《奇安信：2024年中95015網絡安全應急響應分析報告（22頁）.pdf》由會員分享，可在線閱讀，更多相關《奇安信：2024年中95015網絡安全應急響應分析報告（22頁）.pdf（22頁珍藏版）》請在三個皮匠報告上搜索。

1、 95015 網絡安全應急響應 分析報告（2024 年上半年）奇安信安服團隊 2024 年 7 月 主要觀點 2024 年上半年，奇安信集團安服團隊共接到應急服務需求 336 起。金融機構、制造業、政府部門的業務專網是 2024 年上半年攻擊者攻擊的主要目標。當前國內絕大多數政企機構在網絡安全基礎設施建設和網絡安全運營能力方面存在嚴重不足。一方面，僅有 15.3%的政企機構能夠通過安全巡檢提前發現問題，避免損失，而絕大多數政企機構只能在重大損失發生之后，或被第三方機構通報后才能發現安全問題；另一方面，攻擊者利用弱密碼、永恒之藍等常規漏洞攻擊主機、服務器的事件占比近二分之一。安全意識問題已經成為

2、制約政企機構安全生產的根本性問題：由內部人員違規操作觸發的應急響應事件約占 2024 年上半年 95015服務平臺接報事件總量的四分之一。公網泄露敏感信息、高危端口對公網開放、下載盜版軟件等由于安全意識淡薄而引發的內網服務器受感染導致勒索病毒蔓延、數據泄露甚至是服務器失陷事件層出不窮。由此可見，大中型政企機構加大力度提升內部員工網絡安全防范意識迫在眉睫。95015 服務平臺 2024 年上半年接報的安全事件中有小部分來自政企機構內部實戰攻防演習活動，通過實際的攻擊模擬和防御演練，企業可以更好地發現和識別可能存在的安全漏洞，能夠盡早發現并修復潛在的威脅，防止實際攻擊的發生，減少潛在的損失。摘 要

3、 2024 年上半年，95015 服務平臺共接到全國政企機構網絡安全應急事件 336 起。奇安信安服團隊處置相關事件累計投入工時 2762.4 小時，折合 345.3 人天，處置一起應急事件平均用時 8.2 小時。從行業分布來看，2024年上半年，95015服務平臺接報的網絡安全應急響應事件中，金融機構報告的事件最多，為 49 起；其次是制造業 36 起；政府部門排第三，為 32起。此外，事業單位、醫療衛生、IT 信息技術等行業也是網絡安全應急響應事件高發行業。49.8%的政企機構，是在系統已經出現了非常明顯的入侵跡象后進行的報案求助；30.5%的政企機構，是在被攻擊者勒索之后，撥打的 950

4、15。而真正能夠通過安全運營巡檢，提前發現問題的僅占比 15.3%。從網絡安全事件的影響范圍來看，64.7%的事件主要影響業務專網，而主要影響辦公網的事件占比 35.3%。從受影響的設備數量來看，失陷服務器為 3234 臺，失陷辦公終端為 662 臺。業務專網、服務器是網絡攻擊者攻擊的主要目標。從網絡安全事件造成的損失來看，造成生產效率低下的事件 157 起，占比 46.7%；造成數據丟失的事件 57 起，占比 17.0%；造成數據泄漏的事件 34 起，占比 10.1%；此外，造成聲譽影響的事件 13 起，造成數據被篡改的事件 11 起。內部人員為了方便工作等原因進行違規操作，進而觸發應急響應

5、的網絡安全事件多達 81 起。這一數量僅次于黑產活動（90 起）、超過了竊取重要數據（65 起）和敲詐勒索（46 起）等為目的的外部網絡攻擊事件的數量。以惡意程序為主要手段的網絡攻擊最為常見，占比 32.0%；其次是漏洞利用，占比29.8%；釣魚郵件排第三，占比 8.4%。此外，網頁篡改、Web 應用 CC 攻擊、網絡監聽攻擊、拒絕服務攻擊等也比較常見。還有約 21.8%的安全事件，并非網絡攻擊事件。應急事件分析顯示，勒索病毒、挖礦木馬、網站木馬是攻擊者使用最多的惡意程序類型，分別占到惡意程序攻擊事件的 20.4%、20.0%和 5.8%。此外，APT 專用木馬、DDOS 木馬、蠕蟲病毒、永恒

