请选择 进入手机版 | 继续访问电脑版

3A资讯网

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 133|回复: 0

2019年网络安全应急响应十大典型事件案例

[复制链接]

1744

主题

1744

帖子

5232

积分

网站编辑

Rank: 8Rank: 8

积分
5232
发表于 2020-2-12 10:48:09 | 显示全部楼层 |阅读模式
作者:互联网安全内参
                                                                                                   

本文展示了一线最真实的网络攻击和处置案例,内容摘自奇安信安全服务团队出品的《2019年网络安全应急响应分析报告》。


2019年全年奇安信安全服务团队共接到全国各地应急求助1029起,涉及全国30个省市,近30个行业,其中包括医疗卫生,大中型企业、政府机构,事业单位等重要信息化基础设施行业。发生的安全事件类型中不乏各种变种勒索病毒、蠕虫病毒以及会导致CPU运行过高的挖矿木马,均不同程度地造成较为严重的社会负面影响,也给客户带来了严重损失。

一、交通运输行业某单位Crysis勒索病毒事件处置

(一)事件概述

2019年3月,奇安信安服团队接到某交通运输行业的应急响应请求,某重要服务器感染勒索病毒,导致业务系统无法正常运行。

应急响应人员抵达现场后,通过对受感染服务器进行分析,发现服务器感染Crysis勒索病毒变种,操作系统桌面及启动项目录中发现病毒样本 payload1.exe,系统大部分文件被加密。同时2个境外IP在勒索时间节点利用administrator账号利用远程桌面登录到了目标主机,人工投毒并进行横向扩散。

通过对现场情况进行分析和对事件进行推断,本次事件主要是由于客户服务器配置不当,直接对外映射了远程桌面端口,进而攻击者有针对性的对rdp远程登录爆破、人工投毒执行的勒索攻击。

(二)防护建议

1)系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;

2)禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制;

3)部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;

4)建议在服务器或虚拟化环境上部署虚拟化安全管理系统,提升防恶意软件、防暴力破解等安全防护能力;

5)定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患;

6)加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作;

7)加强人员安全意识培养,不要点击来源不明的邮件附件,不从不明网站下载软件。对来源不明的文件包括邮件附件、上传文件等要先杀毒处理。

二、某政府单位“永恒之蓝下载器”挖矿事件处置

(一)事件概述

2019年3月,奇安信安服团队接到某政府单位“永恒之蓝下载器”挖矿事件应急响应请求,其内网大量服务器出现服务器内存、CPU等资源被恶意占用,导致部分服务器业务中断,无法正常运行。

应急人员到达现场后与客户沟通得知,服务器于一周前存在大量445连接,随时间增长,服务器资源被耗尽,导致业务无法正常工作。通过对内网服务器、终端进程、日志等多方面进行分析,根据应急响应人员现场排查的结果,判定客户内网服务器所感染病毒为“永恒之蓝下载器”挖矿蠕虫病毒,该病毒会利用永恒之蓝漏洞在局域网内进行蠕虫传播,窃取服务器密码进行横向攻击,并且会创建大量服务耗尽服务器资源。通过使用奇安信安服团队编写的批量查杀脚本,对网内机器进行查杀病毒,大大降低网内恶意流量与病毒对资源的占用,恢复了正常业务。

(二)防护建议

1)对检测阶段发现的攻击源IP地址进行重新查杀,条件允许情况下重装系统重新部署业务;

2)安装天擎最新版本(带防爆破功能)和天擎服务器加固防止被黑;

3)建议部署全流量监控设备,可及时发现未知攻击流量以及加强攻击溯源能力,有效防止日志被轮询覆盖或被恶意清除,有效保障服务器沦陷后可进行攻击排查,分析原因;

4)建议对内网开展安全大检查,检查的范围包括但不限于后门清理、系统及网站漏洞检测等;

5)尽量关闭3389、445、139、135等不用的高危端口,建议内网部署堡垒机类似的设备,并只允许堡垒机IP访问服务器的远程管理端口(445、3389、22);

