2024網(wǎng)絡(luò)信息安全應(yīng)急響應(yīng)案例介紹

應(yīng)急響應(yīng)培訓(xùn)案例介紹（上）PA

R

T tw

o勒索病

毒0

1勒索病毒勒索病毒勒索病毒事件流程案例：某公司勒索病毒事件勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱某公司(簡(jiǎn)稱”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱某公司(簡(jiǎn)稱”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱某公司(簡(jiǎn)稱”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱某公司(簡(jiǎn)稱”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱某公司(簡(jiǎn)稱”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱某公司(簡(jiǎn)稱”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱某公司(簡(jiǎn)稱”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱某公司(簡(jiǎn)稱”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX應(yīng)急要求，稱某公司(簡(jiǎn)稱”XXXX”)的內(nèi)網(wǎng)兩臺(tái)電腦感染勒索病毒，要求我方對(duì)此進(jìn)行溯源分析。應(yīng)急結(jié)論：攻擊者通過IP:58

(上海電信）、IP:54(北京阿里云）于2020-10-17

15:26左右，使用系統(tǒng)賬戶VA_03通過互聯(lián)網(wǎng)遠(yuǎn)程登錄用友U8系統(tǒng)服務(wù)器，并開始進(jìn)行上傳和釋放勒索病毒程序。隨后用友U8系統(tǒng)服務(wù)器于2020-10-1719:29

和22:29分使用管理員賬戶通過局域網(wǎng)登錄個(gè)人辦公電腦，該電腦部分文件于2020-10-17

22:37左右被進(jìn)行病毒感染和完成文件加密。后續(xù)：協(xié)助客戶報(bào)警處置，應(yīng)急報(bào)告提交公安機(jī)關(guān)。協(xié)助可以重裝電腦，并加固操作系統(tǒng)。PA

R

T Tw

o挖礦病

毒0

2挖礦木馬挖礦木馬案例：某校園服務(wù)器感染挖礦病毒事件挖礦病毒應(yīng)急響應(yīng)流程案例：某校園服務(wù)器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機(jī)房?jī)?nèi)一網(wǎng)段6臺(tái)服務(wù)器頻繁攻擊校園網(wǎng)內(nèi)其他服務(wù)器，懷疑被入侵。挖礦病毒應(yīng)急響應(yīng)流程案例：某校園服務(wù)器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機(jī)房?jī)?nèi)一網(wǎng)段6臺(tái)服務(wù)器頻繁攻擊校園網(wǎng)內(nèi)其他服務(wù)器，懷疑被入侵。挖礦病毒應(yīng)急響應(yīng)流程案例：某校園服務(wù)器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機(jī)房?jī)?nèi)一網(wǎng)段6臺(tái)服務(wù)器頻繁攻擊校園網(wǎng)內(nèi)其他服務(wù)器，懷疑被入侵。挖礦病毒應(yīng)急響應(yīng)流程案例：某校園服務(wù)器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機(jī)房?jī)?nèi)一網(wǎng)段6臺(tái)服務(wù)器頻繁攻擊校園網(wǎng)內(nèi)其他服務(wù)器，懷疑被入侵。挖礦病毒應(yīng)急響應(yīng)流程案例：某校園服務(wù)器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機(jī)房?jī)?nèi)一網(wǎng)段6臺(tái)服務(wù)器頻繁攻擊校園網(wǎng)內(nèi)其他服務(wù)器，懷疑被入侵。綜合上述特征比較，確認(rèn)該木馬程序?yàn)閘inux挖礦木馬systemdMiner，該木馬通過bash命令下載執(zhí)行多個(gè)功能模塊，通過SSH暴力破解、SSH免密登錄利用、Hadoop