6、之藍下載器木馬等也都是經常出現的惡意程序類型。在應急響應事件處置的勒索軟件中，排名第一的是 Phobos 勒索軟件，2024 年上半年觸發大中型政企機構網絡安全應急響應事件10次；其次是Mallox勒索軟件7次，Makop 勒索軟件 5 次。這些流行的勒索病毒，十分值得警惕。弱口令是攻擊者在 2024 年上半年利用最多的網絡安全漏洞，相關應急事件多達 102起，占比 30.4%。其次是永恒之藍漏洞，相關利用事件為 59 起，占比 17.6%。關鍵詞：關鍵詞：95015、應急響應、安全服務、弱口令、內部違規、敲詐勒索、漏洞利用 目 錄 第一章第一章 網絡安全應急響應形勢綜述網絡安全應急響應形勢綜

7、述.1 第二章第二章 應急響應事件受害者分析應急響應事件受害者分析.2 一、行業分布.2 二、事件發現.2 三、影響范圍.3 四、事件損失.4 第三章第三章 應急響應事件攻擊者分析應急響應事件攻擊者分析.5 一、攻擊意圖.5 二、攻擊手段.6 三、惡意程序.6 四、漏洞利用.7 第四章第四章 應急響應典型案例分析應急響應典型案例分析.9 一、某企業服務器感染 LIVE 勒索病毒.9 二、某企業內網遭受漏洞利用攻擊導致多臺服務器失陷.10 三、攻擊者利用歷史遺留后門植入暗鏈.12 四、某企業內網感染 Minerd 挖礦病毒.13 附錄附錄 1 95011 95015 5 網絡安全服務熱線網絡安全

8、服務熱線.15 附錄附錄 2 2 奇安信集團安服團隊奇安信集團安服團隊.16 附錄附錄 3 3 網絡安全應急響應圖書推薦網絡安全應急響應圖書推薦.17 奇安信集團 第 1 頁，共 18 頁 第一章 網絡安全應急響應形勢綜述 2024 年 16 月，95015 服務平臺共接到全國范圍內網絡安全應急響應事件 336 起，奇安信安服團隊第一時間協助政企機構處置安全事故，確保了政企機構門戶網站、數據庫和重要業務系統等的持續安全穩定運行。綜合統計數據顯示，在 2024 年上半年 336 起網絡安全應急響應事件的處置中，奇安信安服團隊累計投入工時為 2762.4 小時，折合 345.3 人天，處置一起應急

9、事件平均用時 8.2 小時。其中，2 月份，因春節假期期間，應急響應處理量略有減少。奇安信集團 第 2 頁，共 18 頁 第二章 應急響應事件受害者分析 本章將從網絡安全應急響應事件受害者的視角出發，從行業分布、事件發現方式、影響范圍、以及攻擊行為造成的影響等幾個方面，對 95015 服務平臺 2024 年上半年接報的 336 起網絡安全應急響應事件展開分析。一、行業分布 從行業分布來看，2024年上半年，95015服務平臺接報的網絡安全應急響應事件中，金融機構報告的事件最多，為 49 起，占比 14.6%；其次是制造業，為 36 起，占比 10.7%；政府部門排第三，為 32 起，占比 9.

10、5%。此外，事業單位、醫療衛生、IT 信息技術等行業也是網絡安全應急響應事件高發行業。下圖給出了不同行業網絡安全應急響應事件報案數量的 TOP10 排行。二、事件發現 從安全事件的發現方式來看，49.8%的政企機構，是在系統已經出現了非常明顯的入侵跡象后進行的報案求助；30.5%的政企機構，是在被攻擊者勒索之后，撥打的 95015網絡安全服務熱線。這二者之和為 80.3%。也就是說，八成左右的大中型政企機構是在系統已經遭到了巨大損失，甚至是不可逆的破壞后，才向專業機構進行求助。而真正能夠通過安全運營巡檢，在損失發生之前及時發現問題并呼救，避免損失發生的政企機構，僅占比 15.3%。此外，還有約

11、 4.4%的政企機構是在得到了主管單位、監管機構及第三方平臺的通報后啟動的應急響應。這些機構不僅嚴重缺乏有效的網絡安全運營，也嚴重缺乏必要的威 奇安信集團 第 3 頁，共 18 頁 脅情報能力支撐，致使自己的主管單位或監管機構總是先于自己，發現自身的安全問題或被攻擊的現象。其中，某些通報可能還會使相關單位面臨法律責任及行政處罰。這些被通報的政企機構都是潛在的定時炸彈，隨時都有可能爆發。三、影響范圍 網絡安全事件往往會對 IT 及業務系統產生重大的影響。在 2024 年上半年 95015 服務平臺接報處置的網絡安全應急響應事件中，64.7%的事件主要影響的是業務專網，而主要影響辦公網的事件占比

