1、2020年上半年应急概况
2020年上半年,奇安信集团安服团队共参与和处置了全国范围内367起网络安全应急响应事件,第一时间协助用户处理安全事故,确保了用户门户网站、数据库和重要业务系统的持续安全稳定运行。
2020年月度统计情况具体如下:
在367起应急事件处置中,奇安信集团安服团队共投入工时5171小时,折合646.4人天,同比2019年上半年下降40.1%。工时下降原因主要有两点:
1)上半年受疫情影响,大部分政企机构的生产活动处于暂停或半暂停状态,客观上减少了安全事故的发生率。
2)2019年3月份,“永恒之蓝下载器”木马攻击事件全面爆发,2020年暂无突发性的、感染性较强的新型木马病毒出现。
2、应急事件受害者分析
为进一步提高大中型政企机构应对突发安全事件的处置能力,增强政企机构安全防护意识,奇安信对上半年处置的所有应急事件从政企机构被攻击角度,对受害者行业分布、攻击事件发现方式、影响范围以及攻击行为造成的现象进行统计分析,直观呈现上半年政企机构内部网络安全情况。
一、行业现状分析
上半年应急处置事件最多的行业TOP3分别为:政府部门(69起)、医疗卫生(59起)、事业单位(39起),事件处置数分别为18.8%、16.1%、10.6%。
大中型政企机构应急行业分布TOP10详见下图:
从上半年的行业现状分析来看,攻击者的攻击对象主要分布于政府机构、事业单位以及医疗行业,接近半数的应急事件均发生于上述三个行业。由此可见,上半年针对我国的网络攻击更具针对性。
二、事件发现分析
上半年,在奇安信安服团队参与处置的所有政府机构和企业的网络安全应急响应事件中,由用户单位自行发现的安全攻击事件占93.8%,其中被攻击者勒索后才发现被攻击达41.7%,另有6.2%的安全攻击事件政府机构和企业是在收到监管机构及第三方平台通报才得知已被攻击。
从41.7%被攻击者勒索才发现事件可以看出,大中型政企机构仍然普遍缺乏足够的安全监测能力,很难自主发现那些隐蔽性较强的网络威胁。外部通报形式的发现方式占据了6.2%的比例,也从侧面反映出政企机构网络安全建设仍需持续完善,内部网络安全监测能力仍然有待提高。
三、影响范围分析
上半年应急响应事件的影响范围主要集中在业务专网69.8%,其次是办公终端30.2%。根据受影响区域分布对受影响设备数量进行了统计,在上半年失陷的设备中,有3070台办公终端受到影响,2777台服务器被攻陷。
从影响范围和受影响设备数量可以看出,大中型政企机构的业务专网、办公终端为攻击者攻击的主要攻击目标。其中办公终端被攻陷数量较多,多为内部安全意识不足导致被攻击者轻易利用,进而对服务器、业务专网进行了进一步的攻击,常见如:攻击者利用员工安全意识的薄弱通过钓鱼邮件获取了办公终端的权限,进而内部投毒、横向扩散感染内部服务器,获取重要数据或者通过敲诈勒索的方式牟取非法暴利。
大中型政企机构应在强化业务专网的安全防护的同时,提高内部人员安全防范意识,加强对内网中办公终端、重要服务器的安全防护保障和数据安全管理。
四、攻击影响分析
上半年,大中型政企机构遭受攻击影响后果显示,攻击者对系统的攻击所产生的影响主要表现为数据丢失、系统/网络不可用、生产效率低下、数据被篡改等。
上述数据中,导致数据丢失占比25.6%,攻击者通过对大中型政企机构重要服务器及数据库进行攻击,导致数据被破坏或丢失等后果;
系统/网络不可用占比22.1%,主要表现为攻击者通过对系统持续性攻击,直接造成业务系统宕机,网络不可用;
生产效率低下占比21.8%,攻击者主要通过挖矿、蠕虫、木马等病毒木马类的攻击手段使服务器CPU占用率异常高,造成生产效率低下;
同时,数据被篡改、声誉影响也是政企机构被攻击后产生的现象,造成的后果也是非常严重的。
3、应急事件攻击者分析
应急响应事件攻击者分析以上半年大中型政企机构所有应急数据为支撑,从攻击者角度对攻击者攻击意图、攻击类型攻击者常用木马以及攻击者常见漏洞利用方式进行分析,为各政企机构安全防护、制定应急处突方案提供参考依据。
一、攻击意图分析
上半年应急事件中,攻击者攻击意图主要为敲诈勒索、黑产活动、窃取重要数据和内部违规操作。
内部违规中,内部人员为了方便工作或出于其他原因将内部业务端口映射至外网的违规操作需要引起大中型企业的重视。政企机构在完善整体安全防护体系建设时,应将内部员工网络安全意识作为重要模块进行培训,可以通过网络安全培训、定期举办攻防演习、应急演练等方式加强内部人员的网络安全意识。
二、攻击类型分析
通过对上半年大中型政企机构安全事件攻击类型进行分析,排名前三的类型分别是恶意程序58.6%、漏洞利用24.5%、钓鱼邮件5.2%。恶意程序中蠕虫病毒攻击占比61.4%,木马攻击(非蠕虫病毒)攻击占比38.6%。
