網絡安全事件應急指南2024

SANGFOR深信服科技SANGFOR深信服科技出品時間：2024年網絡安全事件應急指南EmergencyGuidelinesforCybersecurityIncidents::2024全年3000+起應急事件的處置經驗APT、Web入侵6大場景類型盤點2023-2024年6大行業(yè)熱點網絡安全事件在這個信息技術日新月異的時代，網絡攻擊手段的復雜性與日俱增，安全威脅層出不窮，給企事業(yè)單位的安全防護能力帶供一套全面、系統(tǒng)的網絡安全事件應急響應處置的思路框架和操作指南。我們希望這不僅是一份指南，更是大家在網絡戰(zhàn)網絡安全應急響應，通常是指一個組織在特定網絡和系統(tǒng)面臨或已經遭受突然攻擊行為時，進行快速應急反應，提出并實和應急機制的綜合性考驗。本報告匯集了應急響應中心多年應急處置經驗的精華，以及對最新安全威脅事件的深入研究成我們期待此報告能夠幫助各企事業(yè)單位提升對網絡安全事件的應對能力，并希望與行業(yè)同仁共同探討和分享網絡安全的最新技術思路和最佳實踐，攜手構建起更加堅固的網絡安全防線。讓我們一起翻開《網絡安全事件應急指南》，探索如何在本報告除明確注明來源的內容以外，數據均來自深信服安全應急響應中心，目的僅為幫助用戶及時了解安全事件應急響應的相關內容，僅供參考。本報告中所含內容乃一般性信息，不應被視為任何意義上的決策意見或依據，任何深信服科技股》》》錄數據泄露場景01背景簡介01某用戶重要業(yè)務數據在暗網論壇被售賣事件01某單位因敏感數據泄露被通報事件數據泄露場景01背景簡介01某用戶重要業(yè)務數據在暗網論壇被售賣事件01某單位因敏感數據泄露被通報事件04勒索場景06背景簡介06處置與溯源流程07phobos勒索家族通過RDP端口暴破入侵事件09mallox勒索家族通過Web應用漏洞入侵事件11mallox勒索家族通過MSSQL端口暴破入侵+內網橫向事件13勒索軟件的防御措施16主機病毒場景18背景簡介18Linux系統(tǒng)主機病毒案例18PwnDNS挖礦家族：一度風靡的惡意軟件18Mirai僵尸網絡家族：活躍時間最長的網絡威脅22Windows系統(tǒng)主機病毒案例24“麻辣香鍋”病毒：劫持萬千用戶瀏覽器主頁的病毒24主機病毒的應對策略31網頁暗鏈場景33背景簡介33處置與溯源流程34某服務行業(yè)用戶因「IIS惡意模塊+UA頭部劫持」植入暗鏈被通報36某媒體行業(yè)用戶因「Nginx配置文件劫持+靜態(tài)html頁面劫持」植入暗鏈被通報網頁暗鏈的防御措施APT場景背景簡介某單位遭遇海蓮花惡意IP攻擊被通報某科研機構遭遇白象郵件釣魚攻擊某單位遭遇境外NSA武器滲透攻擊Web入侵場景背景簡介 處置與溯源流程 某企業(yè)用戶業(yè)務服務器內存馬注入事件 某用戶財務系統(tǒng)SQL注入事件附錄：2023-2024大型網絡安全事件盤點基礎設施行業(yè) 政府機構 金融行業(yè) 科技行業(yè) 連鎖服務行業(yè) 參考鏈接3842434346 48515456本章節(jié)，我們將從Web方向分析數據泄露的可能性，以及如何利用現有的日志進行綜合分析以應對數據泄露事件。在一種是已知泄露數據源，類似下文案例分析中某樣板數據被公布在了暗網或各大平臺上，這時我們可以通過已知的線另外一種情況是更加嚴重的，即收到監(jiān)管單位通報說某個單位存在數據泄露情況，但給出的信息較少，不足以支撐后追蹤數據泄露的源頭，并采取相應的補救措施。