12、35.3%。從受網絡安全事件影響的設備數量來看，失陷服務器為 3234 臺，失陷辦公終端為 662 臺。2024 年上半年大中型政企機構遭受網絡攻擊事件的影響范圍如下圖所示。奇安信集團 第 4 頁，共 18 頁 在本報告中，辦公網是指企業員工使用的臺式機、筆記本電腦、打印機等設備組成基本辦公網絡，而業務專網泛指機構整體運行與對外支撐所需要的各種網絡系統。從影響范圍和受影響設備數量可以看出，大中型政企機構的業務專網、服務器是網絡攻擊者攻擊的主要目標。大中型政企機構在對業務專網進行安全防護建設的同時，還應提高內部人員安全防范意識，加強對內網中辦公終端、重要服務器的安全防護保障和數據安全管理。四、事

13、件損失 網絡安全事件通常都會引起政企機構不同程度、不同類型的損失。應急處置現場情況分析顯示，在 95015 服務平臺 2024 年上半年接報的 336 起報案中，有 157 起事件，造成了相關機構的生產效率低下，占比 46.7%，是排名第一的損失類型；其次是造成數據丟失的事件有 57 起，占比 17.0%，排名第二；造成數據泄漏的事件 34 起，占比 10.1%，排名第三；此外，造成政企機構聲譽影響的事件 13 起，造成數據被篡改的事件 11 起，造成其他損失的事件 64 起。特別說明，在上述統計中，同一事件只計算一次，我們只統計每起事件造成的最主要的損失類型。造成生產效率低下的主要原因是挖礦

14、、蠕蟲、木馬等攻擊手段使服務器 CPU 占用率過高，造成生產效率降低。也有部分企業是因為勒索病毒攻擊造成了部分生產系統停產。造成數據丟失的原因是多方面的，其中，因勒索病毒加密而導致數據無法恢復是首要原因。造成數據泄露的主要原因是黑客的入侵和內部人員的泄密。奇安信集團 第 5 頁，共 18 頁 第三章 應急響應事件攻擊者分析 本章將從網絡安全應急響應事件攻擊者的視角出發，從攻擊意圖、攻擊類型、惡意程序和漏洞利用等幾個方面，對 95015 服務平臺 2024 年上半年接報的 336 起網絡安全應急響應事件展開分析。一、攻擊意圖 攻擊者是出于何種目的發起的網絡攻擊呢？應急人員在對網絡安全事件進行溯源

15、分析過程中發現，2024 年上半年，內部人員為了方便工作等原因進行違規操作，進而導致系統出現故障或被入侵，觸發應急響應的網絡安全事件多達 81 起。這一數量僅次于黑產活動（90 起）、超過了竊取重要數據（65 起）和敲詐勒索（46 起）等為目的的外部網絡攻擊事件的數量。在這里，黑產活動以境內團伙為主，主要是指通過黑詞黑鏈、釣魚頁面、挖礦程序等攻擊手段開展黑產活動牟取暴利。在 81 起內部違規事件中，內部人員為了方便工作或出于其他原因將內部業務端口映射至外網的違規操作需要引起大中型企業的重視。以竊取重要數據為目的的攻擊，一般分為兩種：一種是民間黑客非法入侵政企機構內部系統盜取敏感、重要數據，如個

16、人信息、賬號密碼等；另一種則是商業間諜活動或APT 活動。從實際情況來看，第一種情況更為普遍，第二種情況偶爾會發生。敲詐勒索，主要是指攻擊者利用勒索軟件攻擊政企機構的終端和服務器，進而實施勒索。此類攻擊幾乎全部是由境外攻擊者發起，打擊難度極大。奇安信集團 第 6 頁，共 18 頁 二、攻擊手段 不同的安全事件，攻擊者所使用的攻擊手段也有所不同。對 2024 年上半年的網絡安全應急響應事件分析發現，以惡意程序為主要手段的網絡攻擊最為常見，占比 32.0%；其次是漏洞利用，占比 29.8%；釣魚郵件排第三，占比 8.4%。此外，網頁篡改、Web 應用 CC 攻擊、網絡監聽攻擊、拒絕服務攻擊等也比較

