)據(jù)攻擊�����、SQL注入攻擊���、頻繁惡意請求攻擊等攻擊方式進行攻擊�����。
安全防護建議
針對網(wǎng)站所面臨的安全威脅以及可能造成的安全損失���,政府機構(gòu)���、大中型企業(yè)應采取以下安全防護措施:
1) 針對網(wǎng)站��,建立完善的監(jiān)測預警機制��,及時發(fā)現(xiàn)攻擊行為����,啟動應急預案并對攻擊行為進行防護;
2) 有效加強訪問控制ACL策略��,細化策略粒度�����,按區(qū)域按業(yè)務嚴格限制各網(wǎng)絡(luò)區(qū)域以及服務器之間的訪問���,采用白名單機制只允許開放特定的業(yè)務必要端口�����,其他端口一律禁止訪問����,僅管理員IP可對管理端口進行訪問,如FTP��、數(shù)據(jù)庫服務�����、遠程桌面等管理端口���;
3) 配置并開啟網(wǎng)站應用日志����,對應用日志進行定期異地歸檔��、備份����,避免在攻擊行為發(fā)生時,導致無法對攻擊途徑、行為進行溯源等,加強安全溯源能力���;
4) 加強入侵防御能力�����,建議在網(wǎng)站服務器上安裝相應的防病毒軟件或部署防病毒網(wǎng)關(guān)��,即時對病毒庫進行更新���,并且定期進行全面掃描����,加強入侵防御能力;
5) 定期開展對網(wǎng)站系統(tǒng)��、應用以及網(wǎng)絡(luò)層面的安全評估、滲透測試以及代碼審計工作,主動發(fā)現(xiàn)目前存在的安全隱患;
6) 建議部署全流量監(jiān)測設(shè)備,及時發(fā)現(xiàn)惡意網(wǎng)絡(luò)流量,同時可進一步加強追蹤溯源能力�����,對安全事件發(fā)生時可提供可靠的追溯依據(jù)����;
7) 加強日常安全巡檢制度���,定期對系統(tǒng)配置��、網(wǎng)絡(luò)設(shè)備配合�����、安全日志以及安全策略落實情況進行檢查,常態(tài)化信息安全工作��。
二�����、 終端安全
(一)運行異常
主要現(xiàn)象:操作系統(tǒng)響應緩慢、非繁忙時段流量異常、存在異常系統(tǒng)進程以及服務��、存在異常的外連現(xiàn)象���。
主要危害:被攻擊的終端被攻擊者遠程控制��;政府機構(gòu)和企業(yè)的敏感����、機密數(shù)據(jù)可能被竊取���。個別情況下����,會造成比較嚴重的系統(tǒng)數(shù)據(jù)破壞��。
攻擊方法:針對政府機構(gòu)����、企業(yè)辦公區(qū)終端的攻擊,很多情況下是由高級攻擊者發(fā)動的��,而高級攻擊者的攻擊行動往往動作很小����,技術(shù)也更隱蔽��,所以通常情況下���,并沒有太多的異?���,F(xiàn)象���,被攻擊者往往很難發(fā)覺��。
攻擊目的:長期潛伏���,收集信息���,以便于進一步滲透;竊取重要數(shù)據(jù)并外傳����;使用終端資源對外發(fā)起DDoS攻擊。
(二)勒索病毒
主要現(xiàn)象:內(nèi)網(wǎng)終端出現(xiàn)藍屏�����、反復重啟和文檔被加密的現(xiàn)象����。
主要危害:政府機構(gòu)、企業(yè)向攻擊者付勒索費用��;造成內(nèi)網(wǎng)終端無法正常運行�����;數(shù)據(jù)可能泄露���。
攻擊方法:通過弱口令探測����、軟件和系統(tǒng)漏洞、傳播感染等攻擊方式��,使內(nèi)網(wǎng)終端感染勒索病毒�����。
攻擊目的:向政府機構(gòu)����、企業(yè)勒索錢財,以到達自身盈利目的��。
(三)終端DDoS攻擊
主要現(xiàn)象:內(nèi)網(wǎng)終端不斷進行外網(wǎng)惡意域名的請求����。
主要危害:造成內(nèi)網(wǎng)終端資源的浪費�����;攻擊者可能對內(nèi)網(wǎng)進行攻擊�����,造成業(yè)務中止、數(shù)據(jù)泄露等��。
攻擊方法:可通過網(wǎng)絡(luò)連接���、異常進程�����、系統(tǒng)進程注入可疑DLL模塊以及異常啟動項等多種方式進行攻擊�����。
攻擊目的:使用政府機構(gòu)���、企業(yè)的內(nèi)網(wǎng)終端資源對外發(fā)起DDoS攻擊,以達到敲詐���、勒索以及惡意競爭等目的���。
(四)終端安全總結(jié)及防護建議
常見攻擊手段
以上三類終端安全威脅,是政府機構(gòu)、大中型企業(yè)內(nèi)網(wǎng)終端所面臨的主要威脅����,也是終端安全應急響應所要解決的主要問題。