在實際應用中，這種方法不僅有助于理解數據泄露的過程，還能為未來的某用戶通過相關情報得知，自身重要業(yè)務數據被黑客在暗網論壇上售賣，應急響應中心應用戶要求對本次事件進行深入0101根據黑客發(fā)布的信息以及連接中的數據初步判斷該數據格式和某業(yè)務系統(tǒng)中的導出功能相似，由于該系統(tǒng)本身支持導出功Web業(yè)務遭受攻擊拿到Webshell權限，通過Webshel前期得知該服務器曾被其他安全團隊分析過，并未發(fā)現被攻擊痕跡存在而且用戶已將業(yè)務系統(tǒng)關閉并收斂到了內網，故公■事件分析方案方案一希望用戶提供數據導出的接口按鈕功能連接，人工猜測可能存在的接口信息根據關鍵字段搜索，關鍵信息例如：xlsx、?lename、Export等凡是與文0202波音公司迅速啟動應急響應機制，積極與執(zhí)法和網絡安全專家合作調查該事件并恢復任何受影響的數據。黑客索要高達2攻擊者試圖抹去該通訊社系統(tǒng)上所有數據的嘗試失敗了，只成功摧毀了“幾個數據存儲系統(tǒng)”上的文件，這并沒有影響烏6565》》》6666CDKGlobal在發(fā)現攻擊后立即關閉了大部分系統(tǒng)以防止攻擊蔓延，并開始分階段恢復系統(tǒng)，受影響的經銷商也斷開了與臺積電證實，其一家“IT硬件供應商發(fā)生了網絡安全事件6767臺積電根據公司的安全協(xié)議和標準操作程序，立即終止了與受影響供應商的數據交換。公司將加強供應鏈安全管理，提高攻擊導致產線停產，部分訂單無法按時完成，對公司的業(yè)務運營和客戶交付造成了嚴重影響。此外，病毒的清理和系統(tǒng)的Hoya立即隔離受影響的服務器，并向受影響生產設施所在國家的有關當局報告。聘請專業(yè)的網絡安全專家進行處理?！贰贰贰?8682024年7月，某市公安局發(fā)布警情通報稱，該市某公共服務機構部分網絡設備被竊取，嚴重威脅我國國家安全。據通報，這可能是一次以軍事偵察為目的的網絡攻擊，發(fā)起網絡攻擊的是境外有政府背GrimResource是一種新型的野外代碼執(zhí)行技術，由Elastic安全研究人員在2024年6月揭露。OceanLotus(海一個東南亞黑客組織，多年來對我國黨政機關、國防軍工、科研院所等核心要害單位發(fā)起攻擊。本次使用GrimResourceGrimResource技術可繞過防御，能夠繞過ActiveX控件告警，實現無文件落地的payload執(zhí)行；在野外發(fā)現的樣本在VirusTotal中有0個靜態(tài)檢測，表明其隱蔽性極高，難以被發(fā)現；可以預見，MSC樣式的魚叉郵件可能會替代lnk、o?ce宏文檔等成為攻擊者最常用的釣魚誘餌，潛在影響大。不下載非官方軟件；提高警覺性，避免點擊來歷不明的鏈接或下載不明來源的應用程序；確保操作系統(tǒng)和安全軟件保持最2024年4月，美國國家環(huán)境保護局（EPA）遭受此次數據泄露攻擊對美國國家環(huán)境保護局的聲譽和公信力造成了嚴重損害。泄露的數據在俄羅斯黑客和網絡犯罪論壇中流6969EPA立即切斷了受影響的系統(tǒng)連接，防止攻擊者進一步影響了希臘國內中學期末考試，教師無法從題庫平臺抽取考題，部分考生不得不在教室等待數小時。也可能泄露學生的個希臘最高法院下令對此次網絡襲擊展開調查，并由警方的網絡犯罪部門提供協(xié)助。同時教育部加強了網絡安全防護措施，》》》7070ErrorFather是一項新型網絡攻擊活動，利用一種未被檢測的Cerberus安卓銀行木馬，專門針對安卓用戶。馬最初因其通過鍵盤記錄、覆蓋攻擊和VNC功能竊取金融及社交媒體應用的憑證而聲名鵲起，能夠繞過安全限制，并具備高度的隱蔽性和難以檢測的特性。