17、常見。還有約 21.8%的安全事件，最終被判定為非攻擊事件。也就是說，由于企業內部違規操作，意外事件等原因，即便沒有導致系統被入侵，但也同樣觸發了網絡安全應急響應的事件也不在少數，值得警惕。三、惡意程序 應急事件分析顯示：勒索病毒、挖礦木馬、網站木馬是攻擊者使用最多的惡意程序類型，分別占到惡意程序攻擊事件的 20.4%、20.0%和 5.8%。此外，APT 專用木馬、DDOS木馬、蠕蟲病毒、永恒之藍下載器木馬等也都是經常出現的惡意程序類型。還有 20.4%惡意程序攻擊事件與比較常見的，針對普通網民的流行互聯網木馬有關。奇安信集團 第 7 頁，共 18 頁 表 1 給出了 2024 年上半年 9

18、5015 服務平臺接報的網絡安全應急響應事件中，出現頻率最高的勒索軟件排行榜 TOP10?？梢钥吹?，排名第一的是 Phobos 勒索軟件，2024 年上半年觸發大中型政企機構網絡安全應急響應事件10次；其次是Mallox勒索軟件7次，Makop 勒索軟件 5 次。這些流行的勒索病毒，十分值得警惕。表 1 遭受攻擊勒索軟件類型 TOP10 勒索軟件名稱勒索軟件名稱 應急次數應急次數 Phobos 勒索軟件 10 Mallox 勒索軟件 7 Makop 勒索軟件 5 Phobos 勒索病毒 3 LIVE 勒索軟件 3 LockBit 勒索軟件 3 BlackBit 勒索軟件 2 BeiJingCr

19、yp 勒索軟件 2 DevicDate 勒索軟件 1 Orbit 勒索軟件 1 四、漏洞利用 應急事件分析顯示：弱口令是攻擊者在 2024 年上半年最為經常利用的網絡安全漏 奇安信集團 第 8 頁，共 18 頁 洞，相關網絡安全應急響應事件多達 102 起，占 95015 平臺 2024 年上半年應急響應事件接報總數的 30.4%。其次是永恒之藍漏洞，相關利用事件為 59 起，占比 17.6%。相比之下，其他單個類型的漏洞利用占比都要小很多，排名第三的釣魚郵件僅有 21 起，占比 6.3%。弱口令的大行其道，完全是安全意識淡薄、安全管理松懈的體現。而永恒之藍漏洞自 2017 年 WannaCr

20、y 病毒爆發后，已經成為廣為人知，必須修補的安全漏洞。時至今日仍然有大量的政企機構倒在永恒之藍的槍口之下，說明這些政企機構嚴重缺乏最基本的網絡安全基礎設施建設，缺乏最基本的網絡安全運營能力。預計在未來相當長的時間里，弱口令和永恒之藍漏洞仍將是國內政企機構亟待解決的、基礎性的網絡安全問題。奇安信集團 第 9 頁，共 18 頁 第四章 應急響應典型案例分析 2024 年上半年，95015 網絡安全服務熱線共接到全國各地網絡安全應急響應求助336 起，涉及全國 31 個省市（自治區、直轄市）、2 個特別行政區，覆蓋政府部門、事業單位、金融機構、制造業、交通運輸、教育培訓等 20 余個行業。本章將結合

21、 2024 年上半年的網絡安全應急響應實踐，介紹 4 起典型案例，希望能夠為政企機構網絡安全建設與運營提供有價值的參考。一、某企業服務器感染 LIVE 勒索病毒(一)事件概述 2024 年 1 月，奇安信安服應急響應團隊接到制造業某客戶求助，客戶反饋存在服務器部分文件被加密，希望進行排查溯源。應急人員到場后，通過排查服務器 B（x.x.x.111）發現，該服務器部分文件被加密，根據加密文件后綴、勒索信內容等信息，確認該服務器感染 LIVE 勒索病毒，暫時無法解密；事發前，存在服務器 C（x.x.x.229）使用隱藏賬號 admin$登錄記錄，解密該賬號的密碼發現與域管理員賬號的密碼一致。應急人

22、員通過和客戶溝通了解到，域控服務器曾存在被暴力破解的情況，但相關日志已被清除無法進一步溯源。應急人員通過排查終端安全管理系統服務器（x.x.x.123）發現，存在服務器 C（x.x.x.229）使用 guanli 賬號登錄該服務器，并且加白下發勒索病毒樣本：admin.exe 的記錄。應急人員通過條件篩選，確認近千臺機器中招。隨后，應急人員通過排查服務器 C（x.x.x.229）發現，2023 年 12 月 30 日，存在服務器 A（x.x.x.87）使用 Administrator 賬號登錄記錄。應急人員通過排查服務器 A（x.x.x.87）的日志發現，存在攻擊者使用密碼抓取工具：mimik