通過對現(xiàn)場處置情況的匯總和分析得知��,黑客主要采用以下攻擊手段對終端實施攻擊:
1) 通過弱口令爆破�����、軟件和系統(tǒng)漏洞�����、社會人工學以及其他等攻擊手段�����,使內(nèi)網(wǎng)終端感染病毒��;
2) 通過網(wǎng)絡(luò)連接����、異常進程��、系統(tǒng)進程注入可疑DLL模塊以及異常啟動項等多種方式進行攻擊。
安全防護建議
針對內(nèi)網(wǎng)終端所面臨的安全威脅以及可能造成的安全損失���,政府機構(gòu)��、大中型企業(yè)應采取以下安全防護措施:
1) 定期給終端系統(tǒng)及軟件安裝最新補丁����,防止因為漏洞利用帶來的攻擊���;
2) 采用統(tǒng)一的防病毒軟件�����,并定時更新����,抵御常見木馬病毒�����;
3) 在網(wǎng)絡(luò)層面采用能夠?qū)θ髁窟M行持續(xù)存儲和分析的設(shè)備���,對已知安全事件進行定位溯源���,對未知的高級攻擊進行發(fā)現(xiàn)和捕獲��;
4) 完善政府機構(gòu)和企業(yè)內(nèi)部的IP和終端位置信息關(guān)聯(lián)��,并記錄到日志中����,方便根據(jù)IP直接定位機器位置���;
5) 加強員工對終端安全操作和管理培訓�����,提高員工安全意識����。
三����、 服務器安全
(一)運行異常
主要現(xiàn)象:操作系統(tǒng)響應緩慢、非繁忙時段流量異常���、存在異常系統(tǒng)進程以及服務����、存在異常的外連現(xiàn)象���。
主要危害:被攻擊的服務器被攻擊者遠程控制����;政府機構(gòu)和企業(yè)的敏感��、機密數(shù)據(jù)可能被竊取����。個別情況下,會造成比較嚴重的系統(tǒng)數(shù)據(jù)破壞�����。
攻擊方法:針對政府機構(gòu)���、企業(yè)服務器的攻擊��,很多情況下是由高級攻擊者發(fā)動的����,攻擊過程往往更加隱蔽,更加難以被發(fā)現(xiàn)�����,技術(shù)也更隱蔽��。通常情況下��,并沒有太多的異?����,F(xiàn)象�����。
攻擊目的:長期潛伏�����,收集信息�����,以便于進一步滲透����;竊取重要數(shù)據(jù)并外傳����;使用服務器資源對外發(fā)起DDoS攻擊��。
(二)木馬病毒
主要現(xiàn)象:服務器無法正常運行或異常重啟�����、管理員無法正常登陸進行管理�����、重要業(yè)務中斷���、服務器響應緩慢等。
主要危害:被攻擊的服務器被攻擊者遠程控制����;政府機構(gòu)和企業(yè)的敏感、機密數(shù)據(jù)可能被竊取�����。個別情況下,會造成比較嚴重的系統(tǒng)數(shù)據(jù)破壞��。
攻擊方法:黑客通過利用弱口令探測�����、系統(tǒng)漏洞�����、應用漏洞等攻擊方式�����,種植惡意病毒進行攻擊��。
攻擊目的:利用內(nèi)網(wǎng)服務器資源進行虛擬幣的挖掘���,從而賺取相應的虛擬幣���,以到達獲利目的。
(三)勒索病毒
主要現(xiàn)象:內(nèi)網(wǎng)服務器文件被勒索軟件加密����,無法打開����,索要天價贖金��。
主要危害:用戶無法打開文件��,政府機構(gòu)����、企業(yè)向攻擊者付勒索費用��;造成內(nèi)網(wǎng)服務器無法正常運行����;數(shù)據(jù)可能泄露。
攻擊方法:通過利用弱口令探測��、共享文件夾加密�����、軟件和系統(tǒng)漏洞�����、數(shù)據(jù)庫爆破等攻擊方式,使內(nèi)網(wǎng)服務器感染勒索病毒�����。
攻擊目的:通過使服務器感染勒索病毒����,向政府機構(gòu)、企業(yè)勒索錢財����,以到達自身盈利目的。
(四)服務器DDoS攻擊
主要現(xiàn)象:向外網(wǎng)發(fā)起大量異常網(wǎng)絡(luò)請求����、惡意域名請求等。
主要危害:嚴重影響內(nèi)網(wǎng)服務器性能���,如服務器CPU以及帶寬等���,導致服務器上的業(yè)務無法正常運行;攻擊者可能竊取內(nèi)網(wǎng)數(shù)據(jù)���,造成數(shù)據(jù)泄露等��。
攻擊方法:黑客可能利用弱口令�����、系統(tǒng)漏洞��、應用漏洞等系統(tǒng)缺陷����,通過種馬的方式,讓服務器感染DDoS木馬��,以此發(fā)起DDoS攻擊����。