蠕虫病毒和木马,由于传播速度快、感染性强等特征成为最受攻击者青睐的攻击手段,攻击者利用病毒、木马对办公系统进行攻击,通常会产生大范围感染,造成系统不可用、数据损坏或丢失等现象。
漏洞利用则是攻击者利用政企机构网络安全建设不完善的弊端,使用常见系统漏洞、Web漏洞等,对服务器进行的破坏性攻击,通常会导致重要数据丢失、泄露、内部投毒、敲诈勒索等严重后果。
除此之外,钓鱼邮件、网页篡改、网络监听攻击等也是较为常见的攻击类型。因此,大中型政企机构应做好日常安全防范工作的同时,定期巡检,及时发现威胁并有效遏制。
三、恶意程序分析
上半年大中型政企机构安全事件遭受攻击恶意程序中,占比较多的木马病毒分别为勒索病毒51.6%、挖矿木马23.8%、一般木马10.5%。
上半年最常见的勒索病毒是GlobeImposter、Wannacry、Phobos、Satan以及相关变种病毒。大中型政企机构应更清楚地认识到木马病毒对服务器、数据库所造成的严重损害,加强内部网络安全建设,针对多变种勒索病毒、挖矿木马以及随时可能出现的新型病毒制定完善的应急预案和安全防护措施,将应急常态化。
四、漏洞利用分析
上半年应急响应事件攻击类型中,对漏洞利用部分进行统计分析,发现弱口令、永恒之蓝漏洞是大中型政企机构被攻陷的重要原因,其次,服务器配置不当、服务器漏洞也经常作为攻击者日常利用的攻击手段。
弱口令、永恒之蓝漏洞需要引起政企机构关注,全面的安全管理策略、内部漏洞检测和日常修复动作不容忽视。除弱口令、永恒之蓝漏洞以及服务器漏洞外,Web漏洞常见如:任意文件上传、SQL注入、JAVA反序列化也是攻击者最常利用的漏洞,攻击者通过利用某一漏洞入侵系统,传播病毒,获取重要数据以达到敲诈勒索、牟取暴利等意图。
政企机构应加大内部巡检力度,定期对设备、终端进行漏洞扫描、修复。定期更换服务器、终端登录密码、加大密码复杂度,不给攻击者任何可乘之机。
4、典型事件案例分析
上半年,奇安信安服团队接到的应急响应处置事件共涉及到了全国31个省市,23个行业,包括医疗卫生,大中型政企机构、事业单位等。发生的安全事件包括各种变种勒索病毒、挖矿木马、漏洞利用等,均不同程度的给大中型政企机构带来了经济损失和恶性的社会影响。
一、某客运公司员工敏感数据泄露致内网20多台机器受感染事件
(一) 事件概述
2月27日,奇安信安服团队接到某客运公司应急请求,该公司通过天眼发现存在服务器失陷的危急告警。
应急人员通过分析天眼发现,该公司内网环境中多达20余台服务器出现失陷告警,其中在人力资源服务器与财务服务器发现被植入的后门,服务器已沦陷,同时多台服务器上均发现Frp代理、CobaltStrike上线脚本与漏洞利用工具使用痕迹,攻击者正在通过Frp代理对内网服务器进行SQL注入漏洞攻击。
通过人工排查,发现该公司内部某员工上传敏感信息到GitHub中,导致敏感数据泄露,攻击者利用该员工账号登录VPN对该公司人力资源服务器发起攻击,并利用Redis未授权访问漏洞获得权限,上传Frp代理工具、MS17-010等漏洞利用工具,进行内网横向渗透,成功攻下内网服务器、主机20余台,并利用已攻陷机器在内网中进行横向攻击。
(二) 防护建议
1)定期进行内部人员安全意识培养,禁止将敏感信息私自暴露至公网,禁止点击来源不明的邮件附件等;
2)为Redis服务添加密码验证,为Redis服务创建单独的user和home目录,并且配置禁止登陆,低权限运行Redis服务;
3)加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查,及时修复漏洞(如MS17-010漏洞等)、安装补丁,将信息安全工作常态化;
4)建议配置VPN登录的双因素认证,如增加手机短信验证码认证等,严格控制用户登录,防止账号信息被盗用。
二、某大型企业挖矿木马事件处置
(一)事件概述
6月17日,奇安信安服团队接到某大型企业的应急响应请求,该企业服务器存在被种植挖矿木马病毒程序,态势感知出现病毒告警,要求对服务器后门进行排查,同时对攻击来源进行追溯。
应急人员经过排查,发现该企业内部已有38台服务器遭受SystemdMiner挖矿木马最新变种病毒的感染,存在内网横向传播的情况,且服务器中均未安装杀毒软件。通过对病毒样本和受感染机器的日志分析,确定攻击者利用该企业已存在未授权漏洞的堡垒机和官网服务器作为跳板机,获得了主机控制权限,上传SystemdMiner挖矿木马程序,并配置计划任务,定时连接矿池域名,又利用Consul rce /Hadoop rce /Jenkins rce/PostgreSQL rce、主机系统弱口令漏洞入侵IDC机房其他主机操作系统,利用自动化运维工具(salt/ansible/chef-knife)横向传播,利用失陷主机本地保存的 SSH 密钥传播自身,最终触发了态势感知病毒告警。
