360安全：2018年網絡安全應急響應分析報告(28頁).pdf

《360安全：2018年網絡安全應急響應分析報告(28頁).pdf》由會員分享，可在線閱讀，更多相關《360安全：2018年網絡安全應急響應分析報告(28頁).pdf（28頁珍藏版）》請在三個皮匠報告上搜索。

1、 2018 年 網絡安全應急響應分析報告 2019 年 01 月 16 日 主要觀點 凡事預則立，不預則廢。網絡安全應急響應是為了對網絡安全有所認識、有所準備，以 便在遇到突發網絡安全事件時做到有序應對、妥善處理。 2018 年全年，全國應急響應服務需求呈逐步上升趨勢，自 2017 年“永恒之藍”勒索病 毒爆發以來，針對政府、金融等行業的攻擊層出不窮，我國網絡安全態勢嚴峻。 政府、醫療、金融和教育培訓行業是 2018 年黑客攻擊的主要目標，傳媒、銀行、科研 等關鍵基礎設施行業也面臨著越來越多的安全威脅風險。 網絡安全防護存在短板、 人員 缺乏安全意識是網絡攻擊有機可乘的重要原因，應大力倡導各行

2、各業，通過宣傳教育、 攻防演練等方式，加強網絡安全意識培訓。 2018 年，應急響應處理安全事件中，勒索病毒攻擊是政府機構、大中型企業服務器、終 端失陷的重要原因之一，面對勒索病毒的頻繁變種，政府機構、大中型企業應打破傳統 安全防護觀念， 多角度看待安全問題， 實現安全能力的大幅提升與技術體系的全面升級。 網絡安全應急響應工作應成為政府機構、 大中型企業日常管理的一部分。 勒索病毒等影 響廣泛的網絡安全事件可能擴大為全行業、 全國甚至全球性問題， 網絡安全應急響應需 要政府機構、安全廠商、企業加強合作、取長補短，必要時進行跨國協作。 網絡安全廠商提供的網絡安全應急服務已經成為政府機構、 大中型

3、企業有效應對網絡安 全突發事件的重要手段。 網絡安全應急服務應該基于數據驅動、 安全能力服務化的安全 服務運營理念，結合云端大數據和專家診斷，為客戶提供安全運維、預警檢測、持續響 應、數據分析、咨詢規劃等一系列的安全保障服務。 摘 要 2018 年全年 360 安服團隊共參與和處置了 717 起網絡安全應急響應事件. 行業應急處置排在前三位的分別為公檢法（66 起） 、政府部門（63 起） 、醫療機構（56 起） ，占到所有行業應急處置的 9.0%、8.0%、8.0%，三者之和約占應急處置事件總量的 25%。 在 2018 年 360 安服團隊參與處置的所有政府機構和企業的網絡安全應急響應事件

4、中， 由行業單位自己發現的安全攻擊事件占 92%，而另有 8%的安全攻擊事件政府機構和企 業實際上是不自知的，他們是在得到了監管機構或主管單位的通報才得知已被攻擊。 安全事件的影響范圍主要集中在外部網站和內部網站（25.3%） 、內部服務器和數據庫 （18.7%） 。除此之外，還占有一定比例的還有辦公終端（17.5%） 、業務專網（6.3%） 。 黑產活動、敲詐勒索仍然是攻擊者攻擊政府機構、大中型企業的主要原因。攻擊者通過 黑詞暗鏈、釣魚頁面、挖礦程序等攻擊手段開展黑產活動謀取暴利；利用勒索病毒感染 政府機構、大中型企業終端、服務器，對其實施敲詐勒索。 從上述數據可以看出，攻擊者對系統的攻擊所

5、產生現象主要表現為導致生產效率低下、 破壞性攻擊、聲譽影響、系統不可用。其中，導致生產效率低下占比 20%，數據丟失占 比 13%，破壞性攻擊占比 10%。 關鍵詞：關鍵詞：應急響應、安全服務、敲詐勒索、黑產活動、木馬病毒 目 錄 第一章 研究背景 . 1 第二章 應急響應監測分析 . 2 一、 月度報告趨勢分析 . 2 二、 行業報告排名分析 . 2 三、 攻擊事件發現分析 . 3 四、 影響范圍分布分析 . 5 五、 攻擊意圖分布分析 . 5 六、 攻擊現象統計分析 . 6 七、 事件類型分布分析 . 7 第三章 應急響應服務分析 . 9 一、 網站安全 . 9 （一） 網頁被篡改 . 9

