網(wǎng)絡(luò)安全應(yīng)急響應(yīng)分析報(bào)告

2018年網(wǎng)絡(luò)安全應(yīng)急響應(yīng)分析報(bào)告2019年01月16日主要觀點(diǎn)2018201720182018摘 要2018360717.（66起（63起（56起9.0%8.0%25%。20183608%安全事件的影響范圍主要集中在外部網(wǎng)站和內(nèi)部網(wǎng)站（25.%、內(nèi)部服務(wù)器和數(shù)據(jù)庫(kù)（18.7%。除此之外，還占有一定比例的還有辦公終端（17.5%、業(yè)務(wù)專網(wǎng)（6.3。13%10%。關(guān)鍵詞：應(yīng)急響應(yīng)、安全服務(wù)、敲詐勒索、黑產(chǎn)活動(dòng)、木馬病毒目 錄第一章 研究背景 1第二章 應(yīng)急響監(jiān)測(cè)析 2一、 月度報(bào)趨勢(shì)析 2二、 行業(yè)報(bào)排名析 2三、 攻擊事發(fā)現(xiàn)析 3四、 影響范分布析 5五、 攻擊意分布析 5六、 攻擊現(xiàn)統(tǒng)計(jì)析 6七、 事件類分布析 7第三章 應(yīng)急響服務(wù)析 9一、 網(wǎng)站安全 9（一） 網(wǎng)頁被改 9（二） 非法子面 9（三） 網(wǎng)站DDoS攻擊 9（四） CC攻擊 9（五） 網(wǎng)站流異常 10（六） 異常進(jìn)與異外聯(lián) 10（七） 網(wǎng)站安總結(jié)防護(hù)議 10二、 終端安全 （一） 運(yùn)行異常 （二） 勒索病毒 （三） 終端DDoS攻擊 12（四） 終端安總結(jié)防護(hù)議 12三、 服務(wù)器全 12（一） 運(yùn)行異常 12（二） 木馬病毒 13（三） 勒索病毒 13（四） 服務(wù)器DDoS13（五） 服務(wù)器全總及防建議 13四、 郵箱安全 14（一） 郵箱異常 14（二） 郵箱DDoS攻擊 15（三） 郵箱安總結(jié)防護(hù)議 15第四章 應(yīng)急響典型例 16一、 某醫(yī)院務(wù)器索軟事件急響應(yīng) 16（一） 事件概述 16（二） 防護(hù)建議 16二、 某電網(wǎng)司終勒索件事應(yīng)急應(yīng) 16（一） 事件概述 16（二） 防護(hù)建議 17三、 某汽車司挖木馬件應(yīng)響應(yīng) 17（一） 事件概述 17（二） 防護(hù)建議 17四、 某部委CC事應(yīng)急應(yīng) 18（一） 事件概述 18（二） 防護(hù)建議 18五、 某證券公司DDOS事應(yīng)急應(yīng) 18（一） 事件概述 18（二） 防護(hù)建議 18六、 某集團(tuán)站掛事件急響應(yīng) 19（一） 事件概述 19（二） 防護(hù)建議 19七、 某大學(xué)站非頁面急響應(yīng) 19（一） 事件概述 19（二） 防護(hù)建議 20八、 某部委蟲病事件急響應(yīng) 20（一） 事件概述 20（二） 防護(hù)建議 20九、 某高級(jí)民法遭到APT攻事件急響應(yīng) 21（一） 事件概述 21（二） 防護(hù)建議 21第五章 附錄360服團(tuán)隊(duì) 23第一章 研究背景2018/360600717360第二章 應(yīng)急響監(jiān)測(cè)析20183607172018一、 月度報(bào)告趨勢(shì)分析2018360717二、 行業(yè)報(bào)告排名分析2018圖所示：360（66（63起56起9.08.08.IT18%。IT三、 攻擊事件發(fā)現(xiàn)分析201636031.5%68.5%2018201762018圖所示：201836092%，而另有8%61%31四、 影響范圍分布分析2017（25.318.7%（17.5專網(wǎng)（6.3%五、 攻擊意圖分布分析2018有待提升。APTAPT六、 攻擊現(xiàn)象統(tǒng)計(jì)分析通過對(duì)2018年全年應(yīng)急響應(yīng)事件處置報(bào)告分析，匯總出攻擊現(xiàn)象排名，如下圖所示：13%；10%，Web從攻擊現(xiàn)象統(tǒng)計(jì)看，攻擊者對(duì)系統(tǒng)的攻擊具備破壞性、針對(duì)性，嚴(yán)重影響系統(tǒng)正常運(yùn)行。