攻擊目的:使用政府機構(gòu)����、企業(yè)的內(nèi)網(wǎng)服務器對外發(fā)起DDoS攻擊,以達到敲詐��、勒索以及惡意競爭等目的���。
(五)服務器安全總結(jié)及防護建議
常見攻擊手段
以上四類服務器安全威脅���,是政府機構(gòu)����、大中型企業(yè)內(nèi)網(wǎng)服務器所面臨的主要威脅����,也是服務器安全應急響應服務所要解決的主要問題。
通過對現(xiàn)場處置情況的匯總和分析得知���,黑客主要采用以下攻擊手段對服務器實施攻擊:
1) 通過弱口令探測����、共享文件夾加密��、軟件和系統(tǒng)漏洞����、數(shù)據(jù)庫爆破以及Webshell等多種攻擊方式,感染內(nèi)網(wǎng)服務器勒索病毒����;
2) 黑客利用弱口令����、系統(tǒng)漏洞����、應用漏洞等系統(tǒng)缺陷,通過種馬的方式���,讓服務器感染各類木馬(如挖礦木馬����、DDoS木馬等)��,以此實現(xiàn)攻擊目的����。
安全防護建議
針對內(nèi)網(wǎng)服務器所面臨的安全威脅以及可能造成的安全損失,政府機構(gòu)�����、大中型企業(yè)應采取以下安全防護措施:
1) 及時清除發(fā)現(xiàn)的webshell后門�����、惡意木馬文件��、挖礦程序���。在不影響系統(tǒng)正常運行的前提下����,建議重新安裝操作系統(tǒng)����,并重新部署應用,以保證惡意程序被徹底清理����;
2) 對受害內(nèi)網(wǎng)機器進行全盤查殺,可進行全盤重裝系統(tǒng)更好��,同時該機器所屬使用者的相關(guān)賬號密碼信息應及時更改�����;
3) 系統(tǒng)相關(guān)用戶杜絕使用弱口令����,設(shè)置高復雜強度的密碼��,盡量包含大小寫字母����、數(shù)字���、特殊符號等的混合密碼�����,加強運維人員安全意識����,禁止密碼重用的情況出現(xiàn)���;
4) 有效加強訪問控制ACL策略����,細化策略粒度�����,按區(qū)域按業(yè)務嚴格限制各個網(wǎng)絡(luò)區(qū)域以及服務器之間的訪問���,采用白名單機制只允許開放特定的業(yè)務必要端口�����,其他端口一律禁止訪問��,僅管理員IP可對管理端口進行訪問����,如遠程桌面等管理端口����;
5) 禁止服務器主動發(fā)起外部連接請求,對于需要向外部服務器推送共享數(shù)據(jù)的���,應使用白名單的方式���,在出口防火墻加入相關(guān)策略,對主動連接IP范圍進行限制��;
6) 加強入侵防御能力�����,建議在服務器上安裝相應的防病毒軟件或部署防病毒網(wǎng)關(guān),即時對病毒庫進行更新����,并且定期進行全面掃描,加強入侵防御能力��;
7) 建議增加流量監(jiān)測設(shè)備的日志存儲周期����,定期對流量日志進行分析,及時發(fā)現(xiàn)惡意網(wǎng)絡(luò)流量����,同時可進一步加強追蹤溯源能力,對安全事件發(fā)生時可提供可靠的追溯依據(jù)����;
8) 定期開展對服務器系統(tǒng)、應用以及網(wǎng)絡(luò)層面的安全評估���、滲透測試以及代碼審計工作���,主動發(fā)現(xiàn)目前系統(tǒng)、應用存在的安全隱患;
9) 加強日常安全巡檢制度����,定期對系統(tǒng)配置��、網(wǎng)絡(luò)設(shè)備配合����、安全日志以及安全策略落實情況進行檢查,常態(tài)化信息安全工作��。
四���、 郵箱安全
(一)郵箱異常
主要現(xiàn)象:郵箱異常���、郵件服務器發(fā)送垃圾郵件。
主要危害:嚴重影響郵件服務器性能����、郵箱運行異常。
攻擊方法:黑客通過多渠道獲取員工郵箱密碼��,進而登錄到郵箱系統(tǒng)進行垃圾郵件發(fā)送操作��。
攻擊目的:炫技或挑釁中招單位����;向政府機構(gòu)���、企業(yè)勒索錢財,以到達自身盈利目的��。
(二)郵箱DDoS攻擊
主要現(xiàn)象:無法正常發(fā)送郵件���、服務器宕機���。
主要危害:郵件服務器業(yè)務中斷,用戶無法正常發(fā)送郵件�����。
攻擊方法:黑客對郵件服務器進行郵箱爆破�����、發(fā)送大量垃圾數(shù)據(jù)包����、投遞大量惡意郵件等。
攻擊目的:通過DDoS攻擊導致郵件服務器資源耗盡并拒絕服務,以達到敲詐���、勒索以及惡意競爭等目的����。