23、atz，抓取 Administrator 賬號密碼的記錄。通過解密幾個涉事賬號的密碼，發現密碼均一致。應急人員通過和客戶溝通了解到，域內多臺服務器存在口令復用的情況。應急人員通過進一步排查服務器 A（x.x.x.87）并結合態勢感知平臺的相關告警信息發現，2023 年 11 月 10 日，存在攻擊者寫入 Webshell 并成功回連的記錄，由于連接的 IP 地址為防火墻代理 IP（x.x.x.1），無法查看到轉換前攻擊者真實 IP 地址；2023年 11 月 9 日，存在外網 IP 成功利用 IP-guard WebServer 遠程代碼執行漏洞的記錄。以此為線索，最早可追溯至 2023 年

24、6 月 16 日，外網 IP 對服務器 A（x.x.x.87）的 8000 端口進行漏洞掃描。根據以上排查信息，應急人員確認，由于服務器 A（x.x.x.87）對外開放 8000 端口，并且存在 IP-guard WebServer 遠程代碼執行漏洞，被攻擊者利用寫入 Webshell。奇安信集團 第 10 頁，共 18 頁 隨后，上傳密碼抓取工具獲取服務器 A（x.x.x.87）的 Administrator 賬號密碼，并通過口令復用登錄服務器 C（x.x.x.229）。最后，利用服務器 C（x.x.x.229）為跳板機，創建隱藏賬號 admin$，登錄服務器 B（x.x.x.111）對其進

25、行加密；通過口令復用，登錄終端安全管理系統服務器（x.x.x.123），在控制中心下發勒索病毒樣本到其他機器進行加密。(二)相關安全建議 1)服務器定期維護，部署服務器安全防護系統，修復系統應用漏洞、中間件漏洞、組件、插件等相關漏洞，保障服務器安全；2)系統、應用相關用戶杜絕使用弱口令，提升口令的復雜度，盡量包含大小寫字母、數字、特殊符號等的混合密碼，并對高權限賬號做定期的口令修改，加強管理員安全意識，禁止密碼重用的情況出現；3)加強系統和網絡的訪問控制，修改防火墻策略，不將非必要服務暴露于公網；4)加強日常安全巡檢制度，定期對系統配置、網絡設備配合、安全日志以及安全策略落實情況進行檢查，常態

26、化信息安全工作。二、某企業內網遭受漏洞利用攻擊導致多臺服務器失陷(一)事件概述 2024 年 2 月，奇安信安服應急響應團隊接到交通運輸行業某客戶求助，客戶反饋服務器遭受非法攻擊，疑似失陷，希望進行排查并溯源入侵途徑。應急人員到場后，通過排查服務器 B（x.x.x.30）并結合現場部署的安全設備告警信息發現，存在公網 IP 探測并訪問/prod-api/jmreport/queryFieldBySql 接口記錄，經過測試確認，該接口存在積木報表模板注入漏洞；在/tmp/.X11-unix/目錄下，存在 DNS 隧道工具：d，攻擊者利用該工具進行了 DNS 隧道外聯通信；在進程列表中，存在可疑進

27、程：/data/apps/cwgl/bjmrt-admin.jar；在/data/logs/cwgl/目錄下的 server.log 日志中，存在可疑命令執行報錯記錄。應急人員通過查看威脅監測與分析系統平臺的日志發現，服務器 B（x.x.x.30）對 奇安信集團 第 11 頁，共 18 頁 內網其他機器發起了敏感端口掃描攻擊。應急人員通過查看云安全管理平臺的日志發現，服務器 B（x.x.x.30）對服務器 A（x.x.x.8）和服務器 C（x.x.x.205）發起了掃描攻擊；服務器 A（x.x.x.8）和服務器C（x.x.x.205）存在進程行為異常告警。應急人員分析進程行為異常告警詳細信息發

