網(wǎng)絡(luò)安全事件應(yīng)急指南2024

錄數(shù)據(jù)泄露場(chǎng)景01背景簡(jiǎn)介01某用戶重要業(yè)務(wù)數(shù)據(jù)在暗網(wǎng)論壇被售賣(mài)事件01某單位因敏感數(shù)據(jù)泄露被通報(bào)事件數(shù)據(jù)泄露場(chǎng)景01背景簡(jiǎn)介01某用戶重要業(yè)務(wù)數(shù)據(jù)在暗網(wǎng)論壇被售賣(mài)事件01某單位因敏感數(shù)據(jù)泄露被通報(bào)事件04勒索場(chǎng)景06背景簡(jiǎn)介06處置與溯源流程07phobos勒索家族通過(guò)RDP端口暴破入侵事件09mallox勒索家族通過(guò)Web應(yīng)用漏洞入侵事件11mallox勒索家族通過(guò)MSSQL端口暴破入侵+內(nèi)網(wǎng)橫向事件13勒索軟件的防御措施16主機(jī)病毒場(chǎng)景18背景簡(jiǎn)介18Linux系統(tǒng)主機(jī)病毒案例18PwnDNS挖礦家族：一度風(fēng)靡的惡意軟件18Mirai僵尸網(wǎng)絡(luò)家族：活躍時(shí)間最長(zhǎng)的網(wǎng)絡(luò)威脅22Windows系統(tǒng)主機(jī)病毒案例24“麻辣香鍋”病毒：劫持萬(wàn)千用戶瀏覽器主頁(yè)的病毒24主機(jī)病毒的應(yīng)對(duì)策略31網(wǎng)頁(yè)暗鏈場(chǎng)景33背景簡(jiǎn)介33處置與溯源流程34某服務(wù)行業(yè)用戶因「IIS惡意模塊+UA頭部劫持」植入暗鏈被通報(bào)36某媒體行業(yè)用戶因「Nginx配置文件劫持+靜態(tài)html頁(yè)面劫持」植入暗鏈被通報(bào)網(wǎng)頁(yè)暗鏈的防御措施APT場(chǎng)景背景簡(jiǎn)介某單位遭遇海蓮花惡意IP攻擊被通報(bào)某科研機(jī)構(gòu)遭遇白象郵件釣魚(yú)攻擊某單位遭遇境外NSA武器滲透攻擊Web入侵場(chǎng)景背景簡(jiǎn)介 處置與溯源流程 某企業(yè)用戶業(yè)務(wù)服務(wù)器內(nèi)存馬注入事件 某用戶財(cái)務(wù)系統(tǒng)SQL注入事件附錄：2023-2024大型網(wǎng)絡(luò)安全事件盤(pán)點(diǎn)基礎(chǔ)設(shè)施行業(yè) 政府機(jī)構(gòu) 金融行業(yè) 科技行業(yè) 連鎖服務(wù)行業(yè) 參考鏈接4346 本章節(jié)，我們將從Web方向分析數(shù)據(jù)泄露的可能性，以及如何利用現(xiàn)有的日志進(jìn)行綜合分析以應(yīng)對(duì)數(shù)據(jù)泄露事件。在一種是已知泄露數(shù)據(jù)源，類(lèi)似下文案例分析中某樣板數(shù)據(jù)被公布在了暗網(wǎng)或各大平臺(tái)上，這時(shí)我們可以通過(guò)已知的線另外一種情況是更加嚴(yán)重的，即收到監(jiān)管單位通報(bào)說(shuō)某個(gè)單位存在數(shù)據(jù)泄露情況，但給出的信息較少，不足以支撐后追蹤數(shù)據(jù)泄露的源頭，并采取相應(yīng)的補(bǔ)救措施。在實(shí)際應(yīng)用中，這種方法不僅有助于理解數(shù)據(jù)泄露的過(guò)程，還能為未來(lái)的某用戶通過(guò)相關(guān)情報(bào)得知，自身重要業(yè)務(wù)數(shù)據(jù)被黑客在暗網(wǎng)論壇上售賣(mài)，應(yīng)急響應(yīng)中心應(yīng)用戶要求對(duì)本次事件進(jìn)行深入0101根據(jù)黑客發(fā)布的信息以及連接中的數(shù)據(jù)初步判斷該數(shù)據(jù)格式和某業(yè)務(wù)系統(tǒng)中的導(dǎo)出功能相似，由于該系統(tǒng)本身支持導(dǎo)出功前期得知該服務(wù)器曾被其他安全團(tuán)隊(duì)分析過(guò)，并未發(fā)現(xiàn)被攻擊痕跡存在而且用戶已將業(yè)務(wù)系統(tǒng)關(guān)閉并收斂到了內(nèi)網(wǎng)，故公■事件分析方案方案一希望用戶提供數(shù)據(jù)導(dǎo)出的接口按鈕功能連接，通過(guò)該連人工猜測(cè)可能存在的接口信息根據(jù)關(guān)鍵字段搜索，關(guān)鍵信息例如：xlsx、?lename、Export等凡是與文0202波音公司迅速啟動(dòng)應(yīng)急響應(yīng)機(jī)制，積極與執(zhí)法和網(wǎng)絡(luò)安全專(zhuān)家合作調(diào)查該事件并恢復(fù)任何受影響的數(shù)據(jù)。