《綠盟科技：2021安全事件響應觀察報告（86頁）.pdf》由會員分享，可在線閱讀，更多相關《綠盟科技：2021安全事件響應觀察報告（86頁）.pdf（86頁珍藏版）》請在三個皮匠報告上搜索。

1、2021安全事件響應觀察報告2021 Annual Report on Cybersecurity Incident Observations2021 Annual Report on Cybersecurity Incident ObservationsObservationsCONTENTS2021 安全事件響應觀察報告2關于綠盟科技綠盟科技集團股份有限公司（以下簡稱綠盟科技），成立于 2000年 4 月，總部位于北京。公司于 2014 年 1 月 29 日在深圳證券交易所創業板上市， 證券代碼：300369。 綠盟科技在國內設有50余個分支機構，為政府、金融、運營商、能源、交通、科教文衛

2、等行業用戶與各類型企業用戶，提供全線網絡安全產品、全方位安全解決方案和體系化安全運營服務。公司在美國硅谷、日本東京、英國倫敦、新加坡及巴西圣保羅設立海外子公司和辦事處，深入開展全球業務，打造全球網絡安全行業的中國品牌。版權聲明為避免合作伙伴及客戶數據泄露 , 所有數據在進行分析前都已經 過匿名化處理 , 不會在中間環節出現泄露 , 任何與客戶有關的具體信息，均不會出現在本報告中。CONTENTS01網絡安全形勢分析00102網絡攻擊行業特征明顯0052.1關鍵信息基礎設施是網絡攻擊重要目標0062.2金融行業事件連續 4 年占比第一0062.3勒索挖礦持續威脅運營商行業0082.4政府客戶需防

3、范網站入侵和網頁篡改威脅00903“實戰化”是攻防大勢所趨0103.1實戰化攻防演練對抗卓有成效0113.2利益驅使下企業數據泄露風險大幅增加0143.3釣魚仍然是主流的滲透手段0193.4勒索威脅升級0243.5在挖礦木馬攻擊中“突圍”03104新興技術帶來新的安全挑戰0344.1云相關安全事件逐年增長0354.2日益嚴峻的供應鏈安全形式0394.3人臉識別繞過帶來金融風險0424.4車聯網安全和其中的數據安全風險04405安全漏洞變化趨勢0465.1安全漏洞趨勢分析0475.2重要安全漏洞盤點0525.3法律法規落地規范漏洞管理05506安全事件專題0576.1釣魚郵件專題0586.2黑鏈

4、案例專題0616.3挖礦事件案例0636.4REvil 勒索案例0676.5仿冒網站詐騙事件07107安全建議076附錄一GBT20986-2007 信息安全事件分類分級指南079附錄二綠盟科技事件分類方法08001網絡安全形勢分析2021 安全事件響應觀察報告002【報告概述】綠盟科技 2021 年新增應急響應事件 438 起，總數比去年增加了 20 %。第一季度安全事件數量趨于正常水平；4 月份比 3 月份的事件數量增加了 286%；5 月份開始，事件數量恢復到正常水平，整體呈現平緩趨勢。2021 年網絡空間安全形勢復雜多變，大規模、針對性的網絡攻擊行為持續增長，關鍵信息基礎設施仍為重災區

5、，數據泄露事件、產業供應鏈攻擊事件頻發。從攻擊者的角度分析，網絡攻擊的“實戰化趨勢”更加突出，在利益的驅動下，數據竊取、勒索、挖礦等黑產活動持續肆虐，釣魚攻擊成為網絡入侵的利器。大數據、物聯網、人工智能、移動支付等新興技術助力數字化業務轉型升級的同時，也暴露出全新的安全風險。圖 1.1近三年事件發生趨勢綠盟科技在GBT20986-2007 信息安全事件分類分級指南的指導下，制定了信息安全事件分類方法。對處理的安全事件進行國標分類和詳細分類統計。事件分布如下圖：003網絡安全形勢分析圖 1.2國標事件類型分布本年度事件按照細分子類型排序，TOP5 為釣魚攻擊事件、后門事件、勒索軟件、虛擬挖礦和木

6、馬程序。圖 1.3事件類型分布圖2021 安全事件響應觀察報告004綠盟科技 IRT 團隊 2021 年處理的應急響應事件遍布全國，覆蓋了全國 32 個省級行政區。其中發生在北京、廣東、上海的事件最多。圖 1.4事件發生地區分布圖【適用性】此報告適用于政府、運營商、金融、能源、交通、教育醫療、企業等行業客戶?！揪窒扌浴看藞蟾婊诰G盟科技應急響應服務數據，具有一定局限性?！咎貏e聲明】本次報告中涉及的所有數據，均來源于綠盟科技的自有產品和合作伙伴的產品，所有數據在進行分析前都已經過脫敏處理，不會在中間環節出現泄露，且任何與客戶有關的具體信息，也均不會出現在報告中。02網絡攻擊行業特征明顯2021

7、安全事件響應觀察報告0062.1關鍵信息基礎設施是網絡攻擊重要目標根據 2021 年的安全事件記錄，關鍵基礎設施涉及的行業仍是網絡攻擊的重要目標，相關安全事件占比為 74%。公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等國家發展及民生相聯系的關鍵信息基礎設施相關行業，仍然持續、廣泛的受到黑客攻擊。關鍵信息基礎設施承載或支撐著重要行業和領域的關鍵業務，并成為各行各業運行體系所依賴的關鍵節點，是網絡安全的重中之重。任何形式的攻擊行為都是對維護國家網絡安全、網絡空間主權、保障社會平穩有序發展、維護人民公共利益的損害。圖 2.1關鍵基礎設施行業事件分布圖2.2金融行業事

8、件連續 4 年占比第一金融行業作為現代經濟的核心領域， 推動著我國實體經濟的發展， 信息化發展程度比較高。但由于金融行業自身體系龐大、業務類型繁雜，交易量大且并發性高，自身復雜度高，容易存在系統、流程上的安全紕漏，這給了以經濟利益為目的的黑客可乘之機，金融行業也成為安全事件高發區域。2021 年綠盟科技共處理 108 件金融行業事件，占比為 25%，較過去三年的數據 2018（40%）、2019（30%）、2020（35%）有了顯著的下降，但是仍然在全行業事件占比第一。007網絡攻擊行業特征明顯圖 2.2金融行業事件四年占比在金融行業事件中， 銀行子行業的安全事件占比最高， 達到44%。 其次

9、是監管與行業機構、證券、基金、保險等。圖 2.3金融安全事件子行業分布金融行業在攻防演練產生的應急事件較多，相關事件占比 30%。行業真實攻擊的事件共73 起，占行業事件的 70%。真實事件中釣魚攻擊、蠕蟲病毒和后門事件占比最高。釣魚事件中多為仿冒金融機構網站、APP 對機構用戶展開精準釣魚和電信詐騙。2021 安全事件響應觀察報告008 圖 2.4金融行業事件類型分布（除攻防演練）2.3勒索挖礦持續威脅運營商行業運營商支撐著基礎電信網絡、重要互聯網基礎設施等電信行業網絡設施，本身既是關鍵信息基礎設施，同時又為其他行業的關鍵信息基礎設施提供網絡通信和信息服務。一旦遭到網絡攻擊和破壞，將會帶來嚴

10、重的影響。2021 年運營商安全事件統計中，攻防演練事件占比 56%。其中釣魚攻擊是主要入侵手段，事件占比 62%。其次是后門事件、木馬程序和漏洞攻擊。圖 2.5運營商行業事件類型分布（攻防演練）行業真實攻擊的事件占行業事件的 44%。真實事件中勒索軟件、虛擬挖礦、后門事件占比最高。009網絡攻擊行業特征明顯圖 2.6運營商行業事件類型分布（除攻防演練）2.4政府客戶需防范網站入侵和網頁篡改威脅政務系統的信息化令海量的業務數據、公民數據甚至大量政府部門非公開信息 , 以及核心涉密內容在政府信息系統和網絡之間傳輸、在服務器與終端存儲。因此，政府機構的網絡對于世界范圍內的情報部門和網絡中惡意行動者

11、有很強的吸引力。在 2021 年綠盟科技處理的政府行業安全事件中，以虛擬挖礦（21%）、后門事件（19%）、網頁篡改（9%）、勒索軟件（9%）四類安全事件占比最多。相較往年增加了新的攻擊手段，如針對性攻擊、漏洞攻擊等。圖 2.7政府發生安全事件類型統計圖03“實戰化”是攻防大勢所趨011“實戰化”是攻防大勢所趨3.1實戰化攻防演練對抗卓有成效隨著網絡攻擊愈發猖獗，近四年來應急事件數量保持持續增長。隨著全場景、實戰化、對抗化的攻防演練的舉辦從低頻到常態的轉變的持續進行，攻防演練事件應急總數占全年應急總數的比重逐年連續上升。 實戰化攻防演練將一些潛藏的安全風險提前暴露出來并得到及時處置。圖 3.1