CRIL研究人員在2024年9月和10月識別到這段時間內該活動顯著增加，表明ErrorFather的運營者正在擴大針對全球安卓用戶的攻擊。ErrorFather惡意軟件通過安卓和iOS應用商店的假冒銀行應用傳播，下載一個多階段的銀行木馬，旨在繞過安全限制并竊取銀行信息。通過覆蓋攻擊進行操作，掃描手機中的金融應用，并在用戶與這些應用互動時加載假釣魚頁面，從而竊取建議用戶從官方應用商店下載應用，避免使用小眾或上線時間短的應用軟件；不要隨意下載應用或點擊陌生鏈接，尤其是美國知名銀行EvolveBank&Trust在遭遇LockBit勒索軟件攻擊后，其客戶數據送數據泄露通知。調查顯示，由于公司員工點擊了惡意鏈接，導致Lockbit成員在未經授權的情況下訪問了Evolv此次攻擊導致EvolveBank&Trust的客戶數據被盜，部分系統(tǒng)無法正常工作，影響了金融科技公司如A?rm、Wise和EvolveBank&Trust迅速采取應急措施保障客戶資金安全，為美國居民提供了為期兩年的信用監(jiān)控和身份保護服務，并Solutions暫時不可用，對公司運營和客戶服務造成了影響。7171EquiLend在發(fā)現事件后公司立即聘請了第三方網絡安全專家并啟動了調查，同時迅速采取措施控制事件影響，并逐步恢攻擊對該銀行業(yè)務運營和數據安全造成了嚴重影響，業(yè)務中斷導致公司無法正常提供服務，影響了客戶的業(yè)務辦理和資金該銀行表示，發(fā)現攻擊后立即切斷并隔離了受影響系統(tǒng)，展開徹底調查并向執(zhí)法部門報告，并在專業(yè)信息安全專家遭受攻擊后，PayPal迅速凍結了所有受影響的用戶賬戶，防止攻擊者進一步竊取資金或篡改賬戶信息。查向用戶發(fā)送電子郵件，告知系統(tǒng)近期遭到撞庫攻擊，部分用戶數據可能已經泄露。Pa72722024年6月，云存儲巨頭Snow?ake遭黑客攻擊，全球超過165家知名企業(yè)因此遭遇數據泄露，包括票務巨頭此次事件被認為是云計算歷史上最嚴重的數據泄漏事件之一，導致全球多家知名企業(yè)的敏感數據被非法訪問和泄露，可能調查發(fā)現，黑客利用之前通過信息竊取惡意軟件竊取的憑證入侵Snow?ake，最終竊取了有價值的數據，其中黑客使用的某些憑據已有數年歷史。為防止類似事件，云服務提供商必須實施強大的多因素身份驗證和安全身份驗證措施，采用更嚴/地區(qū)的超過6千臺SOHO路由器和物聯TheMoon僵尸網絡的攻擊導致了大量用戶網絡的癱瘓和數據泄露，嚴重影響了用戶的網絡使用體驗和數據安全。同時，公司迅速發(fā)布了安全補丁和升級指南，通知用戶更新路由器固件以修復漏洞。同時加強國際合作，共同打擊TheMoon僵xz-utils軟件包遭受的供應鏈攻擊歷時三年，幾乎成功在眾多Linux發(fā)行版中為sshd植入后門，這將允許攻擊者繞過密鑰軟件供應鏈攻擊導致了大量用戶系統(tǒng)的感染和數據泄露，嚴重損害了用戶的隱私和安全。同7373XZUtils的開發(fā)團隊迅速發(fā)布了安全公告和修復補丁，并通知了所有用戶更新到安全版本。同時，加強了代碼審查和簽名2024年1月，微軟公司遭遇了針對高管賬戶的泄露攻擊。一個名為“午夜暴雪”的黑客組織利用釣魚郵件和社交工程手段成功入侵了部分高管的電子郵件賬戶，并獲得了該公司源代碼存儲庫和內部系統(tǒng)的訪問權限。隨后，黑客利用這一立足影響了微軟公司的聲譽，高管賬戶泄露可能導致公司戰(zhàn)略機密、商業(yè)計劃以及客戶數據等敏感信息被泄露給競爭對手或惡微軟公司向可能受到影響的客戶發(fā)出了安全提醒通知。微軟還加強了網絡安全措施，包括多因素認證、定期密碼更新以及2023年12月，卡巴斯基安全研究人員披露了IPhone歷史上最復雜的間諜軟件攻擊?