6、 （二） 非法子頁面 . 9 （三） 網站 DDoS 攻擊 . 9 （四） CC 攻擊 . 9 （五） 網站流量異常 . 10 （六） 異常進程與異常外聯 . 10 （七） 網站安全總結及防護建議 . 10 二、 終端安全 . 11 （一） 運行異常 . 11 （二） 勒索病毒 . 11 （三） 終端 DDoS 攻擊 . 12 （四） 終端安全總結及防護建議 . 12 三、 服務器安全 . 12 （一） 運行異常 . 12 （二） 木馬病毒 . 13 （三） 勒索病毒 . 13 （四） 服務器 DDoS 攻擊 . 13 （五） 服務器安全總結及防護建議 . 13 四、 郵箱安全 . 14 （一

7、） 郵箱異常 . 14 （二） 郵箱 DDoS 攻擊 . 15 （三） 郵箱安全總結及防護建議 . 15 第四章 應急響應典型案例 . 16 一、 某醫院服務器勒索軟件事件應急響應 . 16 （一） 事件概述 . 16 （二） 防護建議 . 16 二、 某電網公司終端勒索軟件事件應急響應 . 16 （一） 事件概述 . 16 （二） 防護建議 . 17 三、 某汽車公司挖礦木馬事件應急響應 . 17 （一） 事件概述 . 17 （二） 防護建議 . 17 四、 某部委 CC 事件應急響應 . 18 （一） 事件概述 . 18 （二） 防護建議 . 18 五、 某證券公司 DDOS 事件應急響應

8、 . 18 （一） 事件概述 . 18 （二） 防護建議 . 18 六、 某集團網站掛馬事件應急響應 . 19 （一） 事件概述 . 19 （二） 防護建議 . 19 七、 某大學網站非法頁面應急響應 . 19 （一） 事件概述 . 19 （二） 防護建議 . 20 八、 某部委蠕蟲病毒事件應急響應 . 20 （一） 事件概述 . 20 （二） 防護建議 . 20 九、 某高級人民法院遭到 APT 攻擊事件應急響應. 21 （一） 事件概述 . 21 （二） 防護建議 . 21 第五章 附錄 360 安服團隊 . 23 1 第一章 研究背景 當前，網絡空間安全形勢日益嚴峻，國內政府機構、大中型

9、企業的門戶網站和重要 核心業務系統成為攻擊者的首要攻擊目標，安全事件層出不窮、逐年增加，給各單位造 成嚴重的影響。為妥善處置和應對政府機構、大中型企業關鍵信息基礎設施發生的突發 事件，確保關鍵信息基礎設施的安全、穩定、持續運行，防止造成重大聲譽影響和經濟 損失，需進一步加強網絡安全與信息化應急保障能力。 2018 年， 360 安全服務團隊/360 安服團隊共為全國各地 600 余家政府機構、 大中型 企業提供了網絡安全應急響應服務， 參與和協助處置各類網絡安全應急響應事件717次， 第一時間恢復系統運行，最大限度減少突發安全事件對政府機構、大中型企業的門戶網 站和業務系統造成的損失和對公眾的

10、不良影響，提高了公眾服務滿足度。同時，為政府 機構、大中型企業建立完善的應急響應體系提供技術支撐。 網絡安全應急響應服務是安全防護的最后一道防線， 鞏固應急防線對安全能力建設 至關重要。 360 構建了全流程的應急響應服務體系， 為政府機構、 大中型企業提供高效、 實時、全生命周期的應急服務。 2 第二章 應急響應監測分析 2018 年 360 安服團隊共參與和處置了 717 起全國范圍內的網絡安全應急響應事件，第 一時間協助用戶處理安全事故，確保了用戶門戶網站和重要業務系統的持續安全穩定運行。 為進一步提高政府機構、大中型企業對突發安全事件的認識，增強安全防護意識，同時強化 第三方安全服務商

11、的應急響應能力，對 2018 年全年處置的所有應急響應事件從不同維度進 行統計分析，反映全年的應急響應情況和攻擊者的攻擊目的及意圖。 一、 月度報告趨勢分析 2018 年全年 360 安服團隊共參與和處置了 717 起網絡安全應急響應事件，月度報告趨 勢分布如下圖所示： 從上述數據中可以看到， 每年年初和年底發生的應急響應事件請求存在較大反差， 年初 處置的安全應急請求較少，年底相對較多，8 月份應急請求達全年最高，全年整體上處置的 安全應急請求趨于上升趨勢。 對政府機構、大中型企業的攻擊從未間斷過，在重要時期的攻擊更加頻繁。所以，政府 機構、大中型企業應做好全年的安全防護工作，特別是重要時期