七、 事件類型分布分析通過對(duì)2018年全年應(yīng)急響應(yīng)事件處置報(bào)告分析，匯總出事件類型分布，如下圖所示：常/PC；webshell//第三章 應(yīng)急響服務(wù)析2018360（DMZ一、 網(wǎng)站安全（一）網(wǎng)頁被篡改主要現(xiàn)象：首頁或關(guān)鍵頁面被篡改，出現(xiàn)各種不良信息，甚至反動(dòng)信息。主要危害攻擊方法：黑客利用webshell等木馬后門，對(duì)網(wǎng)頁實(shí)施篡改。攻擊目的：宣泄對(duì)社會(huì)或政府的不滿；炫技或挑釁中招企業(yè)；對(duì)企業(yè)進(jìn)行敲詐勒索。（二）非法子頁面主要現(xiàn)象：網(wǎng)站存在賭博、色情、釣魚等非法子頁面。主要危害攻擊方法：黑客利用webshell等木馬后門，對(duì)網(wǎng)站進(jìn)行子頁面的植入。攻擊目的：惡意網(wǎng)站的SEO優(yōu)化；為網(wǎng)絡(luò)詐騙提供“相對(duì)安全”釣魚頁面。（三）網(wǎng)站DDoS攻擊主要現(xiàn)象：政府機(jī)構(gòu)或企業(yè)網(wǎng)站無法訪問、訪問遲緩。主要危害攻擊方法：黑客利用多類型DDoS技術(shù)對(duì)網(wǎng)站進(jìn)行分布式抗拒絕服務(wù)攻擊。攻擊目的：敲詐勒索政府或企業(yè)；企業(yè)間的惡意競(jìng)爭(zhēng)；宣泄對(duì)網(wǎng)站的不滿。（四）CC攻擊主要現(xiàn)象：網(wǎng)站無法訪問、網(wǎng)頁訪問緩慢、業(yè)務(wù)異常。主要危害：網(wǎng)站業(yè)務(wù)中斷，用戶無法訪問網(wǎng)站、網(wǎng)頁訪問緩慢。攻擊方法：主要采用發(fā)起遍歷數(shù)據(jù)攻擊行為、發(fā)起SQL注入攻擊行為、發(fā)起頻繁惡意請(qǐng)求攻擊行為等攻擊方式進(jìn)行攻擊。攻擊目的：敲詐勒索；惡意競(jìng)爭(zhēng)；宣泄對(duì)網(wǎng)站的不滿。（五）網(wǎng)站流量異常主要現(xiàn)象常偏高。主要危害攻擊方法：黑客利用webshell等木馬后門，控制網(wǎng)站；某些攻擊者甚至?xí)跃W(wǎng)站為跳板，對(duì)企業(yè)的內(nèi)部網(wǎng)絡(luò)實(shí)施滲透。攻擊目的：對(duì)網(wǎng)站進(jìn)行掛馬、篡改、暗鏈植入、惡意頁面植入、數(shù)據(jù)竊取等。（六）異常進(jìn)程與異常外聯(lián)主要現(xiàn)象主要危害DDoS攻擊方法DDoSIP實(shí)施攻擊。攻擊目的：長(zhǎng)期潛伏，竊取重要數(shù)據(jù)信息。（七）網(wǎng)站安全總結(jié)及防護(hù)建議通過對(duì)現(xiàn)場(chǎng)處置情況的匯總和分析得知，黑客主要采用以下攻擊手段對(duì)網(wǎng)站實(shí)施攻擊：webshell（SYNFloodUDPFloodICMPFlood等DS攻擊；SQLIP二、 終端安全（一）運(yùn)行異常主要現(xiàn)象主要危害攻擊方法攻擊目的DDoS攻擊。（二）勒索病毒主要現(xiàn)象：內(nèi)網(wǎng)終端出現(xiàn)藍(lán)屏、反復(fù)重啟和文檔被加密的現(xiàn)象。主要危害能泄露。攻擊方法勒索病毒。攻擊目的：向政府機(jī)構(gòu)、企業(yè)勒索錢財(cái)，以到達(dá)自身盈利目的。（三）終端DDoS攻擊主要現(xiàn)象：內(nèi)網(wǎng)終端不斷進(jìn)行外網(wǎng)惡意域名的請(qǐng)求。主要危害據(jù)泄露等。攻擊方法：可通過網(wǎng)絡(luò)連接、異常進(jìn)程、系統(tǒng)進(jìn)程注入可疑DLL模塊以及異常啟動(dòng)項(xiàng)等多種方式進(jìn)行攻擊。攻擊目的DDoS（四）終端安全總結(jié)及防護(hù)建議通過對(duì)現(xiàn)場(chǎng)處置情況的匯總和分析得知，黑客主要采用以下攻擊手段對(duì)終端實(shí)施攻擊：感染病毒；DLLIPIP直接定位機(jī)器位置；三、 服務(wù)器安全（一）運(yùn)行異常主要現(xiàn)象主要危害攻擊方法象。攻擊目的DDoS攻擊。（二）木馬病毒主要現(xiàn)象主要危害攻擊方法進(jìn)行攻擊。攻擊目的利目的。（三）勒索病毒主要現(xiàn)象：內(nèi)網(wǎng)服務(wù)器文件被勒索軟件加密，無法打開，索要天價(jià)贖金。