Yarn未授權(quán)訪問漏洞和自動(dòng)化運(yùn)維工具內(nèi)網(wǎng)擴(kuò)散，且該木馬的文件下載均利用暗網(wǎng)代理，感染后會(huì)清除主機(jī)上的其他挖礦木馬，以達(dá)到資源獨(dú)占的目的，該病毒行為特征圖如下：挖礦病毒應(yīng)急響應(yīng)流程案例：某校園服務(wù)器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機(jī)房?jī)?nèi)一網(wǎng)段6臺(tái)服務(wù)器頻繁攻擊校園網(wǎng)內(nèi)其他服務(wù)器，懷疑被入侵。挖礦病毒應(yīng)急響應(yīng)流程案例：某校園服務(wù)器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機(jī)房?jī)?nèi)一網(wǎng)段6臺(tái)服務(wù)器頻繁攻擊校園網(wǎng)內(nèi)其他服務(wù)器，懷疑被入侵。挖礦病毒應(yīng)急響應(yīng)流程案例：某校園服務(wù)器感染挖礦病毒事件校園網(wǎng)防火墻顯示其所屬機(jī)房?jī)?nèi)一網(wǎng)段6臺(tái)服務(wù)器頻繁攻擊校園網(wǎng)內(nèi)其他服務(wù)器，懷疑被入侵。應(yīng)急結(jié)論：被通報(bào)的校園網(wǎng)攻擊事件應(yīng)為由挖礦木馬程序在嘗試進(jìn)行內(nèi)網(wǎng)擴(kuò)散時(shí)掃描攻擊產(chǎn)生，該木馬的下載定時(shí)任務(wù)、進(jìn)程由賬戶yuanfa創(chuàng)建和運(yùn)行，判斷該挖礦木馬可能為通過Hadoop

Yarn未授權(quán)訪問漏洞或弱口令用戶漏洞進(jìn)行植入，疑似攻擊源IP為。后續(xù)：疑似攻擊源IP為交由客戶繼續(xù)跟進(jìn)，事件結(jié)束。P

A

R

T

T

h

r

e

e入侵攻擊事件0

3入侵攻擊事件入侵攻擊事件入侵事件應(yīng)急響應(yīng)流程案例：某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。入侵事件應(yīng)急響應(yīng)流程某公司內(nèi)網(wǎng)項(xiàng)目文件被盜事件xxxx公司（簡(jiǎn)稱“xxxx公司”）出現(xiàn)內(nèi)網(wǎng)被入侵事件，其內(nèi)網(wǎng)中發(fā)現(xiàn)項(xiàng)目數(shù)據(jù)被攻擊者拷貝、壓縮并下載。應(yīng)急結(jié)論：初步判斷xxxx公司的服務(wù)器（IP:00）最早于2019-5-7日已遭受攻擊并獲取管理員權(quán)限進(jìn)入到公司內(nèi)網(wǎng)，攻擊者再隨后的時(shí)間不定期的通過已建立的后門通道進(jìn)行內(nèi)網(wǎng)訪問其它服務(wù)器的文件目錄。攻擊者在2020-9-4重新進(jìn)入內(nèi)網(wǎng)并執(zhí)行本地密碼讀取工具，獲得域控管理員權(quán)限，訪問多臺(tái)內(nèi)網(wǎng)其它服務(wù)器，并最后在2020-9-25日再次進(jìn)入xxxx公司內(nèi)網(wǎng)并開始執(zhí)行拷貝項(xiàng)目相關(guān)文檔的操作。PA

R

T Tw

o數(shù)據(jù)泄露事件0

4數(shù)據(jù)泄露事件數(shù)據(jù)泄露事件數(shù)據(jù)泄露事件案例：某學(xué)校數(shù)據(jù)泄露事件數(shù)據(jù)泄露事件某學(xué)校數(shù)據(jù)泄露事件稱某學(xué)校（簡(jiǎn)稱“某學(xué)?！保?/p>

存在Elasticsearch未授權(quán)訪問漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。數(shù)據(jù)泄露事件某學(xué)校數(shù)據(jù)泄露事件稱某學(xué)校（簡(jiǎn)稱“某學(xué)?！保?/p>

存在Elasticsearch未授權(quán)訪問漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。數(shù)據(jù)泄露事件某學(xué)校數(shù)據(jù)泄露事件稱某學(xué)校（簡(jiǎn)稱“某學(xué)?！保?/p>

存在Elasticsearch未授權(quán)訪問漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。數(shù)據(jù)泄露事件某學(xué)校數(shù)據(jù)泄露事件稱某學(xué)校（簡(jiǎn)稱“某學(xué)?！保?/p>

存在Elasticsearch未授權(quán)訪問漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。數(shù)據(jù)泄露事件某學(xué)校數(shù)據(jù)泄露事件稱某學(xué)校（簡(jiǎn)稱“某學(xué)?！保?/p>

存在Elasticsearch未授權(quán)訪問漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。數(shù)據(jù)泄露事件某學(xué)校數(shù)據(jù)泄露事件稱某學(xué)校（簡(jiǎn)稱“某學(xué)校”）