12、攻防演練事件與全年應急事件占比趨勢3.1.10day 漏洞利用在攻防中持續增加從攻擊類型的角度來看， 由于各行業人員安全意識的提升以及攻防演練規模的不斷擴大，在攻防演練中的應急響應中體現出基礎漏洞和已公開漏洞的利用數量有所下降， 0day、1day 漏洞的利用則不斷提升，漏洞利用門檻與攻擊成本不斷升高，同時對網絡安全行業人員整體素質也有了更高的要求，也進一步提高了應急響應的取證分析難度。圖 3.22021 年捕獲到的在野 0Day 漏洞利用2021 安全事件響應觀察報告0123.1.2參演單位木馬潛伏時間遠低于其他企業從應對攻擊的角度來看，參與過攻防演練的相關企業在對抗中，其外部資產收斂、漏洞

13、修補效率、人員安全意識，應急處置效率等方面要明顯強于未參加過攻防演練的企業。以木馬潛伏時間為例，在攻防演練進行時，平均木馬潛伏時間僅為 2.645 天，未參加過攻防演練的企業其木馬潛伏時間為 16 天，且在非攻防演練時間段中，參與攻防演練的行業其木馬潛伏時長也遠低于未參與攻防演練的企業。圖 3.3木馬平均潛伏時間3.1.3網絡釣魚與身份認證成為突破點從攻擊的入口點來看，存在一個向人性弱點如網絡釣魚等而非系統漏洞 ( 向 APT 進階 )轉變的攻擊趨勢。由于各監管部門對網絡安全的重視，各行業對網絡安全的投入不斷加大，對已報出的漏洞能夠做到迅速響應，同時新系統上線前也會經過多個廠商的安全測試，部署

14、防火墻、堡壘機等安全設備。當系統漏洞變得難以挖掘或利用成本顯著提高時，攻擊者往往另辟蹊徑選擇將系統安全的另一個薄弱點：人，作為攻擊突破口，體現在攻擊事件中最常見的就是釣魚。這種針對人性弱點的攻擊手法越發流行。從攻擊路徑特征來看，集權管理中心與身份驗證中心依然是攻擊者關注的資產重點和突破點，未來幾年，SDP 等身份驗證網關將進一步提高企業身份認證安全。但 EDR 等相關高權限集權管控中心的安全，仍是一個值得探討的話題。013“實戰化”是攻防大勢所趨圖 3.4網絡釣魚數量年份變化圖從攻擊的隱蔽程度分析， 以攻擊入口常見的 WebShell 為例，攻防對抗中從原始的有文件落地的方式寫入 Webshe

15、ll，逐步發展到以無文件落地的方式進行 MemShell 的添加與執行，如常見的哥斯拉、蟻劍、冰蝎等工具均支持通過內存馬進行連接。采用無文件落地的木馬可以有效地躲避傳統安全軟件的檢測，并且因為其無文件落地的特點，攻擊者在執行惡意命令后不會留下任何痕跡，在應急響應過程中難以被檢測和清除。因此隨著演練的進行，無文件落地的內存馬越來越受攻擊隊青睞。通過上述分析可以發現，隨著攻防演練的發展和完善，對安全從業者有了更高的要求，同時在不斷演變的對抗中，由于短板效應的存在，在防護技術和各類安全設備的加固與更新迭代下，當軟件和硬件上的漏洞減少時，人的短板就凸顯出來。攻擊者傾向于攻擊整個系統的薄弱環節，由此引發

16、了針對人的定向攻擊。而在頻繁的攻防演練鍛煉下，防守方也不再僅僅局限于保護系統不被入侵，在防護力量盈余的情況下，防守方開始著重向溯源反制發展。在紅藍對抗的競爭環境下，我國的安全行業正在蓬勃發展。3.1.4實戰化攻防演練仍需改進完善在攻防演練如火如荼的發展背景下，仍有許多方面值得去完善。首先，演練的成果還沒有物盡其用，攻防演練成果大多注重最終結果，目標單一，演練處于在高緯度上進行考量，著重于保護系統中的關鍵節點的平穩運行不被侵害，不關注攻擊過程中未能達到指定目標的成果，然而應急事件中常見的挖礦、勒索、蠕蟲等事件的產生只2021 安全事件響應觀察報告014需要極小的防護紕漏，卻可能造成整個企業網絡癱

17、瘓、信息泄漏、商譽受損。因此在攻防演練中應重視各類威脅，擴大行業覆蓋面，在廣和深兩個維度同時進行擴展。其次， 企業員工安全意識有待進一步的加強。 企業往往過分重視軟件和硬件的防護投入，認為投入了大量設備就能保證萬事大吉。但人員安全意識培訓的投入不足、投入運行的設備后期不注意維護和升級，在對抗不斷加劇的今天所帶來的劣勢正在不斷暴露。系統的安全不僅僅局限于安全設備和安全軟件，本質還是在人。行業內應著重對人員的安全意識進行培訓，并對其安全開發、安全運維、應急處置等相關能力進行提升，形成閉環安全；同時定期舉行釣魚演練、配合恰當的權限校驗策略、訪問控制策略和密碼策略等，讓安全意識更加深入人心。3.2利益

18、驅使下企業數據泄露風險大幅增加3.2.1電信詐騙導致個人信息數據泄露嚴重近年來，我國電信網絡詐騙總體數量不斷增加，呈現技術對抗性強、詐騙手法翻新快、詐騙目標年輕化等新特點新趨勢，一定程度上影響著人民群眾的生命財產安全。黨中央、國務院對防范治理電信網絡詐騙工作高度重視，多次作出重要指示、提出明確要求。電信詐騙的數據來源往往依賴于企業泄露，企業對用戶個人相關信息保存不當，被攻擊者以各種手段獲取之后，進行出售，最終大部分數據流向了電信詐騙領域，同時，電信詐騙黑灰產的興盛也助長了對企業數據竊取的攻擊行為，形成惡性循環。圖 3.5電信詐騙產業鏈最近幾年，綠盟科技處理應急事件中涉及數據泄露的事件數量變化趨

19、勢如下：015“實戰化”是攻防大勢所趨圖 3.6數據泄露事件發生趨勢可以看出，整體呈加速上升趨勢。從泄露數據內容上看，主要包括如下幾類： 個人信息，包括姓名、身份證、電話、出生地、學歷等 訂單信息，包括時間、物品信息、訂單金額、快遞單號等 投資信息，包括購買投資理財產品的時間、數量、收益率等 報考信息，包括崗位、單位等 其他個人信息，包括就醫信息、社保信息、貸款記錄、保險信息、車輛信息、銀行賬戶信息、信用卡信息、購房信息等 商業信息，包括公司內部信息、業務合同、招投標信息、產品代碼等商業機密這些信息占比如下如所示：圖 3.7泄露數據類型統計2021 安全事件響應觀察報告0163.2.2源代碼泄

20、露成為企業數據泄露新威脅從泄露數據內容來看，近兩年的一個變化趨勢是：企業除了出現數據泄露，還出現了代碼泄露的現象。例如 2021 年的代碼平臺 SonarQube 泄露事件，SonarQube 作為一款開源靜態代碼分析工具，在金融、互聯網領域廣泛應用，盡管其誤漏報率和缺陷模式的更新，與商業工具相比具有一定差距，但其輕量級、與 Devops 快速集成、免費使用等特點受到了很多軟件開發組織的青睞，仍然被很多用戶選擇其為研發安全的重要白盒檢測工具。攻擊者利用了 SonarQube 某些缺陷，進而控制了整個平臺，并獲取了其中的源代碼，導致企業代碼外泄。2021 年 10 月份，有黑客聲稱通過利用 So

21、narQube 零日漏洞對多家企業進行了入侵，竊取政府和企業源代碼。2021 年 7 月以來，來自互聯網、金融、零售等領域的 50 多家知名公司內部軟件源代碼泄露，包括微軟、Adobe、聯想、AMD、高通、摩托羅拉、華為海思、聯發科技、GE 家電、任天堂、Roblox、迪士尼、江森自控等知名公司，泄露其內部源代碼。圖 3.8有黑客聲稱通過利用 SonarQube 獲取了多家公司內部源代碼3.2.3勒索軟件的發展加劇了企業數據泄露從今年處置的針對大型企業 APT 類型勒索事件來看，勒索行為已經不再局限于單純加密文件，而且帶有數據竊取行為。例如 2021 年 7 月份處理的某大型企業內網加密勒索事

22、件，攻擊者在內網主機上安裝了 TntDrive 客戶端，并將云存儲對象掛載到本地磁盤，然后對該磁盤進行內網共享，再利用 psexec 工具分發文件拷貝腳本：017“實戰化”是攻防大勢所趨圖 3.9用于收集指定后綴文件并上傳至網絡共享磁盤的 ps 腳本而另一起勒索病毒事件中， 在捕獲的惡意樣本中攜帶有數據庫連接工具sqlyog， 通過分析，攻擊者利用該工具連接內網數據庫，并對數據進行導出、上傳，達到竊取數據的目的。圖 3.10數據庫連接工具 sqlyog 出現在惡意樣本中3.2.4網站篡改類攻勢緩和網站篡改（包括直接散布不量信息、掛馬、掛暗鏈等）一直都是信息篡改攻擊的主要形式之一。直接對主頁進行