6)对系统用户密码及时进行更改,可并使用LastPass等密码管理器对相关密码进行加密存储,避免使用本地明文文本的方式进行存储。

三、医疗行业卫生专网被攻击,58家医院连锁感染

(一)事件概述

2019年3月,某地中医骨科医院爆发勒索病毒,不到一天,全省另外57家医院相继爆发勒索病毒,每家医院受感染服务器数量为3-8台不等,受灾医院网络业务瘫痪,无法正常开展诊疗服务。奇安信安服团队收到求助后,第一时间到达该医院进行排查。

现场排查显示,此次事件可认定为人工投毒,被感染的病毒为Globelmposte家族勒索病毒,受感染医院专网前置机因使用弱口令而被爆破,在成功感染第一家医院后,攻击者利用卫生专网爆破3389登陆到各医院专网前置机,再以前置机为跳板向医院内网其它服务器爆破投毒,感染专网上未彻底隔离的其他57家医院。

通过本次安全事件,医院信息系统暴露了诸多安全隐患,包括未定期开展安全评估工作,导致内部服务器存在严重高危漏洞;安全域划分不明确,较为混乱;安全意识仍需加强等。

(二)防护建议

1)系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;

2)禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制;

3)有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员IP可对管理端口进行访问,如FTP、数据库服务、远程桌面等管理端口;

4)部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;

5)后续完善强化安全域划分与隔离策略;修改弱密码;关闭防火墙一切不必要的访问端口;配置完善全流量采集分析能力;

6)构建安全行业生态合作,有效利用威胁情报和应急服务,提升安全防护和处置水平。

四、教育行业某大学僵尸网络事件处置

(一)事件概述

2019年4月,安服应急响应团队接到某大学僵尸网络事件的应急请求,现场多台终端发现疑似黑客活动迹象,重要网站系统遭到黑客攻击,无法正常运行。

应急响应人员通过对客户重要网站系统进行排查分析,发现该业务系统存在大量IPC爆破登录行为,内网多台主机被多次登录成功,且存在数个僵尸网络远控IP登录行为,其中,某一控制端存在大量国外IP连接行为。同时,应急人员发现其网站运维管理审计系统暴露于公网,并存在弱口令现象,攻击者通过该系统可取得大量服务器的控制权限,且很多敏感安全设备均暴露在公网上,包括WEB应用防火墙、日志中心、漏洞扫描系统、超级终端等。攻击者通过暴露于公网的审计系统弱口令爆破登录进入内网,并以此为跳板,对内网多台服务器、主机进行爆破、投毒并进行横向扩散,组成僵尸网络。

(二)防护建议

1)系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;

2)重要业务系统及核心数据库应设置独立的安全区域,做好区域边界的安全防御工作,严格限制重要区域的访问权限并关闭不必要、不安全的服务;

3)部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;

4)建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能、禁用或限用危险端口、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵;

5)定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患;

6)加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。

五、医疗行业某单位“永恒之蓝下载器”木马处置

(一)事件概述

2019年4月,安服应急响应团队接到客户应急请求,医疗行业某单位网内约1000多台终端和服务器存在大量病毒,客户机不定时重启、蓝屏,严重影响业务系统的正常运行。

应急人员通过对相关进程、文件、服务进行排查分析后,判断客户内网失陷是由于感染“永恒之蓝下载器”木马,导致病毒泛滥。通过检查客户现场内网失陷主机,发现现场主机系统均未安装杀毒防护软件,C:\Windows目录下存在大量以随机字符命名的.exe文件,并在系统服务中发现大量该exe对应的服务。在分析天眼设备抓取流量时,发现内网共存在11种病毒,包括蠕虫病毒、挖矿病毒、勒索病毒、远控木马、僵尸网络等多种病毒,且发现主机高危端口如135、137、138、445端口均为开启状态并存在传播病毒的行为。除此之外,应急人员在检查过程中发现客户sqlserver数据库管理员账户密码与网内所有服务器均使用同一种密码,且该数据库服务器未安装任何安全防护设备,使得木马快速在内网扩散,并存在大量外连行为,导致大量机器沦陷。

(二)防护建议

1)系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;

2)有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员IP可对管理端口进行访问,如FTP、数据库服务、远程桌面等管理端口;