(三)郵箱安全總結(jié)及防護建議
常見攻擊手段
以上兩類郵件服務器安全威脅���,是政府機構(gòu)、大中型企業(yè)郵件服務器所面臨的主要威脅��,也是郵件服務器安全應急響應服務所要解決的主要問題����。
通過對現(xiàn)場處置情況的匯總和分析得知,黑客主要采用以下攻擊手段對郵件服務器實施攻擊:
1) 通過弱口令探測�����、社會人工學等多種攻擊方式控制郵件服務器��,從而發(fā)送垃圾郵件����;
2) 對郵件服務器進行郵箱爆破、發(fā)送垃圾數(shù)據(jù)包、投遞惡意郵件等��。
安全防護建議
針對郵件服務器所面臨的安全威脅以及可能造成的安全損失����,政府機構(gòu)、大中型企業(yè)應采取以下安全防護措施:
1) 郵箱系統(tǒng)使用高復雜強度的密碼����,盡量包含大小寫字母、數(shù)字��、特殊符號等的混合密碼�����,禁止密碼重用的情況出現(xiàn)����;
2) 郵箱系統(tǒng)建議開啟短信驗證功能,采用雙因子身份驗證識別措施����,將有效提高郵箱賬號的安全性;
3) 郵箱系統(tǒng)開啟HTTPS協(xié)議����,通過加密傳輸?shù)姆绞椒乐古月窋?shù)據(jù)竊聽攻擊��;
4) 加強日常攻擊監(jiān)測預警�����、巡檢��、安全檢查等工作��,及時阻斷攻擊行為;
5) 部署安全郵件網(wǎng)關(guān)進一步加強郵件系統(tǒng)安全�����。
第四章 應急響應典型案例
根據(jù)2018年應急響應數(shù)據(jù)分析�����,18年應急響應共涉及全國26個省市�����,近30個行業(yè)����,其中包括醫(yī)療衛(wèi)生���,大中型企業(yè)、政府機構(gòu)����,高等院校等多個行業(yè)。發(fā)生安全事件類型10余種��,其中不乏各種變種勒索病毒�����,蠕蟲病毒以及會導致CPU運行過高的挖礦木馬����。長生了較為惡劣的社會負面影響,也給客戶帶來嚴重損失�����。
下面將對部分行業(yè)從事件概述以及防護建議方面對突發(fā)大規(guī)模典型應急事件進行分析說明��。
一�����、 某醫(yī)院服務器勒索軟件事件應急響應
(一) 事件概述
2018年1月,360安服團隊接到某醫(yī)院的服務器安全應急響應請求����。客戶反饋有幾臺服務器出現(xiàn)重啟/藍屏現(xiàn)象����,應急響應人員初步判定為感染了勒索軟件。
應急響應人員對重啟/藍屏服務器分析后��,判定均遭受永恒之藍勒索軟件�����,同時遭受感染的服務器中部分文件被加密����。通過對服務器進行漏洞檢查發(fā)現(xiàn)服務器存在MS17-010漏洞���,同時發(fā)現(xiàn)服務器開放了445端口���。
通過本次安全事件��,醫(yī)院信息系統(tǒng)暴露了諸多安全隱患��,包括未定期開展安全評估工作�����,導致內(nèi)部服務器存在嚴重高危漏洞���;安全域劃分不明確,較為混亂���;安全意識仍需加強等�����。
(二) 防護建議
周期性對全網(wǎng)進行安全評估工作�����,及時發(fā)現(xiàn)網(wǎng)絡(luò)主機存在的安全缺陷�����,修復高風險漏洞���,避免類似事件發(fā)生�����;
系統(tǒng)�����、應用相關(guān)的用戶杜絕使用弱口令�����;
有效加強訪問控制ACL策略��,細化策略粒度��,采用白名單機制只允許開放特定的業(yè)務必要端口�����,其他端口一律禁止訪問,僅管理員IP可對管理端口進行訪問����;
加強日常安全巡檢制度���,定期對系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合�����、安全日志以及安全策略落實情況進行檢查���,常態(tài)化信息安全工作���;
加強安全意識,提高對網(wǎng)絡(luò)安全的認識���,關(guān)注重要漏洞與網(wǎng)絡(luò)安全事件���。
二、 某電網(wǎng)公司終端勒索軟件事件應急響應
(一) 事件概述
2018年4月����,360安服團隊接到某電網(wǎng)公司的終端安全應急響應請求,有幾臺辦公終端出現(xiàn)部分Office文檔�����、圖片文檔、pdf文檔多sage后綴�����,修改后變成亂碼���。
應急響應人員接到請求后��,通過對感染勒索軟件的機器樣機進行分析得知��,此次感染的勒索軟件的類型為sage2.2勒索軟件�����。對于感染過程��,響應人員分析該勒索軟件可能使用了包含欺騙性消息的惡意電子郵件���,消息可以是各種類型,皆在使?jié)撛谑芎φ叽蜷_這些電子郵件的惡意.zip����。