23、篡改的攻擊往往帶有明確的訴求（不限于政治訴求），而掛黑鏈、暗鏈則是為了追求經濟利益（往往是有償為博彩、色情等網站提供廣告或 SEO 優化業務）。2021 年，網站篡改類攻擊事件有所減少，這與信息安全行業的發展、安全意識的提高、Web 安全性的提升是分不開的。我們分析了最近 3 年信息篡改類事件，整體趨勢如下：圖 3.11最近三年信息篡改類事件趨勢2021 安全事件響應觀察報告018可以看到，今年此類事件數量已經回落到 2019 年水平。在我們的分析中，此類攻擊的主要對象為高價值的金融機構、政府機關、醫療教育等行業目標。同時，追求經濟上的利益是此類攻擊的主要目的：圖 3.12信息篡改事件目的分布

24、 圖 3.13黑鏈暗鏈應急事件目標行業分布但隨著國家在這些行業安全上的投入、人員安全意識的培訓與加強，使得對這些目標攻擊的難度大幅增加。同時，勒索與挖礦等經濟利益更加突出的黑灰產行業吸引了更多的從業者，使得此類攻擊的數量有所下降。雖然網站篡改類攻擊有所下降，但仍然不可掉以輕心。在今年所遇到的涉及暗鏈的應急事件中，我們發現，使用復雜 js 加密混淆手段成為了一種新趨勢，甚至增加了反控制臺調試、反格式化等新特性，如下圖所示（截取部分代碼）：019“實戰化”是攻防大勢所趨圖 3.14高度混淆加密的 js 代碼這使得事件分析難度提升，開展應急工作的阻力大幅增加。網站篡改類攻擊依然需要我們高度重視。 我

25、們建議加強主站、 主頁的檢測與防護， 從嚴制定訪問策略， 排除邊界安全隱患，有效防御篡改行為。3.3釣魚仍然是主流的滲透手段由于人性的弱點的存在，人在安全防護中總是最薄弱的一環；對于攻擊者來說，人就是防線最好突破的環節。綠盟科技 2021 年處理的四百多起應急事件中，釣魚事件（釣魚攻擊、釣魚網站、釣魚郵件等）占了四分之一以上。圖 3.15 釣魚攻擊事件占比圖2021 安全事件響應觀察報告020盡管人們對于釣魚的防范意識逐漸增強，但是釣魚攻擊成功的案例還是不在少數。顯然，釣魚的手段也會與時俱進。從今年的一些案例中可以發現，釣魚攻擊依然防不勝防。3.3.1釣魚成為電信詐騙常用手法向消費者發送短信釣

26、魚鏈接是電信詐騙的常用手法之一。2021 年短信釣魚詐騙在全國范圍密集出現，攻擊目標和行為特征相對一致，受騙對象多為風險防范意識較弱、對手機銀行或網上銀行登錄操作不熟悉的人群。銀行卡過期、ETC 卡失效認證、營業執照、接單系統更新。這些短信，除了有一個足夠吸引你注意力的事由之外，里面都會附上網址鏈接，誘導你點擊。點進去后就會被要求填寫姓名、手機號、身份證號、銀行卡號、驗證碼等信息，而一旦按要求操作，銀行卡上的錢隨后就會被盜刷。我們把這類短信叫做“釣魚短信”，把盜刷的行為叫做“釣魚短信類”詐騙。除短信釣魚外，“殺豬盤”詐騙也常通過偽造網站、APP 的方式進行釣魚。表 3.3.1釣魚詐騙產業角色產

27、業角色范圍信息販子出售用戶信息詐騙團伙實施“殺豬盤”詐騙，負責引魚上鉤代理商詐騙人員上級，詐騙釣魚網站后臺用戶運營商釣魚網站運營人員，購買域名、服務器，維護網站運營洗錢渠道商通過直播、游戲充值、虛擬幣等方式洗錢2021 年 07 月，某女士在“朋友”介紹下，通過微信發給她了一個投資平臺的二維碼。二維碼掃描后是一個“投資平臺”的 APP 下載頁面，該 APP 仿冒了某信托 APP。圖 3.16仿冒信托 APP 頁面021“實戰化”是攻防大勢所趨針對釣魚網站進行漏洞挖掘，發現一個后臺弱口令賬號，根據網站功能判斷，該賬號疑似為“代理商”的帳號?！昂笈_ 報表管理 個人報表”功能中發現疑似流水信息。圖

28、3.17釣魚網站后臺某些釣魚網站甚至有在線客服。圖 3.18釣魚網站在線客服2021 安全事件響應觀察報告0223.3.2 “供應鏈”式釣魚針對公司客戶隨著釣魚黑產的發展，攻擊者們不再滿足于騙取個人的財富，而是瞄向財力雄厚的大型企業。投資公司、企業服務類公司等類型企業服務的客戶眾多，且這些客戶往往經營良好、往來資金較多，因此成為了攻擊者的重點目標。在綠盟科技 2021 年的釣魚事件中有 7 起類似的案例。攻擊者通常先通過精準釣魚、暴力破解、購買數據泄露的賬號密碼等方式攻擊投資公司、企業服務類公司，獲取客戶經理、管理人員、客戶運營人員的郵箱權限。拿到權限后，攻擊者會收集客戶信息，篩選相關郵件，以

29、回復郵件信息的方式發送釣魚郵件到客戶。而釣魚郵件中包含了偽造的企業官網鏈接、含惡意代碼的附件或者虛假的付款方式。收到釣魚郵件的客戶看到郵件的內容屬于對正常郵件的回復，極易受騙打款或中招釣魚。圖 3.19“供應鏈”釣魚攻擊流程圖3.3.3免交互漏洞釣魚更加隱蔽今年 9 月份，MSRC 發布了關于 MSHTML 組件漏洞的通告，這個漏洞利用了 word 加載ActiveX 控件實現 RCE。從利用的漏洞點看，這一類的漏洞利用主要以社會工程學手段為主，投遞一個帶有利用 payload 的 word 樣本。這種手段和投遞 office 宏病毒樣本在表面上看是一樣的，但是在Microsoft offic

30、e 打開帶有宏的文檔時，會提醒是帶有宏的文檔。由于宏這種特性用得相對較少，所以缺乏相關安全意識的人發現帶有宏的 office 文檔時不會關聯到黑客攻擊。而利用這個漏洞的樣本這意味著除了觸發加載控件的那一部分，整個文檔看起來和正常的并沒有區別。盡管 word 還是會提醒用戶是否啟用編輯。然而 word 對正常的文023“實戰化”是攻防大勢所趨檔也會發出這樣的提醒，在這種情況下，大多數人對這種提醒已經不敏感了，因此也更容易中招。該漏洞甚至可以利用 Windows 資源管理器中的“預覽窗格”觸發，這對于安全人員來說，也是個不小的挑戰。2021 年 4 月，TSRC 發布了關于舊版本的微信 RCE 漏

31、洞的通告，這個漏洞出現在微信使用的 JavaScript 引擎上，只要點擊了一個精心構造的惡意網頁，就可以實現 RCE。這個漏洞的利用方式和之前一些 Chrome、IE 等 JavaScript 引擎漏洞的利用方式并沒有什么區別。只不過在今天，由于軟件的快速迭代更新，以及 Windows 的保護機制下，漏洞利用更加不容易，所以大家逐漸忽略了這種攻擊手段，這種類型的釣魚也往往更容易得手。利用漏洞的釣魚手段基本上都是使用的 0day 漏洞。代碼執行的手段通常較為新穎。對于大多數人，很難做到在收到釣魚樣本時識別這種釣魚，需要時常更新軟件至最新版本，以及平時多關注關于最新漏洞的消息，盡量避免被釣魚。3

32、.3.4安全研究人員成為釣魚的對象之一2021 年 1 月，谷歌威脅分析小組發現并確定了一個持續針對網絡和漏洞安全研究人員的攻擊活動。和以往的釣魚不同，這次釣魚表面上是和安全研究人員進行合作安全研究，實際上給安全研究人員發送 POC。這份 POC 是一個 Visual Studio 項目，只要編譯運行，就會執行其中的惡意代碼。12021 年 11 月，ESET 在 twitter 稱發現了帶后門的 IDA Pro 安裝程序，并指出了其中的win_fw.dll 和 idahelper.dll 是被替換掉的帶后門的動態鏈接庫。在投遞的樣本上看，這兩次釣魚投遞的樣本并不能說很有特點，與以往收到的 P

33、E 釣魚樣本相差不大。但是這兩次釣魚又能發現到一些共同點：首先，這兩次釣魚顯然都是針對安全研究人員的；其次，用 IOC 信息上看，這兩次釣魚都指向了攻擊者就是 Lazarus APT 組織；而且，兩次釣魚投遞樣本的手段都是相似的：先通過在各種社交平臺創建安全研究人員的賬號，然后提高知名度，提升這些賬號的可信度。然后就開始聯系一些安全研究人員向他們發送惡意樣本。1 https:/blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/2021 安全事件響應觀察報告024顯然，針對安全研究人員的釣魚

34、事件逐漸增多。作為安全研究人員，除了要有基本的安全意識和安全素質以外，對“網友”和各類攻擊工具也要有所防范。3.4勒索威脅升級3.4.1勒索攻擊手段趨于多樣化復雜化根據 2021 年綠盟科技處理應急事件中樣本的勒索病毒家族識別數據，Phobos、GlobeImposter、Dharma、 BeijingCrypt 等勒索病毒家族較為流行。另外 Revil 勒索家族盡管事件數量相對不多， 但攻擊針對性強。 而Magniber等新在國內流行的病毒入侵手段更加創新。圖 3.20勒索軟件事件家族分布勒索軟件技戰術中包含了憑證訪問、橫向移動、探測、持久化、防御規避等，其中需要注意的是 49% 的勒索軟件