3)部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;

4)建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能、禁用或限用危险端口、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵;

5)定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患;

6)加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。

六、某政府单位勒索病毒Crysis处置

(一)事件概述

2019年5月,安服应急响应团队接到某省人民政府办公厅多台服务器遭受攻击事件的应急请求,要求对攻击来源进行溯源。

应急响应人员接到请求后,通过对系统日志、后门脚本文件等进行取证分析,发现相关服务器存在被IPC和RDP爆破攻击的迹象,同时部分服务器还存在已知的后门程序和漏洞攻击利用程序,根据相关日志关联,追溯至地州市,内外网络混合同时使用的现象导致此次攻击的发生。同时由于某省人民政府办公厅所部署的服务器均未应用最新补丁,机器都是使用的统一口令,且向政务外网开放端口终端,这也导致攻击者可以通过永恒之蓝(MS17-010)等相关漏洞对系统实施攻击。

(二)防护建议

1)对受感染的机器第一时间进行物理隔离处理;

2)建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能、禁用或限用危险端口、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵;

3)部署终端安全管控软件,实时对终端进行查杀和防护;

4)对个人PC中比较重要的稳定资料进行随时备份,备份应离线存储;

5)继续加强网络与信息安全意识培训教育。意外收到的或来自未知发件人的电子邮件,不要按照文字中的说明进行操作,不要打开任何附件,也不要点击任何链接;

6)建议安装相应的防病毒软件或部署防病毒网关,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器上的病毒清除能力。

七、某事业单位APT事件处置

(一)事件概述

2019年6月,奇安信安服团队接到某事业单位应急请求,内网有四台机器疑似海莲花APT组织控制,客户要求提取对应样本,以确认事件的真实性。

应急响应人员在客户协助下,通过对4台疑似受控机进行分析,判定确为海莲花受控机器。攻击者利用海莲花常用的“白加黑”技术,通过在主机目录下植入恶意文件AdobeFlash.exe、goopdate.dll,其中,AdobeFlash.exe是具有google签名的伪造的GoogleUpdate.exe,goopdate.dll是精心伪造的恶意文件,AdobeFlash.exe(GoogleUpdate)程序启动时,会自动加载动态链接库goopdate.dll执行。

海莲花使用典型的"白+黑"方式伪装释放文件,用于迷惑用户以及安全防护产品,达到免杀的目的。并且每个"黑"文件样本的变幻后的数据也不相同,主要是由于加密密钥不同,在运行时先进行解密,然后在内存中执行解密后的shellcode。

(二)防护建议

1)部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;

2)配置并开启相关关键系统、应用日志,对系统日志进行定期异地归档、备份,避免在攻击行为发生时,导致无法对攻击途径、行为进行溯源等,加强安全溯源能力;

3)建议在服务器或虚拟化环境上部署虚拟化安全管理系统,提升防恶意软件、防暴力破解等安全防护能力;

4)定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患;

5)加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。

八、某互联网公司挖矿木马事件处置

(一)事件概述

2019年9月,安服应急响应团队接到某互联网公司请求,客户安全部门发现公司内网数万台虚拟机感染挖矿木马,应急人员立即赶往现场进行排查和溯源工作。

应急人员对受害服务器进行分析,发现客户内网多台受害主机本地均存有内网其他机器的ssh私钥,并可以免密登录Ansible服务器。攻击者首先利用Consul组建远程命令执行漏洞进入内网,下载并运行挖矿木马,并利用保存在本地的ssh私钥进行横向扩散,感染Ansible服务器后,通过ansible/salt/knife进行大量传播,最终导致内网数万台虚拟机均受影响。应急人员立即采取行动,对挖矿木马产生的密钥认证文件、可疑计划任务项、木马守护进程以及挖矿木马创建的恶意文件进行清理。

Ansible是一种可批量管理服务器的开源自动化工具,管理员可以通过 Ansible 在成百上千台计算机上同时执行指令(任务)。本次事件中,数万台虚拟机受到感染,Ansible服务器的沦陷是导致挖矿木马大量传播的主要因素,企业应当对此类重要服务器进行充分的保护和隔离,避免其被攻击者掌控,造成不必要的损失。