28、現，攻擊者通過兩臺服務器上部署的的中間件執行了反彈 shell 命令，分別連接至服務器 B（x.x.x.30）的 8899、9999 端口。應急人員通過排查服務器 A（x.x.x.8）的 Web 訪問日志發現，存在服務器 B（x.x.x.30）訪問/default/.remote 接口記錄，經過測試確認，該接口存在 Primeton EOS Platform 反序列化漏洞。通過排查服務器 C（x.x.x.205）的 Web 訪問日志發現，存在服務器 B（x.x.x.30）訪問/invoker 接口記錄，經過測試確認，該接口存在 Jboss 反序列化漏洞。根據以上排查信息，應急人員確認，由于服務

29、器 B（x.x.x.30）對外開放，并且存在積木報表模板注入漏洞，被攻擊者利用獲取該服務器權限。隨后，攻擊者利用服務器B（x.x.x.30）為跳板機，對內網其他機器進行端口掃描探測，并且通過利用探測到的漏洞進行內網橫向攻擊。(二)相關安全建議 1)服務器定期維護，部署服務器安全防護系統，修復系統應用漏洞、中間件漏洞、組件、插件等相關漏洞，保障服務器安全；2)云安全管理平臺只有產生了告警才會記錄進程信息，若行為未被規則命中，則無法查看。建議跟廠商協調添加歷史記錄功能；3)定期開展對系統、應用以及網絡層面的安全評估、滲透測試以及代碼審計工作，主動發現目前系統、應用存在的安全隱患；4)加強日常安全巡

30、檢制度，定期對系統配置、網絡設備配合、安全日志以及安全策略落實情況進行檢查，常態化信息安全工作。奇安信集團 第 12 頁，共 18 頁 三、攻擊者利用歷史遺留后門植入暗鏈(一)事件概述 2024 年 3 月，奇安信安服應急響應團隊接到教育培訓行業某客戶求助，客戶被監管單位通報網頁存在暗鏈，希望進行排查處置并溯源。應急人員到場后，通過驗證確認被通報網頁確實存在暗鏈。隨后，應急人員對存在暗鏈的服務器進行排查發現，Web 目錄下存在 Webshell：asd.asmx；Nginx 服務配置文件被修改增加了暗鏈跳轉規則；IIS 服務模塊加載了存在暗鏈跳轉特征的惡意文件：dirfile.dll。應急人員

31、將相關惡意文件進行清除，并且對系統進行了全盤查殺后，網頁暫時恢復正常。次日，客戶反饋暗鏈問題重現。應急人員通過排查服務器發現，存在新的惡意 dll文件，以及一個名為 CcProtect.sys 的文件系統過濾驅動會自動隱藏惡意文件；在 Web目錄下，存在一個可疑文件：opAdminims，經過分析確認該 Webshell 為改寫加工后的冰蝎木馬。應急人員通過分析相關日志發現，攻擊者在上傳該 Webshell 前，會先訪問遺留的網站后門：Dowmload.ashx，由于后門上傳時間過于久遠未保留相關日志記錄，無法判斷攻擊者是如何部署的。根據以上排查信息，應急人員確認，由于服務器搭建在外網，并且存

32、在歷史遺留后門，被攻擊者利用上傳 Webshell 以及惡意 dll 文件。隨后，攻擊者通過修改服務器的Nginx 配置文件和 IIS 模塊加載惡意 dll 文件實現暗鏈植入。最后，應急人員對服務器上的 Webshell、惡意文件等進行清除，對惡意地址進行封禁后，此次應急結束。(二)相關安全建議 1)禁止服務器主動發起外部連接請求，對于需要向外部服務器推送共享數據的，應使用白名單的方式，在出口防火墻加入相關策略，對主動連接 IP 范圍進行限制；2)加強日常安全巡檢制度，定期對系統配置、系統漏洞、安全日志以及安全策略落實情況進行檢查，及時修復漏洞、安裝補丁，將信息安全工作常態化；3)建議安裝相應

33、的防病毒軟件，及時對病毒庫進行更新，并且定期進行全面掃描，加強服務器上的病毒清除能力；4)加強日常安全巡檢制度，定期對系統配置、網絡設備配合、安全日志以及安全策略落實情況進行檢查，常態化信息安全工作。奇安信集團 第 13 頁，共 18 頁 四、某企業內網感染 Minerd 挖礦病毒(一)事件概述 2024 年 5 月，奇安信安服應急響應團隊接到制造業某客戶求助，客戶反饋威脅監測與分析系統平臺出現挖礦告警，需要進行排查并溯源。應急人員到場后，通過查看威脅監測與分析系統平臺的日志發現，服務器 B（x.x.x.96）對服務器 A（x.x.x.21）進行了多次 RDP 暴力破解攻擊；服務器 A（x.x