(二) 防護建議
對受感染的機器第一時間進行物理隔離處理;
部署終端安全管控軟件��,實時對終端進行查殺和防護;
對個人PC中比較重要的穩(wěn)定資料進行隨時備份�����,備份應離線存儲�����;
繼續(xù)加強網(wǎng)絡(luò)與信息安全意識培訓教育���。意外收到的或來自未知發(fā)件人的電子郵件�����,不要按照文字中的說明進行操作�����,不要打開任何附件�����,也不要點擊任何鏈接�����;
操作系統(tǒng)以及安裝在計算機上的所有應用程序(例如Adobe Reader���,Adobe Flash��,Sun Java等)必須始終如一地更新����。
三���、 某汽車公司挖礦木馬事件應急響應
(一)事件概述
2018年11月�����,360安服團隊接到某汽車公司的挖礦木馬事件應急響應請求��,其內(nèi)網(wǎng)多臺終端被挖礦木馬攻擊���,服務器卡頓、進程緩慢�����,無法正常運行。
應急人員到達現(xiàn)場后�����,對內(nèi)網(wǎng)服務器����、終端進程�����、日志等多方面進行分析���,發(fā)現(xiàn)內(nèi)網(wǎng)服務器�����、終端CPU被powershell進程占滿��,服務器���、終端均開放135、139���、445等服務端口��,且均未安裝“永恒之藍”補丁�����。
經(jīng)過分析排查���,應急人員成功找到問題根源���,并對病毒進行抑制、根除����。本次事件主要是由于內(nèi)部工作人員安全意識較低,點擊惡意鏈接感染終端����,然后通過被感染終端對服務器SMB弱口令進行爆破獲取服務器賬號和密碼,并利用服務器作為突破口���,對內(nèi)網(wǎng)中有“永恒之藍”漏洞的主機進行攻擊����,種植挖礦木馬,并橫向傳播���,意圖感染內(nèi)網(wǎng)其他終端���。
(二)防護建議
系統(tǒng)、應用相關(guān)的用戶杜絕使用弱口令����,同時����,應該使用高復雜強度的密碼,盡量包含大小寫字母��、數(shù)字���、特殊符號等的混合密碼���,加強管理員安全意識,禁止密碼重用的情況出現(xiàn)��,盡量避免一密多用的情況���;
禁止服務器主動發(fā)起外部連接請求�����,對于需要向外部服務器推送共享數(shù)據(jù)的���,應使用白名單的方式��,在出口防火墻加入相關(guān)策略���,對主動連接IP范圍進行限制;
關(guān)閉內(nèi)網(wǎng)遠程服務�����、共享等危險性服務端口����;
定期更新電腦補丁,使用正確渠道��,如微軟官網(wǎng)����,下載對應漏洞補?���?����;
服務器上部署安全加固軟件�����,通過限制異常登錄行為�����、開啟防爆破功能�����、禁用或限用危險端口����、防范漏洞利用等方式��,提高系統(tǒng)安全基線����,防范黑客入侵�����;
部署高級威脅監(jiān)測設(shè)備��,及時發(fā)現(xiàn)惡意網(wǎng)絡(luò)流量��,同時可進一步加強追蹤溯源能力�����,對安全事件發(fā)生時可提供可靠的追溯依據(jù)�����;
定期開展對系統(tǒng)����、應用以及網(wǎng)絡(luò)層面的安全評估�����、滲透測試以及代碼審計工作,主動發(fā)現(xiàn)目前系統(tǒng)���、應用存在的安全隱患����;
加強人員安全意識培養(yǎng)��,不要點擊來源不明的郵件附件��,不從不明網(wǎng)站下載軟件��。
四�����、 某部委CC事件應急響應
(一) 事件概述
2018年3月����,360安服團隊接到某部委的網(wǎng)站安全應急響應請求���,網(wǎng)站存在動態(tài)頁面訪問異常緩慢現(xiàn)象�����,但靜態(tài)頁面訪問正常����,同時WAF、DDoS設(shè)備出現(xiàn)告警信息���。
應急響應人員通過對現(xiàn)場技術(shù)人員所提供WAF告警日志�����、DDoS設(shè)備日志���、Web訪問日志等數(shù)據(jù)進行分析,發(fā)現(xiàn)外部對網(wǎng)站的某個動態(tài)頁面全天的訪問量多達12萬次����,從而導致動態(tài)頁面訪問緩慢。