(二)防护建议

1)系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用、密码本地保存等情况出现;

2)重要业务系统及核心数据库应设置独立的安全区域,做好区域边界的安全防御工作,严格限制重要区域的访问权限并关闭不必要、不安全的服务;

3)建议在服务器或虚拟化环境上部署虚拟化安全管理系统,提升防恶意软件、防暴力破解等安全防护能力;

4)部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;

5)定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患;

6)加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。

九、某公检法客户内网被渗透事件处置

(一)事件概述

2019年9月,安服应急响应团队接到某公检法客户应急请求,客户内网疑似被渗透,3000多台主机失陷,导致业务系统和内部网络瘫痪。

应急人员对受害服务器进行排查,发现客户网络环境未做全面的防护策略,并且受害服务器版本过低,对外网开放了包含常用端口,如80端口、21端口等,和危险端口,如1433端口等在内的21个服务端口,甚至部分端口存在目录遍历等漏洞。攻击者利用上述系统问题,早在2017年就将webshell木马上传至受害服务器,并获取了该服务器的控制权。之后,攻击者对受害服务器上传了暴力破解工具和字典,并将受害服务器作为肉鸡,成功爆破了内网3575个服务器或终端。

通过本次安全事件,该客户系统暴露了诸多安全隐患,包括未定期开展安全巡检工作,导致内部服务器于2017年就已被攻陷;对外开放端口过多,且包含部分高危端口;员工安全意识不足,大量服务器使用弱密码等。

(二)防护建议

1)系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;

2)建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能、禁用或限用危险端口、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵;

3)建议对内网开展安全大检查,检查的范围包括但不限于后门清理、系统及网站漏洞检测等;

4)建议在服务器或虚拟化环境上部署虚拟化安全管理系统,提升防恶意软件、防暴力破解等安全防护能力;

5)部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;

6)定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患;

7)加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。

十、某科研集团钓鱼邮件攻击处置

(一)事件概述

2019年11月,安服应急响应团队接到某科研集团客户应急需求,客户邮箱系统遭受钓鱼邮件攻击,邮箱系统超级管理员账户被盗,导致集团组织架构,以及包含集团领导在内的近200名员工信息泄露。

应急人员抵达现场后对客户邮件服务器进行排查,发现客户邮箱系统超级管理员账户admin密码为弱口令,攻击者利用SMTP爆破获取了超级管理员账户admin的控制权。之后,攻击者使用该账户向集团180名员工邮箱发送可盗取用户账号及密码的钓鱼邮件,并成功钓鱼了至少4名集团员工的邮箱账户,删除了邮箱中网管人员发送的预防钓鱼事件的邮件。最终,导致了集团组织架构信息,以及包含集团领导在内的近200名员工信息泄露。

综上所述,超级管理员用户邮箱使用弱口令,以及集团内部员工安全意识不足是导致本次安全事件的主要因素,可见增强员工网络安全意识是对企业网络安全至关重要。

(二)防护建议

1)加强人员安全意识培养,不要点击来源不明的邮件附件,不从不明网站下载软件。对来源不明的文件包括邮件附件、上传文件等要先杀毒处理。

2)系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;

3)部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;

4)配置并开启相关关键系统、应用日志,对系统日志进行定期异地归档、备份,避免在攻击行为发生时,导致无法对攻击途径、行为进行溯源等,加强安全溯源能力;

5)定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患;

6)加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。

文章来源:奇安信安全服务

“阅读原文”可查看报告全文





                               
原文地址:http://mp.weixin.qq.com/s?src=11&timestamp=1581476982&ver=2153&signature=zI8q6q5Pq3PeYy5Z-VWcww6wAvIdK6zZBL0dgozJnQMtCDi52pNrok3rTwXXVLmOagP0cy2Fz32gSsfxY07ouE3gknoL-eRLwIhL50xlJeJSP9agvoo8C*JH1NqqBXtt&new=1

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|三艾云

GMT+8, 2020-2-23 22:05 , Processed in 0.065706 second(s), 19 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表