35、攻擊有防御規避的跡象以及 32% 的勒索軟件攻擊都有持久性TTP，可以推測的是如今的勒索攻擊不僅僅局限于簡單的掃描爆破然后加密，還使用了更為復雜的手段在隱蔽自身的同時進行戰果擴大化。這一觀點可以被 Conti 泄漏的勒索攻擊手冊佐證，同時也能從由勒索攻擊團伙可能出于談判策略或者其他原因提供的“勒索攻擊報告”得到論證。025“實戰化”是攻防大勢所趨圖 3.21勒索軟件攻擊技戰術Conti 勒索軟件的運作是以勒索軟件即服務（RaaS）的方式進行的，核心團隊負責管理惡意軟件和 Tor 站點，而招募的附屬機構負責進行網絡破壞和加密設備。8 月，一位 Conti 勒索軟件附屬機構成員泄露了該勒索團伙的勒

36、索實施攻擊的相關信息，包括 C2 服務器的 IP 地址和一個 113MB 的檔案，其中包含許多工具和進行勒索軟件攻擊的培訓材料。圖 3.22Conti 攻擊手冊目錄2021 安全事件響應觀察報告026材料內容包含：內網掃描，提權，接管域控制器，配置和使用 Cobalt Strike，通過配置 Rclone 與 MEGA 進行數據泄露，AnyDesk 配置，隧道使用，密碼轉儲，禁用 Windows Defender 等。除此之外還附有較為詳細的入侵步驟手冊。圖 3.23Conti 入侵教程手冊中還詳細教學了如何上傳數據、選取哪些數據上傳。下面是 Conti 官方推薦附屬機構搜集的數據關鍵詞：02

37、7“實戰化”是攻防大勢所趨圖 3.24Conti搜索關鍵詞3.4.2新發布漏洞利用頻繁圖 3.25勒索軟件傳播方式變化趨勢今年，在勒索攻擊中出現了更頻繁的漏洞利用。僅是在初始入侵攻擊方式中，漏洞利用的攻擊方式已呈穩定上升趨勢。7 月，監測到 Magniber 利用 PrintNightmare 漏洞（CVE-2021-34527）。eCh0raix 被發現針對 QNAP 和 Synology NAS 設備（CVE-2021-28799）。2021 安全事件響應觀察報告0288 月，有安全研究人員的個人蜜罐項目捕獲到 LockFile 利用 ProxyShell 漏洞（CVE-2021-3447

38、3, CVE-2021-34523, CVE-2021-31207）。即在入侵網絡時，首先會利用 ProxyShell漏洞訪問內部的微軟 Exchange 服務器。完成初步權限維持后，LockFile 團伙就會使用PetitPotam 漏洞來接管域控制器，從而接管 Windows 域。9 月初，Conti 勒索軟件針對微軟 Exchange 服務器，利用 ProxyShell 漏洞攻破企業網絡。10 月，ProxyShell 漏洞再次被勒索軟件利用，勒索軟件為 Babuk。9 月 7 日，Microsoft 發布了針對 CVE-2021-40444 的安全公告。1圖 3.26CVE-2021-

39、40444 利用情況Microsoft 監測到自公開披露以來，已有多個威脅行為者，包括勒索軟件即服務的附屬公司，在他們的工具包中采用了公開披露的概念驗證代碼。9 月中旬，Sophos 的應急調查中表明 Atom Silo 勒索軟件利用 CVE-2021-26084 進行初始入侵。3.4.3公共基礎設施持續遭受勒索攻擊預計世界各國將應對持續不斷的勒索攻擊，這些攻擊暴露了全球關鍵基礎設施存在重大安全漏洞。自今年年初以來 ( 截止 2021 年 11 月 13 日 )，勒索軟件攻擊已經影響了美國大約 1000 所大學、學院。2021 年 10 月 30 日，加拿大紐芬蘭省和拉布拉多省遭受了勒索攻擊，

40、導致地區衛生系統關閉網絡，取消了成千上萬的醫療預約；影響了中央衛生局、東部衛生局、西部衛生局和拉布拉多 - 格倫費爾地區衛生局的衛生系統。加拿大的公共服務已經數次成為勒索軟件的攻擊目標，2020 年 10 月，蒙特利爾的 STM 公共交通系統被1 https:/ 攻擊；2020 年 12 月，溫哥華的地鐵運營商 TransLink 在一次 Egregor 攻擊后面臨嚴重的 IT 問題。此外，已有勒索軟件團伙明確表示對公共基礎設施的攻擊并非僅出于經濟因素?！癢hy not?They always keep our private data open. You, me and anyone els

41、e go to hospitals, give them our passports, share our health problems etc. and they dont even try to protect our data. They have billions of government money. Do they steal that money?USA president gave big amount to protect government networks and where is their protection? Where is our protection?

42、If IT department dont want to do their job we will do ours and we dont care if it hospital or university.” - Vice Society ransomware.不僅有上述針對基礎設施的勒索攻擊，也存在因基礎設施缺乏安全防護意識導致的勒索事件。例如今年國內某醫院員工發現內網部分服務器被勒索病毒加密了服務器上的文件，造成業務中斷。經排查確認為典型的對脆弱的網絡設施進行勒索攻擊的方式。攻擊者通過 RDP爆破獲取到入口服務器的密碼，并利用該服務器作為跳板，繼續以暴力破解的方式，在內網中橫向移動。當

43、獲取到一定數量的服務器權限后，拷貝勒索軟件到內網服務器上運行，實施勒索。攻擊者在主機上殘留了大量黑客工具，進行了部分痕跡清理但并不完整。由上可知攻擊者可能為 RaaS 附屬機構或非專業勒索攻擊黑客。圖 3.27勒索攻擊流程2021 安全事件響應觀察報告0303.4.4各國政府嚴厲打擊勒索軟件自勒索攻擊流行以來，已經發生多起針對國家政府的勒索攻擊，最引人注目的莫過于美國最大的燃料管道公司ColonialPipeline 勒索事件。2021 年 5 月 7 日，ColonialPipeline 公司在遭受 DarkSide 勒索軟件攻擊后被迫暫停運營，該公司在墨西哥灣沿岸的煉油廠和美國南部和東部的

44、市場之間運輸精煉石油產品，每天通過5500英里的管道運輸250萬桶石油，并供給東海岸總燃料消耗量的45%，除此之外還供應美國軍方。在勒索軟件攻擊之后，美國交通部的聯邦汽車運輸安全管理局(FMCSA)決定關閉其基礎設施作為預防措施，隨后宣布17個州和哥倫比亞特區進入緊急狀態。如果運營持續暫停，美國可能很快出現汽油、柴油和噴氣燃料的現貨短缺，嚴重威脅到美國國家經濟安全。1圖 3.28DarkSide 勒索頁面2021 年 10 月，來自 31 個國家和歐盟的高級官員發表聯合聲明，他們的政府將采取行動，破壞勒索軟件團伙用于資助其行動的加密貨幣支付渠道。例如美國財政部于 9 月宣布了對一家加密貨幣交易

45、所的首次制裁，該交易所為勒索軟件團伙的贖金交易提供便利并幫助他們逃避制裁。另斯托克秘書長在國際刑警組織勒索軟件高級別論壇（7 月 12 日）上提到，為應對勒索軟件在更廣泛的網絡犯罪生態系統中的呈指數式增長，以及犯罪分子普遍將其商業模式轉向提供勒索軟件即服務的情況，呼吁加強合作打擊勒索軟件。1 http:/ 2020 年 7 月公布草案一審稿之后，在不足一年的時間內完成三次審議并正式頒布，于自 2021 年 9 月 1 日起施行。而根據網絡安全的定義（網絡安全法第 76 條），保障網絡數據的機密性 (Confidentiality)、完整性 (Integrity)、可用性 (Availabili

46、ty) 的能力是網絡安全的重要組成部分。 勒索軟件主要破壞數據的可用性與機密性，即使數據無法繼續使用，或是讓本應保密的數據公之于眾。且近年來，隨著“一案雙查”制度的落實，在網絡安全事件發生后，公安部門不僅會去追查發動攻擊的黑客，同時會對企業履行網絡安全義務的情況進行檢測，視檢測結果，企業可能被追責，相關負責人甚至可能需要承擔個人責任。3.5在挖礦木馬攻擊中“突圍”在今年新冠疫情持續影響全球生產生活發展的背景下，虛擬經濟逆勢走高，虛擬幣價值空前高漲。高額的挖礦收益刺激著挖礦木馬團伙不斷更新攻擊手段，加入主機資源的競爭之中。2021 年，綠盟科技 CERT 共處理挖礦事件 47 起，其中使用門羅幣

47、進行挖礦的事件占據絕大部分，高達 87%；已處理的挖礦事件中攻擊手段也多種多樣，其中，利用弱口令漏洞的事件 16 起、利用 MS17-010 漏洞在內網傳播挖礦事件 15 起、中間件漏洞利用 9 起、未授權訪問入侵挖礦事件 2 起、綜合漏洞利用事件 6 起；在 所 有 挖 礦 事 件 中， 涉 及 的 病 毒 及 挖 礦 工 具：Coinminer 家 族、Wannnamine、givememiner、 8220miner 、powerghost、workminer 等。目前主流的惡意挖礦病毒為WannaMine、8220miner 等。圖 3.29挖礦事件利用漏洞2021 安全事件響應觀察報