根據(jù)本次攻擊事件的分析�����,造成網(wǎng)站動態(tài)頁面訪問緩慢的原因主要是攻擊者頻繁請求“XXX頁面”的功能����,同時該頁面查詢過程中并未要求輸入驗證碼信息,大量頻繁的HTTP請求以及數(shù)據(jù)庫查詢請求導致CC攻擊,從而使服務器處理壓力過大���,最終導致頁面訪問緩慢�����。
(二) 防護建議
對動態(tài)頁面添加有效且復雜的驗證碼功能���,確保驗證碼輸入正確后才進入查詢流程,并每次進行驗證碼刷新���;
檢查動態(tài)頁面是否存在SQL注入漏洞����;
加強日常監(jiān)測運營����,開啟安全設(shè)備上的攔截功能,特別對同一IP的頻繁請求進行攔截封鎖�����;
建議部署全流量的監(jiān)測設(shè)備���,從而彌補訪問日志上無法記錄POST具體數(shù)據(jù)內(nèi)容的不足���,有效加強溯源能力;
相關(guān)負載設(shè)備或反向代理上應重新進行配置��,使Web訪問日志可記錄原始請求IP���,有助于提高溯源分析效率����;
開啟源站保護功能���,確保只允許CDN節(jié)點訪問源站��;
定期開展?jié)B透測試工作以及源代碼安全審計工作����。
五��、 某證券公司DDoS事件應急響應
(一) 事件概述
2018年6月��,360安服團隊接到某省網(wǎng)安的應急響應請求����,本地證券公司在10日7:00-8:00遭受1G流量的DDoS攻擊����,整個攻擊過程持續(xù)了1個小時���,造成證券公司網(wǎng)站無法正常訪問�����。同時��,多個郵箱收到勒索郵件�����,并宣稱如不盡快交錢會把攻擊流量增加到1T���。
應急響應人員通過利用360大數(shù)據(jù)平臺對網(wǎng)站域名進行分析,發(fā)現(xiàn)了Top10 IP地址對被攻擊地址進行了DDoS攻擊��,并發(fā)現(xiàn)其攻擊類型為NTP反射放大攻擊���。通過后端大數(shù)據(jù)綜合分析��,準確定位了攻擊者的真實IP地址��。
(二) 防護建議
針對重要業(yè)務系統(tǒng)��、重要網(wǎng)站等��,建立完善的監(jiān)測預警機制��,及時發(fā)現(xiàn)攻擊行為����,并啟動應急預案及時對攻擊行為進行防護�����;
建議部署類似于360安域等的云安全防護產(chǎn)品����,云端安全防護產(chǎn)品對常見的DDoS、Web行為攻擊等進行有效防護��。
六����、 某集團網(wǎng)站掛馬事件應急響應
(一)事件概述
2018年5月��,360安服團隊接到某集團網(wǎng)站掛馬事件應急響應請求���,客戶門戶網(wǎng)站被掛馬,非域名或IP直接訪問跳轉(zhuǎn)色情網(wǎng)站����。
應急人員到達現(xiàn)場后,對網(wǎng)站系統(tǒng)�����、服務器文件�����、賬號��、網(wǎng)絡(luò)鏈接����、日志等多方面進行分析,網(wǎng)站網(wǎng)頁被植入惡意JS腳本代碼��,同時網(wǎng)站系統(tǒng)存在DOTNETCMS 1.0 版本漏洞��。
經(jīng)過分析排查,本次事件中黑客主要通過對網(wǎng)站進行掃描����,發(fā)現(xiàn)網(wǎng)站系統(tǒng)存在SQL注入���、登陸繞過����、任意文件上傳等漏洞�����,黑客通過利用漏洞獲取系統(tǒng)權(quán)限��,并在網(wǎng)頁中加入惡意JS腳本����,并為了不被內(nèi)部管理維護人員發(fā)現(xiàn),以達到更長時間的黑帽SEO流量��,黑客使用只從百度等搜索引擎跳轉(zhuǎn)����,其他則不跳轉(zhuǎn)��。
(二)防護建議
1���、 平時運維過程中應當及時備份重要文件,且文件備份應與主機隔離����,規(guī)避通過共享磁盤等方式進行備份;
2�����、盡量避免打開來源不明的鏈接��,給信任網(wǎng)站添加書簽并通過書簽訪問��;
3����、對非可信來源的郵件保持警惕,避免打開附件或點擊郵件中的鏈接���;
4�����、定期用專業(yè)反病毒軟件掃描系統(tǒng).及時對服務器的補丁進行更新���;
5��、定期開展對系統(tǒng)���、應用以及網(wǎng)絡(luò)層面的安全評估��、滲透測試以及代碼審計工作���,主動發(fā)現(xiàn)目前系統(tǒng)���、應用存在的安全隱患;
6��、 加強日常安全巡檢制度����,定期對系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合�����、安全日志以及安全策略落實情況進行檢查,常態(tài)化信息安全工作����。