存在Elasticsearch未授權(quán)訪問漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。數(shù)據(jù)泄露事件某學(xué)校數(shù)據(jù)泄露事件稱某學(xué)校（簡(jiǎn)稱“某學(xué)?！保?/p>

存在Elasticsearch未授權(quán)訪問漏洞，并遭IP:7未授權(quán)入侵且于2020/9/1019:31:54留下勒索信息，索要贖金。應(yīng)急結(jié)論：某學(xué)校Elasticsearch服務(wù)存在未授權(quán)訪問漏洞，該服務(wù)存儲(chǔ)某學(xué)校業(yè)務(wù)軟件運(yùn)行的異常記錄。在2020年4月和9月有多個(gè)境外IP(附表)異常連接該Elasticsearch服務(wù)器，存在數(shù)據(jù)傳輸情況。Thanks應(yīng)急響應(yīng)培訓(xùn)案例分析（下）PA

R

T tw

o網(wǎng)頁篡

改0

5網(wǎng)頁篡改事件網(wǎng)頁篡改事件網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標(biāo)語”事件進(jìn)行進(jìn)一步排查。網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標(biāo)語”事件進(jìn)行進(jìn)一步排查。網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標(biāo)語”事件進(jìn)行進(jìn)一步排查。網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標(biāo)語”事件進(jìn)行進(jìn)一步排查。網(wǎng)頁篡改事件案例：某公司勒索病毒事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標(biāo)語”事件進(jìn)行進(jìn)一步排查。網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標(biāo)語”事件進(jìn)行進(jìn)一步排查。網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標(biāo)語”事件進(jìn)行進(jìn)一步排查。網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標(biāo)語”事件進(jìn)行進(jìn)一步排查。網(wǎng)頁篡改事件案例：某公司網(wǎng)站業(yè)務(wù)篡改事件2019年9月19日XXX公司所發(fā)現(xiàn)惡意修改網(wǎng)站主頁“反X標(biāo)語”事件進(jìn)行進(jìn)一步排查。應(yīng)急結(jié)論：結(jié)合技術(shù)分析研判，初步判定此次事件主要原因是XXX公司后臺(tái)商戶管理系統(tǒng)存在weblogic反序列化漏洞，漏洞被黑客攻擊者利用上傳惡意圖片文件。PA

R

T tw

o釣魚郵

件0

6釣魚事件應(yīng)急處置目的：郵件取樣、事件溯源、協(xié)助止損、郵件取樣：郵件樣本、郵件附件；、事件溯源：分析郵件（釣魚、勒索、挖礦）、入侵排查；、協(xié)助止損：跟蹤溯源，安全自查。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過事件情報(bào)了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過事件情報(bào)了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過事件情報(bào)了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過事件情報(bào)了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過事件情報(bào)了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過事件情報(bào)了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過事件情報(bào)了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過事件情報(bào)了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過事件情報(bào)了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。釣魚事件案例：某公司郵箱釣魚事件某公司受到釣魚郵件攻擊，我方工程師第一時(shí)間到達(dá)（xxx地方）現(xiàn)場(chǎng)進(jìn)行應(yīng)急響應(yīng)，通過事件情報(bào)了解到以下信息：1.境外APT組織向某公司（yhma@）發(fā)送釣魚郵件。2.郵件主題包括“關(guān)于新冠肺炎的一切”“您需要了解有關(guān)冠狀病毒流行的知識(shí)”“瘟疫中的千金良方”等肺炎疫情相關(guān)熱點(diǎn)話題。應(yīng)急結(jié)論：1、經(jīng)郵件服務(wù)器梭子魚網(wǎng)關(guān)搜索，只匹配到“關(guān)于新冠肺炎的一切”郵件信息，有9個(gè)郵箱收到該郵件（3個(gè)人員郵箱收到并未查看郵件信息，2個(gè)人員郵箱查看了郵件內(nèi)容并未打開郵件正文的附件鏈接，4個(gè)人員郵箱為離職人員（郵箱已不使用）），發(fā)件人均為“info_center@yeah.net”，郵件發(fā)送時(shí)間為2020年2月10日9點(diǎn)51分至10點(diǎn)03分，發(fā)送內(nèi)容相同，搜索其他關(guān)鍵字并未發(fā)現(xiàn)其他相關(guān)的郵件。2、分析發(fā)件人（info_center@）郵箱，該郵箱為“廣州網(wǎng)易計(jì)算機(jī)系統(tǒng)有限公司”郵箱，信息包括：郵箱地址、IP地址、歸屬地3、通過分析郵件內(nèi)容，發(fā)現(xiàn)該郵件附件內(nèi)容為超鏈接（http://*********./），超鏈接已無法訪問，未能提取出附件內(nèi)容。4、某公司醫(yī)療已在郵箱管理處配置相關(guān)安全策略，暫未發(fā)現(xiàn)存在安全風(fēng)險(xiǎn)。P