48、告032根據對綠盟科技 2021 年安全應急事件分析，本年度挖礦病毒仍主要采取 Redis/SSH/SQL Server/RDP 等弱口令爆破的方式進行入侵，相關安全事件相較去年增長 125%。弱密碼在互聯網廣泛存在。而暴力破解利用門檻低，成為挖礦木馬重要的傳播方式。安全意識薄弱造成的隱患依然不容小覷。3.5.1去中心化金融平臺失竊，挖礦團伙“后院失火”在挖礦團伙們處心積慮的攻擊他人為自己盈利的時候， 有一批黑客盯上了他們的 “錢包” 。目前為止，去中心化金融（DeFi）系統受到的黑客攻擊占 2021 年全球所有主要黑客攻擊的近 76%。DeFi 攻擊事件頻發。挖礦生態圈的安全逐漸受到重視。1

49、今年 2 月，黑客透過 Cream Finance 所推出的零抵押跨協議貸款鐵金庫（Iron Bank）及Alpha Homora 的機制漏洞，共得手約 1 萬 3244 枚以太坊，當時價值約 3750 萬美元。今年 8 月，黑客利用了不同合約（smartcontract）間的協定產生的漏洞對 PolyNetwork平臺發起攻擊，包括 ETH、BSC 等價值約 6.11 億美元的加密貨幣被“洗劫一空”。從黑客的角度來看，這些系統是匿名的，而且行業暫時缺乏技術監管，這使得網絡犯罪分子可以通過攻擊安全性較低的 DeFi 項目或實施地毯式詐騙來獲取金錢收益。3.5.2云原生進程中容器安全受到挖礦木馬

50、挑戰容器已然成為云原生時代計算資源和配套設施的交付單元。而對于有惡意挖礦意圖的攻擊者他們可以通過發布帶有挖礦木馬的惡意鏡像進行攻擊或者通過一些未授權訪問漏洞或使用者在認證上的不安全設置入侵容器并進行感染。早在去年 11 月，安全人員就發現在 LoggerMiner 挖礦木馬 會嘗試對當前主機上的 docker容器進行感染。到今年 3 月，在 Docker Hub 上發現了 30 個被植入挖礦木馬的 Docker 鏡像，這些鏡像總計被下載了 2000 萬次。攻擊者利用此獲利超過 20 萬美元。2另一個基于容器技術的分布式集群管理系統 Kubernetes，今年開始也受到了黑客的攻擊。2021年1

51、月， TeamTNT 通過 Kubelet 配置不當導致的身份認證安全問題攻破了 Kubernetes集群。通過 Kubelets 的命令 API，在這些容器中下載并執行惡意程序，最終植入了門羅幣挖礦木馬。1 https:/ http:/ 3.30Kubernetes 集群入侵方式由于容器存在天然的安全問題和缺陷，相關的安全問題也不斷出現。相信隨著容器技術本身和配套安全解決方案研究的不斷深入，容器技術將迎來下一個春天。04新興技術帶來新的安全挑戰035新興技術帶來新的安全挑戰隨著數字技術進入系統創新和智能引領的重大變革期，信息基礎設施加速向高速率、全覆蓋、智能化方向發展，相伴而生的非傳統安全問

52、題愈發凸顯，網絡威脅與傳統威脅的融合交織對國家安全產生深刻影響，網絡空間安全風險正加速從虛擬空間向現實世界滲透擴散。大數據、物聯網、人工智能、移動支付等新興技術助力數字化業務轉型升級的同時，也暴露出全新的安全風險。4.1云相關安全事件逐年增長隨著云計算技術的發展，越來越多的企業將自身的業務逐漸遷移到云端，減少自身主機服務器的運維成本，企業只需關心云服務平臺和配置的選擇，實現服務器托管。2021 年新冠疫情的持續，也在一定程度上促使越來越多的企業選擇將自身業務進行云遷移。近三年，云環境的安全事件數量在持續增長。圖 4.1云主機安全事件趨勢云服務在廣度上不僅覆蓋服務業、工業和農業，還從商業擴展到公

53、益和政府；深度上，從營銷服務、生產研發到運營管理，滲透到組織內部的各個環節。云端架構由于配置不當或者自身存在安全缺陷，都會對攻擊者暴露出新的攻擊面，給入侵者造成可乘之機。其中為了避免公有云對于數據安全性的隱患，很多企業會選擇公有云與私有云結合的“混合云”架構，但是這不能避免安全問題，反而會增高管理的耦合度，導致責任劃分不明確。4.1.1挖礦和勒索是入侵云端環境最多的兩類惡意軟件通過對 2021 年事件的統計發現云端入侵產生的安全事件主要以挖礦軟件、后門和勒索軟件為主。2021 安全事件響應觀察報告036圖 4.2云主機安全事件類型分布圖由于云主機具備彈性服務的特點，可以根據性能需求在一定范圍內

54、實現性能的擴充，這個特性更符合需要持續高性能的軟件。挖礦軟件相比其他的入侵程序來講要更加安靜，一般只有人為發現系統異常，再經過排查才會發現。而對于勒索軟件或者 DDOS 木馬來講它們產生的行為更容易被外部設備監控，所以挖礦程序的潛伏期也會稍長于其他類型的入侵程序。云主機勒索病毒家族主要有 Revil，phobos，lockbit 等家族。由于云主機與傳統服務的差異，導致一旦云主機數據被勒索加密，那么相對于傳統主機少了磁盤數據恢復的可能。所以使用云服務需要具備數據保護意識，及時對關鍵數據進行備份。目前已有一些病毒家族使用 docker 進行容器化攻擊，從而更好的實現云端執行，例如 XOR DDo

55、S，Groundhog，Tsunami。也有一些惡意程序通過 golang 這類編程語言實現跨平臺執行。4.1.2暗網出售大量云端賬號和 RDP 憑證IBM Security X-Force 發現大量云端賬號資源在暗網上被售賣1，銷售價格從幾美元到15000 美元不等，暗網商家甚至提供了退款政策吸引買家購買。被盜賬戶不僅為攻擊者提供了在云中發起攻擊的機會，還為攻擊者提供了在企業整體環境中的立足點，并為內網漫游提供了可能。所以即使通過“混合云”的方式將數據進行分離，可能被泄露的公有云登陸憑證會成為內網入侵的突破口。1 https:/ 4.3云端賬號資源售賣4.1.3攻擊者享受云服務便利攻擊使用云

56、服務器作為木馬的 C2 服務器已經成為屢見不鮮的手段，也是目前主流的攻擊手法。由于云服務廠商會提供公網 IP 地址，為木馬的主動上線提供了方便，避免了正向shell 的內網穿透問題。使用云服務器也為攻擊溯源增加了難度，某些關鍵信息可能需要通過云服務商進行獲取。并且基于云平臺技術衍生出了新的攻擊手段，例如通過 CDN 或者域前置技術對真實 C2 服務器地址進行隱藏。其中 CDN 方式基本已經是攻擊者掌握的基本技術，但域前置的利用手段成上升的趨勢。這些攻擊手段在今年的攻防演練中十分常見，并且還出現了基于 OSS（對象存儲）服務的遠控木馬，可以通過 OSS 的文件數據同步，實現木馬數據的傳輸?？赡苤?/p>

57、后會有更多基于云服務的攻擊手段被開發并使用。圖 4.4利用 CDN 結合函數計算搭建攻擊前置2021 安全事件響應觀察報告0384.1.4云主機安全防護需要多方參與云主機的入侵方式主要有三種：密碼噴射，軟件漏洞利用，云主機配置不當利用。圖 4.5云主機的入侵方式其中密碼噴射是攻擊者常用并且簡單高效的一種手段，一旦通過爆破或者猜解的方式獲取到正確的密碼，會嘗試使用該密碼批量訪問其他服務器，從而實現攻擊的橫向轉播。2021年云上流行的挖礦病毒中多數利用口令爆破進行蠕蟲式傳播。虛擬化系統本身就存在一定的安全威脅。當前全球最大的商業和開源虛擬化系統，VMware 和 OpenStack 曾分別出現了

58、222 和 68 個漏洞，其中不乏高危漏洞。如果攻擊者通過 Hypervisor 漏洞從虛擬機逃逸到宿主機，那么攻擊者就可能讀到宿主機上所有虛擬機的內存，進而控制這臺宿主機上的所有虛擬機。根據目前公開數據統計發現，軟件安全漏洞數量相比與前 5 年增長了 150%，對于 0day 漏洞很難進行防護，但是可以通過及時進行補丁更新，減少 1day 漏洞存在的時間，從而降低風險。對于云主機安全配置一般存在于云主機相關 API 的鑒權使用，有些對外暴露的云 API 可能導致云主機的未授權訪問，從而成為攻擊者的突破口。這一點可能需要云主機廠商和消費企業共同努力。039新興技術帶來新的安全挑戰基于云計算的虛