黑客索要高達(dá)2攻擊者試圖抹去該通訊社系統(tǒng)上所有數(shù)據(jù)的嘗試失敗了，只成功摧毀了“幾個(gè)數(shù)據(jù)存儲(chǔ)系統(tǒng)”上的文件，這并沒(méi)有影響烏6565》》》6666CDKGlobal在發(fā)現(xiàn)攻擊后立即關(guān)閉了大部分系統(tǒng)以防止攻擊蔓延，并開(kāi)始分階段恢復(fù)系統(tǒng)，受影響的經(jīng)銷(xiāo)商也斷開(kāi)了與臺(tái)積電證實(shí)，其一家“IT硬件供應(yīng)商發(fā)生了網(wǎng)絡(luò)安全事件6767臺(tái)積電根據(jù)公司的安全協(xié)議和標(biāo)準(zhǔn)操作程序，立即終止了與受影響供應(yīng)商的數(shù)據(jù)交換。公司將加強(qiáng)供應(yīng)鏈安全管理，提高攻擊導(dǎo)致產(chǎn)線停產(chǎn)，部分訂單無(wú)法按時(shí)完成，對(duì)公司的業(yè)務(wù)運(yùn)營(yíng)和客戶交付造成了嚴(yán)重影響。此外，病毒的清理和系統(tǒng)的Hoya立即隔離受影響的服務(wù)器，并向受影響生產(chǎn)設(shè)施所在國(guó)家的有關(guān)當(dāng)局報(bào)告。聘請(qǐng)專(zhuān)業(yè)的網(wǎng)絡(luò)安全專(zhuān)家進(jìn)行處理。》》》》6868被竊取，嚴(yán)重威脅我國(guó)國(guó)家安全。據(jù)通報(bào)，這可能是一次以軍事偵察為目的的網(wǎng)絡(luò)攻擊，發(fā)起網(wǎng)絡(luò)攻擊的是境外有政府背一個(gè)東南亞黑客組織，多年來(lái)對(duì)我國(guó)黨政機(jī)關(guān)、國(guó)防軍工、科研院所等核心要害單位發(fā)起攻擊。本次使用GrimResourceVirusTotal中有0個(gè)靜態(tài)檢測(cè)，表明其隱蔽性極高，難以被發(fā)現(xiàn)；可以預(yù)見(jiàn)，MSC樣式的魚(yú)叉郵件可能會(huì)替代lnk、o?ce宏文檔等成為攻擊者最常用的釣魚(yú)誘餌，潛在影響大。不下載非官方軟件；提高警覺(jué)性，避免點(diǎn)擊來(lái)歷不明的鏈接或下載不明來(lái)源的應(yīng)用程序；確保操作系統(tǒng)和安全軟件保持最此次數(shù)據(jù)泄露攻擊對(duì)美國(guó)國(guó)家環(huán)境保護(hù)局的聲譽(yù)和公信力造成了嚴(yán)重?fù)p害。泄露的數(shù)據(jù)在俄羅斯黑客和網(wǎng)絡(luò)犯罪論壇中流6969EPA立即切斷了受影響的系統(tǒng)連接，防止攻擊者進(jìn)一步影響了希臘國(guó)內(nèi)中學(xué)期末考試，教師無(wú)法從題庫(kù)平臺(tái)抽取考題，部分考生不得不在教室等待數(shù)小時(shí)。也可能泄露學(xué)生的個(gè)希臘最高法院下令對(duì)此次網(wǎng)絡(luò)襲擊展開(kāi)調(diào)查，并由警方的網(wǎng)絡(luò)犯罪部門(mén)提供協(xié)助。同時(shí)教育部加強(qiáng)了網(wǎng)絡(luò)安全防護(hù)措施，》》》7070馬最初因其通過(guò)鍵盤(pán)記錄、覆蓋攻擊和VNC功能竊取金融及社交媒體應(yīng)用的憑證而聲名鵲起，能夠繞過(guò)安全限制，并具備高度的隱蔽性和難以檢測(cè)的特性。CRIL研究人員在2024年9月和10月識(shí)別到這段時(shí)間內(nèi)該活動(dòng)顯著增加，表明ErrorFather惡意軟件通過(guò)安卓和iOS應(yīng)用商店的假冒銀行應(yīng)用傳播，下載一個(gè)多階段的銀行木馬，旨在繞過(guò)安全限制并竊取銀行信息。