七、 某大學網(wǎng)站非法頁面應急響應
(一) 事件概述
2018年5月�����,360安服團隊接到某大學信息中心的網(wǎng)站安全應急響應請求�����,其官網(wǎng)上出現(xiàn)大量黑鏈���、賭博���、游戲外掛等違規(guī)關(guān)鍵詞。
應急響應人員到達現(xiàn)場后����,對網(wǎng)站服務器文件、服務器賬號�����、網(wǎng)絡(luò)連接、進程信息�����、服務信息����、日志信息等多方面進行分析,發(fā)現(xiàn)文件中包含大量aspx木馬及gif圖片偽裝成木馬��,發(fā)現(xiàn)存在多個無效賬號����,以及向外連接的可疑IP地址�����。
經(jīng)過分析排查發(fā)現(xiàn)�����,本次事件中所使用的黑鏈手法為黑產(chǎn)行業(yè)慣用手法����,利用搜索引擎對大學院校網(wǎng)站發(fā)表內(nèi)容收錄快��、排名高等優(yōu)勢���,利用網(wǎng)站后臺程序漏洞對網(wǎng)站進行攻擊,上傳webshell木馬文件至服務器�����,獲取網(wǎng)站管理權(quán)限并篡改服務器原有文件��,插入黑鏈惡意腳本�����,達到控制搜索引擎網(wǎng)頁訪問跳轉(zhuǎn)��,實現(xiàn)搜索引擎“黑帽SEO”����。在獲取權(quán)限后克隆服務器管理員賬號以達到長期控制服務器的目的。
(二) 防護建議
建議部署操作系統(tǒng)及相關(guān)應用并生成快照��,進一步落實口令管理��;
建議使用獨立的、隨機生成的滿足強度要求的口令����,嚴禁使用弱口令、統(tǒng)一口令管理服務器����,及時銷毀臨時、測試賬戶����;
修改后臺管理員密碼為復雜密碼,修改后臺管理目錄為復雜路徑防止被攻擊者猜到���,禁用或刪除后臺模板功能�����;
服務器運行環(huán)境部署需要進行加固處理,關(guān)注各個應用系統(tǒng)所使用程序����、組件、第三方插件等安全現(xiàn)狀��,及時更新相應的補丁版本;
加強對敏感服務器�����、配置文件���、目錄的訪問控制�����,以免敏感配置信息泄露�����;加強信息系統(tǒng)安全配置檢查工作���。
八、 某部委蠕蟲病毒事件應急響應
(一)事件概述
2018年11月��,360安服團隊接到某部委蠕蟲病毒事件應急響應請求���,內(nèi)網(wǎng)多臺終端外聯(lián)外部惡意域名下載惡意軟件����。
應急人員到達現(xiàn)場后,對內(nèi)網(wǎng)服務器文件����、服務器賬號、網(wǎng)絡(luò)鏈接等���、日志等多方面進行分析��,發(fā)現(xiàn)內(nèi)網(wǎng)主機用戶瀏覽帶有惡意鏈接的Web頁面���,并于內(nèi)嵌鏈接中觸發(fā)對該異常域名的訪問,導致服務器被感染飛客蠕蟲病毒�����,并外聯(lián)下載惡意軟件�����。該病毒會對隨機生成的IP地址發(fā)起攻擊��,攻擊成功后會下載一個木馬病毒�����,通過修改注冊表鍵值來使某免費安全工具功能失效���。病毒會修改hosts文件�����,使用戶無法正常訪問安全廠商網(wǎng)站及服務器��。
(二)防護建議
配置并開啟操作系統(tǒng)��、關(guān)鍵應用等自動更新功能����,對最新系統(tǒng)����、應用安全補丁進行訂閱、更新��。避免攻擊者通過相關(guān)系統(tǒng)�����、應用安全漏洞對系統(tǒng)實施攻擊,或在獲取系統(tǒng)訪問權(quán)限后���,對系統(tǒng)用戶權(quán)限進行提升�����;
限制服務器及其他業(yè)務服務網(wǎng)可進行訪問的網(wǎng)絡(luò)���、主機范圍。有效加強訪問控制ACL策略�����,細化策略粒度��,按區(qū)域按業(yè)務嚴格限制各個網(wǎng)絡(luò)區(qū)域以及服務器之間的訪問��,采用白名單機制只允許開放特定的業(yè)務必要端口�����,其他端口一律禁止訪問����,僅管理員IP可對管理端口進行訪問,如FTP、數(shù)據(jù)庫服務���、遠程桌面等管理端口,限制公網(wǎng)主機對139��、445端口等訪問����;
部署高級威脅監(jiān)測設(shè)備,及時發(fā)現(xiàn)惡意網(wǎng)絡(luò)流量�����,同時可進一步加強追蹤溯源能力���,對安全事件發(fā)生時可提供可靠的追溯依據(jù)��;