59、擬化安全防護對于安全防護的需求， 在本質上并沒有發生變化。 換句話說，安全防護的手段也沒有發生實質性的變化。其不同之處在于虛擬化環境下，業務的流量更復雜，防護的方式更加的多元化、復雜化。云安全防護需要云平臺運營者、云租戶和安全廠商的多方參與進行共同防護。4.2日益嚴峻的供應鏈安全形式由于如今全球化趨勢，供應鏈也隨之全球化發展，這不僅擴大了攻擊者在互聯網的攻擊面，還增加了這些攻擊的可能造成的潛在影響范圍以及危害程度。歐盟曾預測，隨著網絡犯罪分子轉向更大的跨境目標，2021 年軟件供應鏈攻擊的數量將是 2020 年的四倍，根據 the Identity Theft Resource Center

60、統計1，截至 11 月為止，受供應鏈攻擊影響的個人總數已經比 2020 年全年增加了 793000 人。在已發生的供應鏈攻擊中，攻擊者的主要目的是以客戶數據為主，其次則是關鍵基礎設施與資金；其中 66% 是通過 0day 漏洞進行的，超過 50% 攻擊事件都留下了 APT 組織的痕跡。根據卡巴斯基的最新研究，朝鮮 APT 組織 Lazaru 正在發起專門針對韓國智庫和 IT 資產監控解決方案供應商的攻擊。由于供應鏈攻擊的超強破壞性，在未來的互聯網發展過程中，必定會有越來越多的黑客或者 APT 組織參與到供應鏈攻擊中。 4.2.1開源組件導致的供應鏈風險開源產品使用率在多個行業占用率超過 60%

61、，開源軟件已成為企業構建信息技術的重要選擇。2021 年，開源也被列入我國遠期目標綱要，支持開源社區創新聯合，鼓勵企業開放軟件源代碼。蓬勃發展的開源雖然可以推動互聯網創新發展，但伴隨著產生的是安全漏洞、供應鏈攻擊等安全風險。12 月 9 日，綠盟科技 CERT 監測到網上披露 Apache Log4j2 遠程代碼執行漏洞（CVE-2021-44228），由于 ApacheLog4j2 某些功能存在遞歸解析功能，未經身份驗證的攻擊者通過發送特別構造的數據請求包，可在目標服務器上執行任意代碼。1 https:/www.idtheftcenter.org/2021 安全事件響應觀察報告040圖 4.

62、6Log4j 遠程代碼執行漏洞Apache Log4j2 是一款開源的 Java 日志框架，被廣泛地應用在中間件、開發框架與 Web應用中，用來記錄日志信息。根據 MVN Repository 顯示有接近 7000 的項目引用了 Log4j2。圖 4.7Log4j 項目引用范圍而本次漏洞造成的主要原因是 Log4j2 提供的 “Property Support”特性所造成的，利用該特性可以在打印日志的時候引用配置好的屬性，并替換到日志當中，支持從配置文件、系統變量、環境變量、線程 Context 以及事件中存在的數據中引用所需的變量到日志中，功能十分強大。4.2.2 “上游”服務商成為黑客的主

63、要攻擊目標軟件供應鏈可以分為開發、交付、運行三個大環節，當上游開發商的產品出現安全漏洞時，受影響的不單單是開發商，還包括了眾多第三方客戶，可造成的破壞范圍極廣，甚至借助開發商的簽名隱藏自身，難以防范。黑客同樣也注意到了供應鏈攻擊的優勢，導致近年類似“SolarWinds 供應鏈攻擊”這樣影響極廣的攻擊事件頻發。041新興技術帶來新的安全挑戰2020 年 12 月 13 日，FireEye 發布 SolarWinds 供應鏈攻擊的通告，作為美國本地的網絡管理供應商 SolarWinds，其 IT 監控和應用程序管理軟件 Orion 的更新包中被黑客植入后門，受影響范圍極廣，包括眾多美國政府部門、

64、大學、全球 500 強企業。根據調查與統計，大約18000 個組織的網絡中存在惡意代碼，受害嚴重的組織約 50 個，包括美國國土安全局、美國能源部、微軟在內的眾多受害者進入應急響應狀態。2021 年 2 月，全球最大的國際航空業 IT 服務商 SITA 證實遭受了一次高度復雜網絡攻擊，位于美國亞特蘭大的旅客服務系統（SITA PSS，其功能是處理乘客信息）出現數據漏洞，多個航空公司的常旅客用戶數據泄露。圖 4.8供應鏈攻擊4.2.3極具危害性的供應鏈勒索攻擊勒索病毒的危害性不言而喻，2017 年“WannaCry”事件依然讓人后怕。當黑客通過破壞范圍極廣的供應鏈攻擊來散播勒索病毒時，造成的危害

65、不可估量。Kaseya 是一家管理軟件開發商，在全球的客戶超過 10000 家，這些客戶涉及銀行、貿易、金融等各類行業，旗下 VSA 是一款用于遠程網絡管理的運維軟件，為許多公司提供 IT 服務。2021 年 7 月 3 日，Kaseya VSA 服務器發布并推送了一個惡意的更新補丁，該補丁下發到 Kaseya 管理的服務器，導致數百個業務的上千個節點數據被加密，多個組織為了應急響應，被迫關閉業務，其中包括美國政府和 IT 巨頭微軟。此次攻擊利用 0Day 漏洞 CVE-2021-30116，其中包括 SQL 注入、身份驗證繞過、文件上傳三種攻擊方式，之后攻擊者向更新補丁中投放了一個名為 So

66、dinokibi 的勒索軟件，對更新補丁的目標執行數據加密操作。之后2021 安全事件響應觀察報告042APT 組織 Revil 在他們的門戶網站中宣布對此次事件負責，要求支付 7000W 美金的贖金便提供通用的解密器。4.9Kaseya 供應鏈攻擊事件4.2.4如何防范供應鏈攻擊供應鏈攻擊的防范，最關鍵的點應是處于“上游”的軟件開發商：1) 提高開發人員的安全意識，嚴格控制開發產品的代碼質量，持續檢測并修復存在的產品安全漏洞，將軟件的安全維護納入開發的生命周期。2) 明確內部的安全管理制度，對供應鏈各個環節設定合理且有效的供應鏈安全策略。3) 將產品的安全測試納入重點工作，對使用的開源組件進

67、行重點監控，選擇可信的、安全的第三方組件。4) 產品漏洞信息的收集跟蹤、補丁修復等應急響應工作應建立完善的機制，并為突發的攻擊事件指定響應流程。作為“下游”的產品使用者：1) 建立完整的供應鏈安全風險管理流程，對供應商進行安全評估，選擇可信的、具備完善的安全體系的供應商。2) 建立完善的威脅防護體系，應對突發的供應鏈攻擊事件，提升企業自身的響應和恢復能力。4.3人臉識別繞過帶來金融風險2021 年 2 月，綠盟科技 CERT 監測到多起仿冒銀行域名的短信釣魚事件，攻擊者利用釣魚收集用戶信息，結合人臉識別繞過等邏輯漏洞進行盜刷、轉賬等行為。其中釣魚劇本、域043新興技術帶來新的安全挑戰名解析地址

68、、攻擊手段和釣魚網站頁面高度相似，懷疑是同一撥黑產團伙所為。不法分子通過發送偽造的網站鏈接等，非法套取受騙者的個人信息，誘導受騙者通過不明鏈接上傳提供個人信息、賬戶信息、驗證碼、身份證照片、影像信息。圖 4.10短信釣魚頁面人臉識別的關鍵是通過對局部“細節”信息的充分收集，進而判斷出“整體”人臉的身份特征。當手機進行人臉識別時，會對這些特征點進行認證識別，從而判斷手機前的面孔是不是本人。用于識別人臉的部分特征點，通常是變化較小較為固定的區域，而通過大量地觀察并統計這些細微區域的視覺信息，就可以推斷出人臉的整體特征。圖 4.11人臉識別2021 安全事件響應觀察報告044人臉識別是基于面部的特征

69、點進行檢測。因此，只需將你的面部信息完全復制，從理論上說，就可以對你的設備進行解鎖。因此攻擊者可以通過將照片數據處理成視頻欺詐人臉識別系統。目前一般 APP 人臉識別分兩個步驟。步驟一：在本地實現活體識別，通過眨眼、低頭等指定活動校驗是否為活體。步驟二：取一張靜態照片上傳到服務器進行人臉特征比對。攻擊者可以通過修改移動端 APP 繞過步驟一，在步驟二上傳照片的時候 Hook，上傳受害人照片達到冒充身份的作用。將電信詐騙和人臉識別繞過技術相結合，攻擊者就突破了“人臉識別 + 手機號驗證”雙重防線，繞過重重驗證，獲取受害者的金融資產。除了短信釣魚外，還有在用戶使用某些娛樂性的換臉軟件、人像合成等小

70、程序的過程中，運營方會收集用戶的照片、面部特征，若保管不當或服務器被入侵，則會造成人臉數據泄露。 為防范人臉數據泄露風險，多個銀行針對人臉數據泄露風險發布了風險提示：“建議：從官方正規渠道下載軟件和應用；切勿通過不明鏈接上傳提供身份證照片、個人影像信息等；謹防冒充公檢法詐騙，對涉及到需要收集照片、面部特征或要求遠程人臉認證、屏幕分享等操作，提高警惕性；切勿輕易把手機交給他人操作，或把支付密碼、短信驗證碼等關鍵敏感信息泄露他人。一旦發現被騙，務必第一時間撥打銀行官網客服電話、當地派出所電話或 110 報警電話進行求證或舉報?！?.4車聯網安全和其中的數據安全風險隨著汽車智能化、網聯化程度加深，汽