(二)防护建议
1)将已检测到的矿池相关非法域名,通过安全防护设置将其加入黑名单列表,并设置安全策略为阻断访问;
2)系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,加强内部人员安全意识,禁止密码重用的情况出现;
3)增强内部人员密码管理意识,禁止将密码进行本地保存;
4)建议安装防病毒软件,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器上的病毒发现及清除能力;
5)加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查,及时修复漏洞、安装补丁,将信息安全工作常态化。
三、某政府单位服务器因SQL注入漏洞被攻陷事件
(一) 事件概述
6月3日,奇安信安服团队接到某政府单位应急响应请求,该单位员工在6月2日下午5点左右发现天眼存在SQL注入告警,需要上机排查服务器是否存在异常。
应急人员在到达现场后,根据天眼SQL注入告警,首先对数据库服务器进行排查,发现该服务器存在大量“powershell.exe”和“mshta.exe”进程。通过对“powershell.exe”进程进行解密,确定该进程为攻击者的远控进程。结合天眼流量分析,确定攻击者于前天晚上3点11分左右,利用SQL注入漏洞,对该服务器进行命令执行攻击。查询服务器用户,发现可疑隐藏账户。对业务服务器进行排查发现有Webshell后门脚本文件“1.aspx”和“index.aspx”。
最终确定攻击者利用业务服务器登录处的SQL注入漏洞,进行任意命令执行,并创建隐藏账户、上传后门文件。因该业务服务器和数据库服务器为站库分离设计,故导致业务服务器和数据库服务器均被攻陷。
(二) 防护建议
1)对用户输入内容进行检查与验证。检查所输入字符串变量的内容,使用白名单,只接受所需的值,拒绝包含二进制数据、转义序列和注释字符的输入内容,限制用户输入内容的大小和数据类型,对输入内容进行强制转换等;
2)重要业务系统及核心数据库应设置独立的安全区域,做好区域边界的安全防御工作,严格限制重要区域的访问权限并关闭不必要、不安全的服务;
3)禁止重要服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制;
4)部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;
5)建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵。
四、某国有企业勒索病毒Hermes837事件处置
(一)事件概述
3月19日,奇安信安服团队接到某国有企业应急响应请求,该企业感染勒索病毒、多个主机文件被加密,要求协助对攻击路径进行溯源。
应急人员通过对主机/服务器的进程、文件、日志等排查分析,发现主机审核策略配置存在缺陷,部分审计未开启,系统被植入恶意程序等现象,确认多台机器感染Hermes837勒索病毒,被病毒加密后的文件后缀为“Hermes837”。
攻击者利用IPC暴力破解,成功登陆内网主机和办公主机,在办公主机进行安装TeamViewer,创建ProcessHacker服务,修改密码等一系列操作,以内网主机为跳板,在SMB服务器安装恶意程序KProcessHacker 。最终导致多台机器感染Hermes837勒索病毒,文件被加密。
(二)防护建议
1)系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,加强内部人员安全意识,禁止密码重用的情况出现;
2)加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查,及时修复漏洞、安装补丁,将信息安全工作常态化;
3)建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能、禁用或限用危险端口(如3389、445、139、135等)、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵;
4)配置并开启相关关键系统、应用日志,对系统日志进行定期异地归档、备份,避免在攻击行为发生时,导致无法对攻击途径、行为进行溯源等,加强安全溯源能力;
5)建立安全灾备预案,一旦核心系统遭受攻击,需要确保备份业务系统可以立即启用;同时,需要做好备份系统与主系统的安全隔离工作,避免主系统和备份系统同时被攻击,影响业务连续性。
五、某科技公司海莲花APT事件处置
(一)事件概述