12、的安全保障工作，同時建立 完善的應急響應機制。 二、 行業報告排名分析 通過對 2018 年全年應急響應事件行業分類分析，匯總出行業應急處置數量排名，如下 圖所示： 3 需要說明的是，應急響應次數多，并不意味著這個行業的整體安全狀況差。這與機構本 身的數量和性質有關，與 360 的客戶覆蓋也有關。 從上述數據中可以看出，行業應急處置排在前三位的分別為公檢法（66 起） 、政府部門 （63 起） 、醫療機構（56 起） ，占到所有行業應急處置的 9.0%、8.0%、8.0%，三者之和約占 應急處置事件總量的 25%，即全年應急響應事件四分之一是出在政府部門、事業單位、金融 機構。而金融、教育培訓

13、、事業單位、IT 信息技術、制造業所產生的應急響應事件也占到了 所有行業的 18%。 從行業報告排名可知，攻擊者的主要攻擊對象為公檢法、各級政府部門以及醫療衛生， 其次為金融、教育培訓、IT 信息技術和事業單位，從中竊取數據、敲詐勒索。上述機構在原 有安全防護基礎上， 應進一步強化安全技術和管理建設， 同時應與第三方安全服務商建立良 好的應急響應溝通和處置機制。 三、 攻擊事件發現分析 政企機構對網絡攻擊的重視程度、 發現能力和主動響應的能力正在顯著上升。 2016 年， 在 360 安服團隊參與處置的網絡安全應急響應事件中， 僅有 31.5%的攻擊事件是政企機構自 行發現的， 其他 68.5

14、%均為接到了第三方機構通報。 這些第三方機構包括網絡安全監管機構， 行業主管機構和媒體等。 但是，2017 年和 2018 年的統計數據顯示，近九成的攻擊事件都是政企機構自行發現并 請求援助的。分析認為，這可能主要是由于 2017 年 6 月網絡安全法的實施，大中型政 企機構對安全事件的應急響應重視程度大幅提高， 盡早發現， 盡早處置， 自行響應漸成主流。 但是，仍有近一成的安全事件，企業實際上是不自知的，他們是在得到了監管機構的通報或 看到了媒體的公開報道后，才得知自己已經被攻擊了。 4 通過對 2018 年全年應急響應事件攻擊發現類型分析，匯總出攻擊事件發現情況，如下 圖所示： 在 201

15、8 年 360 安服團隊參與處置的所有政府機構和企業的網絡安全應急響應事件中， 由行業單位自己發現的安全攻擊事件占 92%，而另有 8%的安全攻擊事件政府機構和企業實 際上是不自知的，他們是在得到了監管機構或主管單位的通報才得知已被攻擊。 雖然政府機構和企業自行發現的安全攻擊事件占到了 92%， 但并不代表其具備了潛在威 脅的發現能力。其中，占安全攻擊事件總量 61%的事件是政府機構和企業通過內部安全運營 巡檢的方式自主查出的，而其余 31%的安全攻擊事件能夠被發現，則完全是因為其網絡系統 已經出現了顯著的入侵跡象，或者是已經遭到了攻擊者的敲詐勒索。更有甚者，某些單位實 際上是在已經遭遇了巨大

16、的財產損失后才發現自己的網絡系統遭到了攻擊。 從上述數據中可以看出，政府機構、大中型企業仍然普遍缺乏足夠的安全監測能力，缺 乏主動發現隱蔽性較好地入侵威脅的能力。 5 四、 影響范圍分布分析 通過對 2017 年全年應急響應事件處置報告分析，匯總出安全事件的影響范圍分布即失 陷區域分布，如下圖所示： 從上述數據中可以看出， 安全事件的影響范圍主要集中在外部網站和內部網站 （25.3%） 、 內部服務器和數據庫（18.7%） 。除此之外，還占有一定比例的還有辦公終端（17.5%） 、業務 專網（6.3%） 。 從影響范圍分布可知， 攻擊者的主要攻擊對象為政府機構、 大中型企業的互聯網門戶網 站、

17、內部網站、內部業務系統服務器以及數據庫，其主要原因是門戶網站暴露在互聯網上受 到多重安全威脅，攻擊者通過對網站的攻擊，實現敲詐勒索、滿足個人利益需求；而內部網 站、內部服務器和數據庫運行核心業務系統、存放重要數據，也成為攻擊者進行黑產活動、 敲詐勒索等違法行為的主要攻擊目標。 基于此，政府機構、大中型企業應強化對互聯網門戶網站的安全防護建設，加強對內網 中內部網站、內部服務器和數據庫、終端以及業務系統的安全防護保障和數據安全管理。 五、 攻擊意圖分布分析 通過對 2018 年全年應急響應事件處置報告分析，匯總出攻擊者攻擊政府機構、大中型 企業的攻擊意圖分布，如下圖所示： 6 從上述數據中可以看