A

R

T

S

e

v

e

nD

D

O

S

流量攻擊0

7DDOS流量攻擊應(yīng)急處置目的：攻擊溯源、提供解決方案、協(xié)助止損等；、事件溯源：分析防護(hù)日志（IP地址判定）、協(xié)助止損：跟蹤溯源，提供解決方案；DDOS流量攻擊案例：某企業(yè)被DDOS攻擊事件初步了解為XX公司的電視機(jī)頂盒被進(jìn)行DDOS攻擊，XX公司的機(jī)頂盒客戶無法正常使用寬帶和電視服務(wù)。DDOS流量攻擊某企業(yè)被DDOS攻擊事件初步了解為XX公司的電視機(jī)頂盒被進(jìn)行DDOS攻擊，XX公司的機(jī)頂盒客戶無法正常使用寬帶和電視服務(wù)。DDOS流量攻擊某企業(yè)被DDOS攻擊事件初步了解為XX公司的電視機(jī)頂盒被進(jìn)行DDOS攻擊，XX公司的機(jī)頂盒客戶無法正常使用寬帶和電視服務(wù)。DDOS流量攻擊某企業(yè)被DDOS攻擊事件初步了解為XX公司的電視機(jī)頂盒被進(jìn)行DDOS攻擊，XX公司的機(jī)頂盒客戶無法正常使用寬帶和電視服務(wù)。被攻擊IP響應(yīng)并返回字節(jié)長(zhǎng)度為78的ICMP回包響應(yīng)攻擊者IP，由于攻擊者IP為通過攻擊工具偽造的SNMP請(qǐng)求，該ICMP回包報(bào)錯(cuò)：目的端口無法到達(dá)。DDOS流量攻擊某企業(yè)被DDOS攻擊事件初步了解為XX公司的電視機(jī)頂盒被進(jìn)行DDOS攻擊，XX公司的機(jī)頂盒客戶無法正常使用寬帶和電視服務(wù)。應(yīng)急結(jié)論：攻擊者通過互聯(lián)網(wǎng)使用snmp

public掃描開放snmp協(xié)議的設(shè)備，使用境外服務(wù)器IP對(duì)設(shè)備進(jìn)行SNMP協(xié)議的拒絕服務(wù)攻擊。針對(duì)攻擊時(shí)的流量數(shù)據(jù)包分析，未發(fā)現(xiàn)有明顯放大攻擊的跡象，同時(shí)由于流量數(shù)據(jù)包只有數(shù)據(jù)包包頭內(nèi)容，缺失數(shù)據(jù)包內(nèi)容，無法深入分析更多攻擊詳情。后續(xù)：機(jī)頂盒軟件問題，處置SNMP包存在bug，導(dǎo)致崩潰。DDOS流量攻擊某企業(yè)被DDOS攻擊事件深圳某企業(yè)網(wǎng)絡(luò)科技有限公司（下稱“某企業(yè)”）的域名www.xxxxx.com（IP：120.76.xxxx.xxxx），于2020年7月16日早上11點(diǎn)左右遭受DDOS攻擊目前阿里云已將IP:74進(jìn)行流量屏蔽，再對(duì)垃圾數(shù)據(jù)進(jìn)行清洗，網(wǎng)站暫時(shí)無法訪問。DDOS流量攻擊某企業(yè)被DDOS攻擊事件深圳某企業(yè)網(wǎng)絡(luò)科技有限公司（下稱“某企業(yè)”）的域名www.xxxxx.com（IP：120.76.xxxx.xxxx），于2020年7月16日早上11點(diǎn)左右遭受DDOS攻擊目前阿里云已將IP:74進(jìn)行流量屏蔽，再對(duì)垃圾數(shù)據(jù)進(jìn)行清洗，網(wǎng)站暫時(shí)無法訪問。DDOS流量攻擊某企業(yè)被DDOS攻擊事件深圳某企業(yè)網(wǎng)絡(luò)科技有限公司（下稱“某企業(yè)”）的域名www.xxxxx.com（IP：120.76.xxxx.xxxx），于2020年7月1