34、.x.21）存在遠控木馬活動告警，通過分析該告警詳細信息發現，告警 IOC：auto.c3pool.org 在威脅情報中心被標記為挖礦病毒；服務器 A（x.x.x.21）存在 Minerd 挖礦木馬活動告警。應急人員通過排查服務器 A（x.x.x.21）發現，存在惡意進程：minerd，根據該進程定位到惡意文件保存在 C 盤 windows 目錄下，通過分析該惡意文件，確認為 Minerd挖礦病毒；事發前，存在服務器 B（x.x.x.96）登錄記錄。應急人員以服務器 B（x.x.x.96）IP 為條件對威脅監測與分析系統平臺的日志告警記錄進行篩選發現，服務器 B（x.x.x.96）對包含服務器

35、 A（x.x.x.21）在內的內網多臺服務器進行了敏感端口掃描以及 RDP 暴力破解攻擊；服務器 C（x.x.x.241）對服務器B（x.x.x.96）進行了敏感端口掃描以及 RDP 暴力破解攻擊。應急人員通過排查服務器 B（x.x.x.96）的遠程登錄日志發現，存在服務器 C（x.x.x.241）成功登錄記錄。應急人員通過和客戶溝通了解到，內網多臺服務器存在弱口令，服務器 C（x.x.x.241）為子公司所屬服務器。最后，應急人員將排查結果同步客戶，并且協助客戶通報子公司，此次應急結束。(二)安全建議 1)系統、應用相關用戶杜絕使用弱口令，應使用高復雜強度的密碼，盡量包含大小寫字母、數字、特

36、殊符號等的混合密碼，加強管理員安全意識，禁止密碼重用的情況出現；2)有效加強訪問控制 ACL 策略，細化策略粒度，按區域按業務嚴格限制各個網絡 奇安信集團 第 14 頁，共 18 頁 區域以及服務器之間的訪問，采用白名單機制只允許開放特定的業務必要端口，其他端口一律禁止訪問，僅管理員 IP 可對管理端口進行訪問，如 FTP、數據庫服務、遠程桌面等管理端口；3)建議安裝相應的防病毒軟件，及時對病毒庫進行更新，并且定期進行全面掃描，加強服務器上的病毒清除能力；4)加強日常安全巡檢制度，定期對系統配置、網絡設備配合、安全日志以及安全策略落實情況進行檢查，常態化信息安全工作。奇安信集團 第 15 頁，

37、共 18 頁 附錄 1 95015 網絡安全服務熱線 2022 年 1 月 20 日，全國首個網絡安全行業服務短號 95015 正式開通。95015 是為全國各地政府、企業、相關機構提供網絡安全應急響應、合作與咨詢服務的電話專線?！鞍踩煲徊?，95015”。95015 網絡安全服務熱線，由北京 2022 年冬奧會和冬殘奧會官方網絡安全服務和殺毒軟件贊助商奇安信集團，在北京冬奧會開幕前夕正式推出。在北京 2022 年冬奧會和冬殘奧會期間，95015 是承載全國各地政企機構網絡安全保障工作的重要支撐平臺，同時也是全國各地重大網絡安全事件應急響應的綠色通道，是全國冬奧網絡安全保障工作中的關鍵一環。北

38、京冬奧會結束后，95015 網絡安全服務熱線將永久保留，持續為全國各地政企機構提供網絡安全應急響應、合作與咨詢服務。奇安信集團董事長齊向東表示，“95015 是我國第一個網絡安全服務短號，是北京冬奧會網絡安全保障指定號碼，賽后，95015 將永久服役。95015 承載著網絡安全行業的責任和使命，北京冬奧會期間，將作為網絡安全保障工作的重要支撐平臺，為網絡安全事件的應急響應開辟一條綠色通道。全國的政企機構遇到任何網絡安全問題，都可以撥打 95015，奇安信將提供 24 小時冬奧標準的應急響應服務?！? 字頭短號碼是工信部統一管理的全國通用號碼，95015 服務短號，整合了原有的4009-727-