71、車面臨的網絡安全風險不斷增大。新能源汽車的安全保障手段相對匱乏，安全技術能力十分不足，部分重要場景甚至為空白，已成為威脅國家安全的重要因素。新能源汽車由許多互聯的、基于軟件的 IT 部件組成，智能聯網系統在沿襲既有的計算和聯網架構同時， 繼承了這些系統 “天然的” 安全缺陷， 并且普遍缺乏有效的信息安全防護手段。汽車正逐漸成為網絡黑客入侵的熱門目標，汽車受到信息安全攻擊的威脅正逐步攀升。2020 年 5 月份，國內大量車主反映某新能源汽車 APP 大規模宕機，導致手機無法與車聯動，手機鑰匙失靈，導致無法獲取車輛信息，車內儀表盤、中控屏無法點亮。很多車主都處于盲目駕駛狀態。045新興技術帶來新的

72、安全挑戰圖 4.12新能源汽車網站異常除了安全漏洞帶來的風險，車聯網存在的跨境數據安全問題也需要重視。比如特斯拉汽車等有自動駕駛功能的汽車，具有多種形態的傳感器裝置，而車輛行駛中獲得的道路高精度測繪數據，與國防等領域息息相關，應得到嚴格監管。新能源汽車企業作為國家交通信息的收集者、傳遞者與承載者，如果信息泄露，將危害國家、個人、企業數據安全。特別是涉及國家交通設施的戰略敏感數據和重要人物數據，假如被惡意勢力獲得將造成嚴重的后果。車輛行駛、道路測繪等數據的不可控，甚至會影響到國家安全。05安全漏洞變化趨勢047安全漏洞變化趨勢5.1安全漏洞趨勢分析5.1.1漏洞總體態勢根據 NVD 數據庫已收錄

73、的公開發布漏洞數目進行觀察，截至 2021 年 12 月 31 日，2021年新增加的漏洞數量為 19780 個1，相比 2020 年呈上升趨勢。圖 5.1歷年漏洞數量統計截止 2021 年 12 月 31 日共有 19520 個漏洞分配 CVSS 3.1 等級。根據 CVSS 3.1 標準，漏洞等級被劃分為四級， 9.0-10.0為危急漏洞， 7.0-8.9為高危漏洞， 4.0-6.9為中危漏洞， 0.1-3.9的則為低危漏洞，各個等級按數量分布的占比如圖所示。1該漏洞數量包含了在 2021 年內新增的往年漏洞數據2021 安全事件響應觀察報告048圖 5.2漏洞 CVSS3.1 按數量分布

74、危急漏洞占比 13.05%，高危漏洞占比 42.56%，兩者占比達到 55.61%，攻擊者利用此類漏洞可以遠程執行任意命令或者代碼，有些漏洞甚至無需交互就可以達到遠程代碼執行的效果。受疫情起伏等因素影響，2021 年上半年披露漏洞數較少，下半年漏洞數量有所增加。圖 5.3 2021 年各月漏洞披露數量NVD 數據庫提供 CWE 條目，可對漏洞成因進行統一的分析，并且一個漏洞可分配多個CWE ID。2021 年收錄的漏洞中，共分配了 19992 個 CWE ID，下圖給出了 TOP10 CWE 漏洞類型。049安全漏洞變化趨勢圖 5.42021 年 TOP10 漏洞類型其中跨站腳本 (CWE-7

75、9) 類型的漏洞數量最多?？缯灸_本漏洞主要是由于 Web 應用程序對用戶的輸入沒有進行嚴格的過濾所導致的，攻擊者利用此類漏洞可以將惡意的 JS 或 HTML代碼注入到用戶瀏覽的網頁上。排名第二的漏洞類型為越界寫入（CWE-787），又稱為緩沖區溢出，軟件在預期緩沖區的末尾或開頭之前寫入數據，會導致數據損壞、崩潰或代碼執行。5.1.2高齡漏洞仍然活躍根據綠盟科技威脅情報中心監測到的安全事件，綠盟科技整理出了 2021 年告警中與漏洞利用相關的攻擊事件，提取了告警數量比較高的 10 個漏洞信息，如表所示。表 5.12021 年漏洞利用告警數量 TOP10漏洞編號漏洞名稱告警數量MS17-010wi

76、ndows MS17-010 系列漏洞掃描攻擊8265202CVE-2016-7288microsoft edge 遠程內存破壞漏洞 (ms16-145)6442952CVE-2017-0144windows smb 遠程代碼執行漏洞 (MS17-010)1877732CVE-2016-0800openssl sslv2 弱加密通信方式易受 drown 攻擊1759425CVE-2014-6271gnu bash 環境變量遠程命令執行漏洞 (cve-2014-6271)707579CVE-2017-5638struts2 遠程命令執行漏洞 (s2-045)(s2-046)536958CNNVD

77、-201211-555fckeditor fileupload()函數任意文件上傳漏洞511677CVE-2016-6277netgear dgn1000b setup.cgi 遠程命令注入漏洞461292CVE-2018-10561/10562gpon home gateway 遠程命令執行漏洞442892CVE-2008-2214castle rock computing snmpc 超長團體字符串棧溢出漏洞421839從表中數據可以發現，10 年以上的高齡漏洞仍然在活躍，說明互聯網上依然存在著大量長期未更新的軟件和系統，如物理隔離環境下的內網中，就可能存在沒有及時更新補丁或版本的核心系統

78、、數據庫等系統和軟件，攻擊者一旦進入內網就可以利用這些成熟的漏洞利用2021 安全事件響應觀察報告050程序發起有效的攻擊。根據監測到的漏洞利用事件，綠盟科技統計了常見的攻擊類型，如圖所示，TOP3 攻擊類型為 CGI 攻擊、畸形攻擊以及溢出攻擊。圖 5.5漏洞利用攻擊類型統計5.1.3Web 服務是攻擊重點服務器漏洞主要為服務器上的系統服務與程序，用于支撐或提供網絡管理與實際業務。服務器類型主要包含 Web 服務器、掃描服務器、Windows 服務器、DNS 服務器中、數據庫服務器、郵件服務器等。根據綠盟威脅情報中心監測到的數據，統計了各類服務在漏洞利用中的占比，如圖所示。其中 Web 服務

79、器受到的攻擊是最多，占比 68.14%。圖 5.6 服務器漏洞利用統計綠盟科技對具體的服務類型進行統計，統計數據為各服務類型的漏洞利用數量相加，統計結果如圖所示。從圖中可以看到漏洞利用最多的服務是 CGI（Common Gateway 051安全漏洞變化趨勢Interface，公共網關接口）。CGI 是 Web 服務器與外部應用程序之間交換數據的標準接口。CGI 漏洞主要是由于配置錯誤、輸入驗證錯誤、邊界條件錯誤等引起的，攻擊者利用此類漏洞可以進行信息泄露、代碼執行等操作。圖 5.7TOP10 漏洞利用服務類型5.1.4瀏覽器漏洞利用大幅提升常見的應用軟件包括瀏覽器、Office 辦公軟件、F

80、lash 播放器、PDF 閱讀器以及移動終端軟件等。 綠盟科技統計了各類應用軟件在漏洞利用中的占比， 如圖所示。 攻擊者利用釣魚郵件，通過惡意鏈接、惡意附件的形式投遞惡意程序，在用戶點擊相關資源時，對應程序的漏洞會被觸發，最終導致感染和信息泄露。瀏覽器作為攻擊的入口在實際利用中深得攻擊者的關注，在實際網絡攻擊中達到了 83.51% 的比例，遠超 2020 年的 48.54% 比例。圖 5.8應用軟件漏洞利用分布2021 安全事件響應觀察報告052瀏覽器的漏洞中告警最多的應用是微軟的 Edge 瀏覽器，相關的漏洞有 CVE-2016-7288、CVE-2016-0193 等，大都由 Edge 處

81、理內存對象不當觸發的，攻擊者利用這些漏洞可達到任意代碼執行的目的。Flash 漏洞在實際利用中的占比持續下降，2021 年更是下降至 0.19%，隨著 Adobe 對Flash 插件的淘汰，各大廠商都對其采取了一系列的封殺機制，在今后的一段時間內，Flash的漏洞利用將面臨消亡。5.2重要安全漏洞盤點5.2.1框架組件使用危機四伏，供應鏈攻擊需重視許多應用系統基于開源或商業化的框架組件進行開發，因此當某些主流的框架爆出存在安全漏洞時，實際影響會非常廣泛，如 Fastjson 和 shiro、Chromium 等；如 2021 年Chrome 的兩個 RCE 漏洞，存在漏洞的 Chromium

82、內核間接影響了 Microsoft Edge 和微信客戶端等廣泛使用的應用，可利用的方式和環節多樣，易造成軟件供應鏈攻擊。而前述（4.2.1）中提到的 log4j 漏洞事件在 2021 年末引發了安全和 IT 行業的軒然大波，受影響的軟件廠商眾多，引起對供應鏈安全的深入思考與擔憂。5.2.2安全產品成為漏洞重災區與突破口隨著對安全的日益重視，各企業在各個節點部署的安全設備增加，導致安全設備成為了攻擊者重視的突破口。安全設備可以抵御來自外部的威脅，但安全產品自身也是由代碼開發而成，不可避免也會產生漏洞。2021 年存在眾多安全產品被爆出漏洞，如防火墻、堡壘機、VPN、EDR 等，尤其低版本大多已