三角測量（Triangulation）的技術細節(jié)。分析師在2023年6月首次發(fā)現了上述攻擊活動并進行了逆向工程年以來被用于監(jiān)聽IPhone用戶，能夠利用多種手段（如釣魚郵件、惡意鏈接等）入侵目標系統(tǒng)，竊取敏感數據和監(jiān)控用三角測量間諜軟件攻擊導致了大量敏感數據的泄露和用戶隱私的暴露。被攻擊的組織可能面臨商業(yè)機密泄露、業(yè)務中斷以受影響的組織和個人應立即采取行動加強安全防護，包括更新操作系統(tǒng)和軟件、安裝可靠的安全軟件、加強密碼管理和網2023年10月，知名基因檢測公司23andMe遭遇了一次大規(guī)模的數據泄露事件，一名匿名黑客聲稱竊取了數百萬23andMe用戶的遺傳數據，包括用戶的電7474這次數據泄露可能導致用戶的個人隱私嚴重暴露，增加遺傳歧視和身份盜用的風險。還可能利用這些數據進行基因武器研23andMe在發(fā)現異常后立即啟動了安全響應流程，關閉受影響系統(tǒng)，并通知用戶數據可能已被泄露。同時加強了數據加體設備有關，另一起與內部會議有關。三星員工在運行半導體設備計量成功竊取了多款熱門游戲如《英雄聯盟》、《云頂之弈》等以及反作弊平臺的源代碼，被盜代碼共計72.4G，并在暗網以源代碼被盜可能導致游戲存在嚴重的安全漏洞和未公開的功能被濫用。黑客還可能利用這些源代碼制作盜版游戲或惡意軟拳頭公司遭遇攻擊后加緊修復漏洞，承諾玩家的數據沒有受到影響；同時加強了代碼庫的訪問控制和數據加密措施，提升75752024年7月，黑客組織Nullbulge以“捍衛(wèi)藝術家權益”為由，通過原因是該公司的一家第三方供應商發(fā)生了網絡安全事故，隨后公司加強了合作方的網絡安全保護措施，對敏感數據進行加此次攻擊影響了拉斯維加斯和其他州的酒店預訂和博彩系統(tǒng)，給游客帶來了極大的不便。米高梅因此遭受了巨大的經濟損內華達州博彩控制委員會合作應對攻擊。為客戶提供免費的的身份保護和信用監(jiān)控服務。公司CEO向客戶發(fā)出公開信，7676/rain/a/20240403A08QZP00/article/792313.htmlChangeHealthcare遭受勒索軟件攻擊，導致美國醫(yī)療保健系統(tǒng)中斷/archives/3326558.html波音公司遭受LockBit勒索軟件攻擊，43GB數據被竊取/6533//news/security/ukraine-sandworm-hackers-hit-news-agency-with-5-data-wipers/.tw/articles/tech/1339899.htm/2024/0624/519321.shtmlhttp://c1c.ca/cms/jianada/528.html臺積電遭受LockBit攻擊被勒索7000萬美元/c/8R38sCq74Ua/post/id/295336/n1/2023/0726/c1008-40043917.html海蓮花組織利用GrimResource技術進行釣魚攻擊https://www.ct?/208200.html/articles/397144.html/news/232111/2023/0601/856463.html地獄級銀行木馬病毒Cerberus變種再起，在多個國家傳播/super-hard-to-detect-hellish-new-banking-trojan-strikes/?via=E07513#google_vignette7777美國知名銀行EvolveBank&Trust遭攻擊導致約760萬名客戶數據被盜/archives