18、出，黑產活動、敲詐勒索仍然是攻擊者攻擊政府機構、大中型企業 的主要原因。 攻擊者通過黑詞暗鏈、 釣魚頁面、 挖礦程序等攻擊手段開展黑產活動謀取暴利； 利用勒索病毒感染政府機構、大中型企業終端、服務器，對其實施敲詐勒索。對于大部分攻 擊者而言，其進行攻擊的主要原因是為獲取暴利，實現自身最大利益。 其次是內部違規響應事件，表明政府機構、大中型企業業務人員、運維人員的安全意識 有待提升。 APT 攻擊和出于政治原因攻擊意圖的存在，說明具有組織性、針對性的攻擊團隊對政府 機構、大中型企業的攻擊目的不單單是為錢財，而有可能出于政治意圖，竊取國家層面、重 點領域的數據。雖然 APT 攻擊和出于政治原因的攻

19、擊數量相對較少，但其危害性較重，所以 政府機構、大中型企業，特別是政府機構，應強化整體安全防護體系建設。 六、 攻擊現象統計分析 通過對 2018 年全年應急響應事件處置報告分析，匯總出攻擊現象排名，如下圖所示： 7 從上述數據可以看出，攻擊者對系統的攻擊所產生現象主要表現為導致生產效率低下、 破壞性攻擊、聲譽影響、系統不可用。 其中， 導致生產效率低下占比 20%， 攻擊者通過挖礦、 拒絕服務等攻擊手段使服務器 CPU 占用率異常高，從而造成生產效率低下；數據丟失占比 13%；破壞性攻擊占比 10%，攻擊者 通過利用服務器漏洞、配置不當、弱口令、Web 漏洞等系統安全缺陷，對系統實施破壞性攻

20、 擊；系統不可用占比 7%，主要表現為攻擊者通過對系統的攻擊，直接造成業務系統宕機；聲 譽影響占比 5%， 主要體現在對政府機構、 大中型企業門戶網站進行的網頁篡改、 黑詞暗鏈、 釣魚網站、 非法子頁面等攻擊， 對政府和企業造成嚴重的聲譽影響， 特別是政府機構。 同時， 敏感信息泄露、數據被篡改、網絡不可用也是攻擊產生的現象，對政府機構、大中型企業造 成嚴重后果。 從攻擊現象統計看， 攻擊者對系統的攻擊具備破壞性、 針對性， 嚴重影響系統正常運行。 七、 事件類型分布分析 通過對 2018 年全年應急響應事件處置報告分析，匯總出事件類型分布，如下圖所示： 8 從上述數據可以看出，安全事件類型主

21、要表現在服務器病毒告警、網頁被篡改、運行異 常/異常外聯、PC 病毒告警等方面。 其中，服務器病毒告警是攻擊者利用病毒感染對服務器進行的攻擊，占 48%，成為攻擊 者主要的攻擊手段；PC 病毒告警是攻擊者利用病毒感染對辦公終端進行攻擊，占 14%，是對 攻擊終端的主要手段；webshell 告警、木馬告警是攻擊者對互聯網門戶網站進行的常見攻 擊，占 8%，可能會導致政府機構、大中型企業數據外泄；運行異常/異常外聯是攻擊者利用 不同的攻擊手段造成服務器、系統運行異?；虍惓Ｍ饴?，降低生產效率； 。 除此之外，還有流量監測異常、被通報安全事件、網站無法訪問/訪問遲緩、網站被篡 改等安全事件類型。所以

22、，作為政府機構、大中型企業的安全負責人和安全主管，應清楚地 認識到攻擊者可通過不同的攻擊手段、攻擊方式，對我們的服務器或系統進行攻擊，單一、 被動的安全防護措施已無法滿足安全防護需要。 9 第三章 應急響應服務分析 根據 2018 年 360 安服團隊的現場處置情況，政府機構、大中型企業在自行發現或被通 告攻擊事件，并主動尋求應急響應服務時，絕大多數情況是因為互聯網網站（DMZ 區） 、辦公 區終端、 核心重要業務服務器以及郵件服務器等遭到了網絡攻擊， 影響了系統運行和服務質 量。 下面將分別對這四類對象從主要現象、主要危害、攻擊方法，以及攻擊者的主要目的進 行分類分析。 一、 網站安全 （一