定期開展對系統(tǒng)��、應用以及網(wǎng)絡(luò)層面的安全評估�����、滲透測試以及代碼審計工作�����,主動發(fā)現(xiàn)目前系統(tǒng)����、應用存在的安全隱患;
加強日常安全巡檢制度����,定期對系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合��、安全日志以及安全策略落實情況進行檢查����,常態(tài)化信息安全工作;
服務器上部署安全加固軟件����,通過限制異常登錄行為、開啟防爆破功能��、禁用或限用危險端口�����、防范漏洞利用等方式,提高系統(tǒng)安全基線�����,防范黑客入侵��;
加強人員安全意識培養(yǎng)���,不要點擊來源不明的郵件附件,不從不明網(wǎng)站下載軟件���。對來源不明的文件包括郵件附件���、上傳文件等要先殺毒處理。
九����、 某人民法院遭到APT攻擊事件應急響應
(一)事件概述
2018年12月,360安服團隊接到某人民法院遭到APT攻擊事件應急響應請求�����,客戶天眼存在APT告警行為���,服務器存在失陷跡象��,要求對服務器進行排查���,同時對攻擊影響進行分析��。
應急人員到達現(xiàn)場后���,對內(nèi)網(wǎng)服務器文件、服務器賬號��、網(wǎng)絡(luò)鏈接�����、日志等多方面進行分析����,發(fā)現(xiàn)內(nèi)網(wǎng)主機和大量服務器遭到APT組織lazarus的惡意攻擊,并被植入惡意Brambul 蠕蟲病毒和Joanap 后門程序�����。
經(jīng)過分析排查��,本次事件中APT組織所使用的是通過植入惡意Brambul蠕蟲病毒和Joanap 后門程序,進行長期潛伏���,盜取重要信息數(shù)據(jù)����。黑客通過服務器ssh弱口令爆破以及利用服務器“永恒之藍”漏洞對服務器進行攻擊���,獲取服務器權(quán)限���,并通過主機設(shè)備漏洞對大量主機進行攻擊�����,進而植入蠕蟲病毒以及后門程序��,進行長期的數(shù)據(jù)盜取�����。
(二)防護建議
1��、 內(nèi)網(wǎng)主機存在入侵痕跡�����,并存在可疑橫向傳播跡象,建議對內(nèi)網(wǎng)主機做全面排查�����,部署終端查殺工具做全面查殺��;
2����、 內(nèi)網(wǎng)服務器存在未安裝補丁現(xiàn)象,建議定期做補丁安裝����,做好服務器加固;
3���、 整個專網(wǎng)可任意訪問��,未做隔離��,建議做好邊界控制��,對各區(qū)域法院間的訪問做好訪問控制���;
4�����、 服務器運行業(yè)務不清晰��,存在一臺服務器存在其它未知業(yè)務的現(xiàn)象��,建議梳理系統(tǒng)業(yè)務�����,做好獨立系統(tǒng)運行獨立業(yè)務�����,并做好責任劃分;
5��、 失陷服務器存在異?�?寺≠~號風險��,建議全面排查清理不必要的系統(tǒng)賬號���;
6�����、 需嚴格排查內(nèi)外網(wǎng)資產(chǎn)����,做好資產(chǎn)梳理,尤其是外網(wǎng)出口做好嚴格限制���;
7����、 應用服務器需做好日志存留���,對于操作系統(tǒng)日志�����,應定期進行備份��,并進行雙機熱備��,防止日志被攻擊者惡意清除��,增大溯源難度�����;
8����、系統(tǒng)、應用相關(guān)的用戶杜絕使用弱口令����,同時,應該使用高復雜強度的密碼��,盡量包含大小寫字母��、數(shù)字�����、特殊符號等的混合密碼����,加強管理員安全意識,禁止密碼重用的情況出現(xiàn)����;
9、禁止服務器主動發(fā)起外部連接請求���,對于需要向外部服務器推送共享數(shù)據(jù)的����,應使用白名單的方式���,在出口防火墻加入相關(guān)策略���,對主動連接IP范圍進行限制;
10�����、重點建議在服務器上部署安全加固軟件��,通過限制異常登錄行為��、開啟防爆破功能����、禁用或限用危險端口���、防范漏洞利用等方式,提高系統(tǒng)安全基線�����,防范黑客入侵���;
11����、部署全流量監(jiān)測設(shè)備�����,及時發(fā)現(xiàn)惡意網(wǎng)絡(luò)流量�����,同時可進一步加強追蹤溯源能力�����,對安全事件發(fā)生時可提供可靠的追溯依據(jù)����。
(來源:互聯(lián)網(wǎng)安全內(nèi)參) |