39、120 應急響應專線、4009-303-120 客戶服務熱線和 4006-783-600 合作伙伴熱線三條 400 電話專線，實現了“一號全通”。同時，更短的號碼也意味著更快的響應速度，更加優質、更加便捷的平臺服務，標志著網絡安全行業在線服務能力與服務方式的一次重大升級。奇安信集團 第 16 頁，共 18 頁 附錄 2 奇安信集團安服團隊 奇安信集團是北京2022年冬奧會和冬殘奧會官方網絡安全服務和殺毒軟件贊助商，作為中國領先的網絡安全品牌，奇安信多次承擔國家級的重大活動網絡安全保障工作，創建了穩定可靠的網絡安全服務體系全維度管控、全網絡防護、全天候運行、全領域覆蓋、全兵種協同、全線索閉環。奇

40、安信安全服務以攻防技術為核心，聚焦威脅檢測和響應，通過提供咨詢規劃、威脅檢測、攻防演習、持續響應、預警通告、安全運營等一系列實戰化的服務，在云端安全大數據的支撐下，為客戶提供全周期的安全保障服務。應急響應服務致力于成為“網絡安全 120”。自 2018 年以來，奇安信已積累了豐富的應急響應實踐經驗，應急響應業務覆蓋了全國 31 個?。ㄗ灾螀^、直轄市），2 個特別行政區，處置政企機構網絡安全應急響應事件近 6000 起，累計投入工時 59000 多個小時，為全國超過 3000 家政企機構解決網絡安全問題。奇安信還推出了應急響應訓練營服務，將一線積累的豐富應急響應實踐經驗面向廣大政企機構進行網絡安

41、全培訓和賦能，幫助政企機構的安全管理者、安全運營人員、工程師等不同層級的人群提高網絡安全應急響應的能力和技術水平。奇安信集團正在用專業的技術能力保障著企業用戶的網絡安全，最大程度地減少了網絡安全事件所帶來的經濟損失，并降低了網絡安全事件造成的社會負面影響。應急響應 724 小時熱線電話：95015。奇安信集團 第 17 頁，共 18 頁 附錄 3 網絡安全應急響應圖書推薦 應急響應-網絡安全的預防、發現、處置和恢復 圖書作者:奇安信安服團隊 出版商:電子工業出版社出版 發行時間:2019 年 08 月 01 日 本書內容主要將前沿的應急響應理論與奇安信安服團隊的應急響應一線實戰經驗相結合，從高

42、級科普的角度介紹網絡安全應急響應基礎知識，可以指導政企機構、監管機構加強網絡安全應急響應的能力建設。共分為十章，包括：網絡安全應急響應的概述、政策法規、協調與通報機構、模型與趨勢、規劃、關鍵技術、人才培養、應急演練、漏響響應平臺以及案例。本書旨在為全國網信干部提供理論指南、實踐指導和趨勢指引，也可以作為從事網絡安全應急響應研究、實踐和管理等各類專業人士的培訓教材。了解詳情：https:/ 網絡安全應急響應技術實戰指南 圖書作者:奇安信安服團隊 出版商:電子工業出版社 發行時間:2020 年 08 月 10 日 為幫忙一線安全人員更加快速、更高質量的處理應急事件，奇安信安服團隊總結每年積累的上千

43、起事件處理的經驗和實戰，撰寫了網絡安全應急響應技術實戰指南這本技術類圖書。本書共分為十章，前三章為應急工程師需要掌握的理論和基礎技能和工具，分別為網絡安全應急響應概述、應急工程師基礎技能、應急響應常用工具介紹。后七章內容為當前應急響應工作中最常見的七大處理場景，分別是勒索病毒、挖礦木馬、Webshell、網頁篡改、DDOS 攻擊、數據泄露和流量劫持。我們希望通過具體的處置場景結合基礎技能和工具，讓一線應急工程師學會處置思路、掌握基礎技能、熟悉應急工具，以便實現快速響應應急事件的安全新要求。本書適合政企機構、安全公司的安全運營人員、應急響應人員和大中專院校網絡安全相關的學生和老師閱讀。了解詳情：https:/ 奇安信集團 第 18 頁，共 18 頁 紅藍攻防：構建實戰化網絡安全防御體系 圖書作者:奇安信安服團隊 出版商:機械工業出版社 發行時間:2022 年 07 月 01 日 這是一部從紅隊、藍隊、紫隊視角全面講解如何進行紅藍攻防實戰演練的著作，是奇安信安服團隊多年服務各類大型政企機構的經驗總結。本書全面講解了藍隊視角的防御體系突破、紅隊視角的防御體系構建、紫隊視角的實戰攻防演練組織。系統介紹了紅藍攻防實戰演練各方應掌握的流程、方法、手段、能力、策略，包含全面的技術細節和大量攻防實踐案例。了解詳情：https:/