主要危害攻擊方法攻擊目的目的。（四）服務(wù)器DDoS攻擊主要現(xiàn)象：向外網(wǎng)發(fā)起大量異常網(wǎng)絡(luò)請(qǐng)求、惡意域名請(qǐng)求等。主要危害：嚴(yán)重影響內(nèi)網(wǎng)服務(wù)器性能，如服務(wù)器CPU以及帶寬等，導(dǎo)致服務(wù)器上的業(yè)務(wù)無法正常運(yùn)行；攻擊者可能竊取內(nèi)網(wǎng)數(shù)據(jù)，造成數(shù)據(jù)泄露等。攻擊方法DDoS木馬，以此發(fā)起DDoS攻擊。攻擊目的DDoS（五）服務(wù)器安全總結(jié)及防護(hù)建議通過對(duì)現(xiàn)場(chǎng)處置情況的匯總和分析得知，黑客主要采用以下攻擊手段對(duì)服務(wù)器實(shí)施攻擊：（DS木馬等webshellIPIP依據(jù)；四、 郵箱安全（一）郵箱異常主要現(xiàn)象：郵箱異常、郵件服務(wù)器發(fā)送垃圾郵件。主要危害：嚴(yán)重影響郵件服務(wù)器性能、郵箱運(yùn)行異常。攻擊方法操作。攻擊目的：炫技或挑釁中招單位；向政府機(jī)構(gòu)、企業(yè)勒索錢財(cái)，以到達(dá)自身盈利目的。（二）郵箱DDoS攻擊主要現(xiàn)象：無法正常發(fā)送郵件、服務(wù)器宕機(jī)。主要危害：郵件服務(wù)器業(yè)務(wù)中斷，用戶無法正常發(fā)送郵件。攻擊方法：黑客對(duì)郵件服務(wù)器進(jìn)行郵箱爆破、發(fā)送大量垃圾數(shù)據(jù)包、投遞大量惡意郵件等。攻擊目的（三）郵箱安全總結(jié)及防護(hù)建議攻擊：第四章 應(yīng)急響典型例2018，182630CPU下面將對(duì)部分行業(yè)從事件概述以及防護(hù)建議方面對(duì)突發(fā)大規(guī)模典型應(yīng)急事件進(jìn)行分析說明。一、 某醫(yī)院服務(wù)器勒索軟件事件應(yīng)急響應(yīng)（一）事件概述20181/應(yīng)急響應(yīng)人員對(duì)重啟/藍(lán)屏服務(wù)器分析后，判定均遭受永恒之藍(lán)勒索軟件，同時(shí)遭受感MS17-010445（二）防護(hù)建議IP二、 某電網(wǎng)公司終端勒索軟件事件應(yīng)急響應(yīng)（一）事件概述20184出現(xiàn)部分文檔、圖片文檔、sagesage2.2。（二）防護(hù)建議;PC（AdobeFlash，SunJava等）三、 某汽車公司挖礦木馬事件應(yīng)急響應(yīng)（一）事件概述2018年11月，360安服團(tuán)隊(duì)接到某汽車公司的挖礦木馬事件應(yīng)急響應(yīng)請(qǐng)求，其內(nèi)網(wǎng)多臺(tái)終端被挖礦木馬攻擊，服務(wù)器卡頓、進(jìn)程緩慢，無法正常運(yùn)行。CPUpowershell135139445SMB（二）防護(hù)建議IP四、 某部委CC事件應(yīng)急響應(yīng)（一）事件概述20183、DDoS告警日志、DDoS設(shè)備日志、12根據(jù)本次攻擊事件的分析，造成網(wǎng)站動(dòng)態(tài)頁面訪問緩慢的原因主要是攻擊者頻繁請(qǐng)求“XXXCC慢。（二）防護(hù)建議SQL注入漏洞；IP攔截封鎖；POSTCDN五、 某證券公司DDoS事件應(yīng)急響應(yīng)（一）事件概述2018年6月，360安服團(tuán)隊(duì)接到某省網(wǎng)安的應(yīng)急響應(yīng)請(qǐng)求，本地證券公司在10日7:00-8:001G流量的DDoS1。360IP地址對(duì)DDoSNTPIP地址。（二）防護(hù)建議并啟動(dòng)應(yīng)急預(yù)案及時(shí)對(duì)攻擊行為進(jìn)行防護(hù)；360DDoS、Web行為攻擊等進(jìn)行有效防護(hù)。六、 某集團(tuán)網(wǎng)站掛馬事件應(yīng)急響應(yīng)（一）事件概述20185IPJSDOTNETCMS1.0版本漏洞。SQLJS（二）防護(hù)建議.七、 某大學(xué)網(wǎng)站非法頁面應(yīng)急響應(yīng)（一）事件概述20185aspxIP地址。webshellE（二）防護(hù)建議八、 某部委蠕蟲病毒事件應(yīng)急響應(yīng)（一）事件概述2018年11月，360安服團(tuán)隊(duì)接到某部委蠕