通過(guò)覆蓋攻擊進(jìn)行操作，掃描手機(jī)中的金融應(yīng)用，并在用戶與這些應(yīng)用互動(dòng)時(shí)加載假釣魚(yú)頁(yè)面，從而竊取建議用戶從官方應(yīng)用商店下載應(yīng)用，避免使用小眾或上線時(shí)間短的應(yīng)用軟件；不要隨意下載應(yīng)用或點(diǎn)擊陌生鏈接，尤其是EvolveBank&Trust迅速采取應(yīng)急措施保障客戶資金安全，為美國(guó)居民提供了為期兩年的信用監(jiān)控和身份保護(hù)服務(wù)，并7171EquiLend在發(fā)現(xiàn)事件后公司立即聘請(qǐng)了第三方網(wǎng)絡(luò)安全專(zhuān)家并啟動(dòng)了調(diào)查，同時(shí)迅速采取措施控制事件影響，并逐步恢攻擊對(duì)該銀行業(yè)務(wù)運(yùn)營(yíng)和數(shù)據(jù)安全造成了嚴(yán)重影響，業(yè)務(wù)中斷導(dǎo)致公司無(wú)法正常提供服務(wù)，影響了客戶的業(yè)務(wù)辦理和資金該銀行表示，發(fā)現(xiàn)攻擊后立即切斷并隔離了受影響系統(tǒng)，展開(kāi)徹底調(diào)查并向執(zhí)法部門(mén)報(bào)告，并在專(zhuān)業(yè)信息安全專(zhuān)家遭受攻擊后，PayPal迅速凍結(jié)了所有受影響的用戶賬戶，防止攻擊者進(jìn)一步竊取資金或篡改賬戶信息。查向用戶發(fā)送電子郵件，告知系統(tǒng)近期遭到撞庫(kù)攻擊，部分用戶數(shù)據(jù)可能已經(jīng)泄露。Pa72722024年6月，云存儲(chǔ)巨頭Snow?ake遭黑客攻擊，全球超過(guò)165家知名企業(yè)因此遭遇數(shù)據(jù)泄露，包括票務(wù)巨頭此次事件被認(rèn)為是云計(jì)算歷史上最嚴(yán)重的數(shù)據(jù)泄漏事件之一，導(dǎo)致全球多家知名企業(yè)的敏感數(shù)據(jù)被非法訪問(wèn)和泄露，可能調(diào)查發(fā)現(xiàn)，黑客利用之前通過(guò)信息竊取惡意軟件竊取的憑證入侵Snow?ake某些憑據(jù)已有數(shù)年歷史。為防止類(lèi)似事件，云服務(wù)提供商必須實(shí)施強(qiáng)大的多因素身份驗(yàn)證和安全身份驗(yàn)證措施，采用更嚴(yán)TheMoon僵尸網(wǎng)絡(luò)的攻擊導(dǎo)致了大量用戶網(wǎng)絡(luò)的癱瘓和數(shù)據(jù)泄露，嚴(yán)重影響了用戶的網(wǎng)絡(luò)使用體驗(yàn)和數(shù)據(jù)安全。同時(shí)，7373XZUtils的開(kāi)發(fā)團(tuán)隊(duì)迅速發(fā)布了安全公告和修復(fù)補(bǔ)丁，并通知了所有用戶更新到安全版本。同時(shí)，加強(qiáng)了代碼審查和簽名段成功入侵了部分高管的電子郵件賬戶，并獲得了該公司源代碼存儲(chǔ)庫(kù)和內(nèi)部系統(tǒng)的訪問(wèn)權(quán)限。隨后，黑客利用這一立足影響了微軟公司的聲譽(yù)，高管賬戶泄露可能導(dǎo)致公司戰(zhàn)略機(jī)密、商業(yè)計(jì)劃以及客戶數(shù)據(jù)等敏感信息被泄露給競(jìng)爭(zhēng)對(duì)手或惡微軟公司向可能受到影響的客戶發(fā)出了安全提醒通知。微軟還加強(qiáng)了網(wǎng)絡(luò)安全措施，包括多因素認(rèn)證、定期密碼更新以及2023年12月，卡巴斯基安全研究人員披露了IPhone歷史上最復(fù)雜的間諜軟件攻擊?三角測(cè)量（Triangulation）的技年以來(lái)被用于監(jiān)聽(tīng)I(yíng)Phone用戶，能夠利用多種手段（如釣三角測(cè)量間諜軟件攻擊導(dǎo)致了大量敏感數(shù)據(jù)的泄露和用戶隱私的暴露。被攻擊的組織可能面臨商業(yè)機(jī)密泄露、業(yè)務(wù)中斷以受影響的組織和個(gè)人應(yīng)立即采取行動(dòng)加強(qiáng)安全防護(hù)，包括更新操作系統(tǒng)和軟件、安裝可靠的安全軟件、加強(qiáng)密碼管理和網(wǎng)2023年10月，知名基因檢測(cè)公司23andMe遭遇了一次大規(guī)模的數(shù)據(jù)泄露事件，一名匿名黑客聲稱(chēng)竊取了數(shù)百萬(wàn)7474這次數(shù)據(jù)泄露可能導(dǎo)致用戶的個(gè)人隱私嚴(yán)重暴露，增加遺傳歧視和身份盜用的風(fēng)