3月5日,奇安信安服团队接到某科技公司应急响应请求,现场疑似内网受到海莲花APT攻击,请求溯源和应急处置。
应急人员到达现场后发现该公司所使用的云桌面目录下存在恶意木马DLL文件,通过大量日志分析发现存在海外IP登陆记录,该海外IP经奇安信红雨滴实验室分析确认,属于海莲花常用的跳板机IP,确认该公司受到了海莲花APT攻击。通过流量分析找到最先入侵的机器A,并且此机器上存在卫星系统相关服务器的SSH登陆用户名及密码,可以成功登陆B服务器。
最终确认攻击途径,由于该公司员工云桌面账号密码外泄,攻击者利用信息收集,成功从海外控制机器A,又因机器A无法上网,且存有B服务器的SSH登陆用户名及密码,以B服务器作为跳板进行端口转发,实现机器A的对外上线。最后将这两台机器作为跳板,对卫星系统机器进行攻击。
(二)防护建议
1)禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制;
2)定期进行内部人员安全意识培养,增强内部人员密码管理意识,禁止将密码进行本地保存,禁止将敏感信息私自暴露至公网等;
3)部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;
4)有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员IP可对管理端口进行访问,如FTP、数据库服务、远程桌面等管理端口;
5)加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查,及时修复漏洞、安装补丁,将信息安全工作常态化。
5、医疗卫生行业分析专题
上半年,医疗卫生行业的网络安全问题直接影响到抗疫工作的顺利展开,在半年报告中,我们特别针对医疗卫生行业的应急响应状况进行了专题分析。
一、月度分布分析
上半年,医疗卫生行业的应急响应救援服务共59起,占到上半年全部应急事件的16.1%。3月、5月医疗卫生行业应急次数较多,分别占上半年医疗卫生行业应急总数的22.0%、28.8%。
二、事件发现分析
在上半年医疗卫生行业相关的网络安全应急事件中,自行发现的安全攻击事件占94.9%,其中有52.5%安全事件是在遭到攻击者勒索后后知后觉;另有5.1%的安全攻击事件是通过监管机构及第三方平台通报得知。
三、影响范围分析
上半年,医疗卫生行业相关的网络安全应急事件的影响范围主要集中在业务专网66.1%、办公终端33.9%。在受影响的设备中,办公终端有415台,服务器有239台。
四、攻击影响分析
上半年,针对医疗卫生行业被攻陷所造成影响的数据分析发现,造成系统、网络不可用和数据丢失事件较多。其中,导致系统/网络不可用安全事件占比32.2%;导致数据丢失占比28.8%,其次为数据被篡改、生产效率低下、数据泄露等不良影响。
五、攻击意图分析
上半年,攻击者针对医疗卫生行业的攻击意图主要是敲诈勒索,牟取暴利。
六、攻击类型分析
上半年,医疗卫生行业应急响应处置事件中常见的攻击类型主要是恶意程序61.0%、漏洞利用30.5%、钓鱼邮件3.4%,其次为拒绝服务攻击和网络监听攻击。
七、恶意程序分析
在上半年医疗卫生行业安全事件中,最常见的恶意程序是勒索病毒70.2%、挖矿木马10.6%以及一般木马8.5%。其中勒索病毒多以GlobeImposter勒索病毒及其变种病毒较多。
八、漏洞利用分析
在上半年的医疗卫生行业应急响应处理漏洞利用攻击事件中,弱口令占比59.3%、永恒之蓝占比24.0%、服务器漏洞占比9.3%。
九、医疗行业应急典型案例
案例一:某市医药公司OA系统失陷,造成数据泄露
事件概述
3月11日,奇安信安服团队接到某市医药公司应急请求,公司DMZ服务器区出口地址存在外连行为。
应急人员排查分析,发现对外攻击的IP为该公司内网OA系统的出口地址,因OA系统供应商要求对系统进行远程维护,特将OA服务器的3389端口映射到出口地址的3389端口。通过对IPS、负载均衡、防火墙以及服务器系统日志进行分析排查,发现内网OA系统存在多个地区和国家的IP通过3389端口远程登录记录和木马文件。对OA服务器系统部署文件进行排查,发现此服务器存在任意文件写入漏洞,并且发现两个Webshell后门。
经分析研判最终确定,攻击者通过内网OA系统映射在公网的3389端口进行远程登录,并上传Webshell后门1,用于执行系统命令;利用OA系统任意文件写入漏洞,上传Webshell后门2,用于上传任意文件,写入恶意木马文件,对外网发起异常连接,进行数据传输。
防护建议
1)加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查,及时修复漏洞、安装补丁,将信息安全工作常态化;