23、）網頁被篡改 主要主要現象現象：首頁或關鍵頁面被篡改，出現各種不良信息，甚至反動信息。 主要危害主要危害：散步各類不良或反動信息，影響政府機構、企業聲譽，特別是政府機構，降 低其公信力。 攻擊方法攻擊方法：黑客利用 webshell 等木馬后門，對網頁實施篡改。 攻擊目的攻擊目的：宣泄對社會或政府的不滿；炫技或挑釁中招企業；對企業進行敲詐勒索。 （二）非法子頁面 主要主要現象現象：網站存在賭博、色情、釣魚等非法子頁面。 主要危害主要危害：通過搜索引擎搜索相關網站，將出現賭博、色情等信息；通過搜索引擎搜索 賭博、色情信息，也會出現相關網站；對于被植入釣魚網頁的情況，當用戶訪問相關釣魚網 站頁面時

24、，安全軟件可能不會給出風險提示。 對于政府網站而言， 該現象的出現將嚴重降低政府的權威性及在民眾中的公信力， 挽回 難度相對較大。 攻擊方法攻擊方法：黑客利用 webshell 等木馬后門，對網站進行子頁面的植入。 攻擊目的攻擊目的：惡意網站的 SEO 優化；為網絡詐騙提供“相對安全”釣魚頁面。 （三）網站 DDoS 攻擊 主要主要現象現象：政府機構或企業網站無法訪問、訪問遲緩。 主要危害主要危害：網站業務中斷，用戶無法訪問網站。特別是對于政府官網，影響民眾網上辦 事，降低政府公信力。 攻擊方法攻擊方法：黑客利用多類型 DDoS 技術對網站進行分布式抗拒絕服務攻擊。 攻擊目的攻擊目的：敲詐勒索

25、政府或企業；企業間的惡意競爭；宣泄對網站的不滿。 （四）CC 攻擊 主要主要現象現象：網站無法訪問、網頁訪問緩慢、業務異常。 10 主要危害主要危害：網站業務中斷，用戶無法訪問網站、網頁訪問緩慢。 攻擊方法攻擊方法：主要采用發起遍歷數據攻擊行為、發起 SQL 注入攻擊行為、發起頻繁惡意 請求攻擊行為等攻擊方式進行攻擊。 攻擊目的攻擊目的：敲詐勒索；惡意競爭；宣泄對網站的不滿。 （五）網站流量異常 主要主要現象現象：異?，F象不明顯，偶發性流量異常偏高，且非業務繁忙時段也會出現流量異 常偏高。 主要危害主要危害：盡管從表面上看，網站受到的影響不大。但實際上，網站已經處于被黑客控 制的高度危險狀態，

26、各種有重大危害的后果都有可能發生。 攻擊方法攻擊方法：黑客利用 webshell 等木馬后門，控制網站；某些攻擊者甚至會以網站為跳 板，對企業的內部網絡實施滲透。 攻擊目的攻擊目的：對網站進行掛馬、篡改、暗鏈植入、惡意頁面植入、數據竊取等。 （六）異常進程與異常外聯 主要主要現象現象：操作系統響應緩慢、非繁忙時段流量異常、存在異常系統進程以及服務，存 在異常的外連現象。 主要危害主要危害：系統異常，系統資源耗盡，業務無法正常運作；同時，網站也可能會成為攻 擊者的跳板，或者是對其他網站發動 DDoS 攻擊的攻擊源。 攻擊方法攻擊方法： 使用網站系統資源對外發起 DDoS 攻擊； 將網站作為 IP

27、 代理， 隱藏攻擊者， 實施攻擊。 攻擊目的攻擊目的：長期潛伏，竊取重要數據信息。 （七）網站安全總結及防護建議 1. 常見攻擊手段 以上六類網站安全威脅，是政府機構、大中型企業門戶網站所面臨的主要威脅，也是網 站安全應急響應服務所要解決的主要問題。 通過對現場處置情況的匯總和分析得知，黑客主要采用以下攻擊手段對網站實施攻擊： 1） 黑客利用門戶網站 Tomcat、IIS 等中間件已有漏洞、網站各類應用上傳漏洞、弱口 令以及第三方組件或服務配置不當等，將 webshell 上傳至門戶 web 服務器，利用 該 webshell 對服務器進行惡意操作； 2） 黑客利用已有漏洞上傳惡意腳本，如挖礦木馬等，造成網站運行異常； 3） 黑客利用多類型 DDoS 攻擊技術 （SYN Flood、 ACK Flood、 UDP Flood、 ICMP Flood 等） ，對網站實施 DDoS 攻擊； 4） 黑客發起遍歷數據攻擊、 SQL 注入攻擊、 頻繁惡意請求攻擊等攻擊方式進行攻擊。 2. 安全防護建議 11