2)加强设备权限管理,对敏感目录进行权限设置,限制上传目录的脚本执行权限,不允许配置执行权限等;
3)建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能、禁用或限用危险端口(如3389、445、139、135等)、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵;
4)禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制;
5)建议安装相应的防病毒软件,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器上的病毒清除能力。
案例二:某省三甲医院感染Crysis勒索病毒事件
事件概述
2月,奇安信安服团队接到某省三甲医院应急请求,多台服务器文件被勒索病毒加密,业务无法正常运行,请求溯源和应急处置。
应急人员对该医院被感染的服务器进行排查分析,判断医院主机服务器感染了Crysis勒索病毒,且发现该医院多台服务器防病毒软件授权已到期。进一步排查发现服务器A对外网开放了远程桌面服务,同时在内网多台主机和服务器中发现了RDP爆破痕迹,且除服务器A外,内网中其他多台主机和服务器RDP服务登录密码均为弱口令。
经排查研判后最终确定,攻击者利用服务器A远程桌面服务暴露在外网和弱口令的弱点进行了暴力破解,并成功获取服务器A控制权,进而以服务器A作为跳板,对位于内网中的服务器B进行RDP弱口令爆破,爆破成功后,利用服务器B对内网中其他主机进行爆破并手动投放Crysis勒索病毒横向扩散。
防护建议
1)系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;
2)建议安装相应的防病毒软件,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器上的病毒清除能力;
3)加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查,及时修复漏洞、安装补丁,将信息安全工作常态化;
4)建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能、禁用或限用危险端口(如3389、445、139、135等)、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵;
5)建立安全灾备预案,一旦核心系统遭受攻击,需要确保备份业务系统可以立即启用;同时,需要做好备份系统与主系统的安全隔离工作,避免主系统和备份系统同时被攻击,影响业务连续性。
案例三:某市华侨医院网站存在任意文件上传漏洞,导致多台主机沦陷
事件概述
3月23日,奇安信安服团队接到某市华侨医院应急请求,医院服务器被入侵。
应急响应人员通过网站的安全性检测以及系统日志分析发现,网站http://xxx:999存在任意文件上传漏洞,同时发现内网多台主机存在MS17-010漏洞,并且存在被暴力破解的记录。
最终通过对系统的检查和分析确定,攻击者首先对网站http://xxx:999进行访问,在该网站中发现了任意文件上传漏洞,并对其进行利用,通过上传ASP类型的Webshell获取了服务器的管理员权限,进而以该沦陷服务器为跳板机,利用内网多台主机中存在的MS17-010漏洞、RDP弱口令等对其进行攻击,导致多台内网终端沦陷。
防护建议
1)系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;
2)对系统文件上传功能,采用白名单上传文件,不在白名单内的一律禁止上传,上传目录权限遵循最小权限原则;
3)加强权限管理,对敏感目录进行权限设置,限制上传目录的脚本执行权限,不允许配置执行权限等;
4)建议对内网服务器及主机开展安全大检查,检查的范围包括但不限于系统漏洞检测(如MS17-010漏洞、任意文件上传漏洞等)、后门检测,并及时进行漏洞修复、补丁安装、后门清理等工作;
5)加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。
原文始发于微信公众号(计算机与网络安全):《2020年上半年网络安全应急响应分析报告》全文
![[八卦] 王婷婷—揭秘一个大三女生的性爱录像-微慑信息网-VulSee.com](http://free.86hy.com/crack/pic/1.jpg)
![[随笔]今天国际警察节-微慑信息网-VulSee.com](http://photo.sohu.com/20041017/Img222528326.jpg)
青云网