83、經退市不在廠商維護范圍，導致安全性問題和策略配置更新得不到及時解決，在安全設備出現問題時采取下架的“一刀切”方式進行處置是因噎廢食的行為，安全廠商應更加重視平日的安全建設與產品維護，提升自身產品的安全性和持續化發展。5.2.3辦公系統漏洞突出，安全開發不可忽視目前國內大部分廠商沒有健全的漏洞管理機制，缺乏正式的漏洞收錄渠道與征集獎勵計劃，開發的系統產品均有被爆出安全漏洞，無法及時進行修復并對外發布安全風險通告，相053安全漏洞變化趨勢關用戶很難有效對 0day 進行檢測和防護，且廠商在產品需求設計和開發測試階段未引入安全開發生命周期（SDL），企業漏洞預防、檢測和修補的成本隨時間發展日漸偏高。

84、5.2.4Weblogic 漏洞熱度不減，Exchange 受到攻擊者青睞Oracle 公司旗下的 Weblogic 是商業市場上主要的 Java 應用服務器軟件之一，也是世界上第一款成功商業化的 J2EE 應用服務器。作為一款成熟的知名產品，每年也會出現各種安全漏洞，這些漏洞不僅容易被攻擊者利用，近幾年也受到挖礦木馬所青睞。2021 年 Weblogic Server 的漏洞中，有以下重點需關注。表 5.2Weblogic Server 重點漏洞名稱編號WLS 核心組件漏洞CVE-2021-35617Coherence 組件漏洞CVE-2021-2376CVE-2021-2378WLS 核心

85、組件漏洞CVE-2021-2109WLS Console 組件漏洞CVE-2021-1994CVE-2021-2047CVE-2021-2064CVE-2021-2108CVE-2021-2075針對 WebLogic 服務器，可參考以下幾點安全建議進行防護。1. 關注 Oracle 安全公告頁面，及時下載受影響產品更新補丁，并參照補丁安裝包中的readme 文件進行安裝更新。2. 為 console 控制臺設置強壯的密碼。3. 涉及 T3 協議的漏洞，可考慮開啟訪問限制，Weblogic Server 提供了名為 .ConnectionFilterImpl 的默認連接篩選器，此連接篩選器接受

86、所有傳入連接，可通過此連接篩選器配置規則，對 T3 及 T3s 協議進行訪問控制。4. 涉及 IIOP 協議的漏洞，可考慮關閉 IIOP 協議，在 console 控制臺 AdminServer 中取消啟用 IIOP 選項。在 2021 年微軟安全更新中，共修復了 Exchange Server 的 32 個漏洞，包括信息泄露、權限提升、遠程代碼執行等類型的漏洞，對其中的 10 個漏洞進行了預警2021 安全事件響應觀察報告054表 5.3Exchange Server 重點漏洞Exchange Server 遠程代碼執行漏洞（CVE-2021-42321）Microsoft Exchange

87、 Server 遠程代碼執行漏洞 （CVE-2021-34473）微軟 Exchange 多個高危漏洞（CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065,CVE-2021-26412,CVE-2021-26854,CVE-2021-27078）Exchange Server 代碼執行漏洞（CVE-2021-28480/CVE-2021-28481/CVE-2021-28482/CVE-2021-28483）Exchange Server 安全功能繞過漏洞（CVE-2021-31207）Microsoft Exchange S

88、erver 遠程代碼執行漏洞（CVE-2021-34473）Microsoft Exchange Server 權限提升漏洞（CVE-2021-34523）Exchange Server 遠程代碼執行漏洞（CVE-2021-31206）Microsoft Exchange Server 遠程代碼執行漏洞（CVE-2021-26427）Microsoft Exchange Server 遠程代碼執行漏洞（CVE-2021-42321）Exchange Server 遠程代碼執行漏洞（CVE-2021-42321）5.2.5Windows 系統漏洞高居不下Windows 作為應用最廣泛的操作系統，

89、也是微軟安全漏洞數量最多的產品，雖在 2021年數量有所回落，但仍占據主導地位。圖5.9Windows漏洞數量變化055安全漏洞變化趨勢在 Windows 各個版本中，Windows 10 仍然是披露漏洞數量最多的版本。表 5.4Windows 各版本系統漏洞數年份2018 年2019 年2020 年2021 年Windows 72440611Windows 10249422769485Windows 200812169Windows 201214612Windows 201601145.2.6Nday 漏洞不容忽視，易被攻擊者作為突破口在實際網絡安全環境中黑客手中的“武器庫”不僅僅會有 0d

90、ay 漏洞，往往還集成了很多早已披露的 Nday 漏洞的利用手段，這些漏洞利用代碼雖然不再像 0day 時那樣可以一擊致命，卻可以在黑客攻城略地時大規模利用。Nday 漏洞在攻擊事件中占主要比重，由于攻擊門檻低被大量使用，老舊的和被忽視的漏洞對攻擊者來說仍然非常有價值，它們提供了進入目標環境的廉價而高效的入口點。比如 17年的 MS17-010、S2-045 至今仍在發揮著“余熱”。Nday 漏洞利用攻擊事件往往是由于用戶缺乏安全意識，沒有更新或者安裝官方的補丁，導致黑產從業者可以輕松地通過網上公開的漏洞利用代碼進行攻擊，攻擊成本較低，造成危害較大。對于攻擊者而言，只要一定比例的用戶未修復漏洞

91、，那么這種利用漏洞進行攻擊就是有收益的。防護網絡安全事件是一個跟黑客賽跑的過程。只要搶占先機，在攻擊者利用漏洞攻擊前修復漏洞，就可以有效防止此類攻擊。而搶占先機的前提就是關注廠商發布的漏洞和事件預警，在第一時間做好防范工作?！巴鲅蚨a牢，未為遲也”，及時修復陳舊漏洞，可以極大的降低網絡安全風險5.3法律法規落地規范漏洞管理安全漏洞作為網絡攻防對抗的重要基礎要素， 各行業相繼開展針對漏洞相關的管理工作，在網絡風險管理工作中，漏洞管理能夠防患于未然。而隨著網絡形勢和攻防技術的發展，傳統不完善的漏洞管理方式開始面對越來越多的挑戰。2021 安全事件響應觀察報告056工業和信息化部、 國家互聯網信息辦

92、公室、 公安部聯合印發 網絡產品安全漏洞管理規定（以下簡稱規定）已于 2021 年 9 月 1 日起施行。規定的發布對于安全漏洞的發現、報告、修復、收集等多個行為進行了規范和約束，能夠促使網絡安全行業更快更健康的發展，同時也說明了國家對于網絡安全的重視程度。以網絡安全法為依據，規定將會推動網絡產品安全漏洞管理工作的制度化、規范化、法治化，提高相關主體漏洞管理水平。06安全事件專題2021 安全事件響應觀察報告0586.1釣魚郵件專題6.1.1針對城市商業銀行用戶的精準短信釣魚綠盟科技 CERT 在 2021 年 2 月起監測到多起仿冒銀行域名的短信釣魚事件，被釣魚的受害者收到短信稱手機銀行即將

93、過期或賬戶即將凍結，短信中附帶仿冒的釣魚網站域名。釣魚網站與真實銀行網站高度相似， 網站頁面誘導用戶輸入身份證號、 個人網銀登錄密碼、 手機號、短信驗證碼、支付密碼等敏感信息。圖 6.1釣魚短信根據釣魚短信中的域名信息，發現釣魚攻擊者注冊了大量域名，如 9xxxxaa.cc、、 等，域名每隔一段時間就會更換一批，對域名反查發現 ip 地址均為境外地址。域名對應的內容均為各銀行的偽造頁面，如圖所示：圖 6.2偽造 A 銀行圖 6.3偽造 B 銀行059安全事件專題釣魚網站后臺會將用戶輸入信息通過銀行接口進行校驗，并根據校驗結果，反饋不同的下一步釣魚頁面。 身份信息驗證通過， 會跳轉頁面要求輸入身

94、份證號、 交易密碼和手機驗證碼；身份驗證結果超時，會跳轉要求等待的頁面；身份驗證不通過，則返回錯誤信息。其中短信驗證碼為攻擊者利用賬戶登陸銀行后，銀行發送的真實驗證碼。受害者輸入短信驗證碼后，攻擊者就可完成手機銀行轉賬操作，轉走賬戶資產，而釣魚網站會跳轉到“賬戶激活中”的頁面。圖 6.4偽造銀行登錄接口圖 6.5偽造激活界面，實際上已攻擊完成2021 安全事件響應觀察報告0606.1.2釣魚劇本6.1.2.1服務升級類劇本此類釣魚事件中， 攻擊者利用用戶升級相關產品功能或者服務的訴求誘使點擊釣魚鏈接。圖 6.6偽造的產品升級郵件6.1.2.2工作安排相關劇本利用客戶對于工作相關的重要安排的高度

95、關注， 發送相關的通知進行釣魚。圖 6.7偽造的工作安排郵件061安全事件專題6.1.2.3劫持郵件收發流，中間人釣魚攻擊在某企業遭遇中間人釣魚攻擊，攻擊者通過社工和弱口令爆破，拿到了前置郵件，注冊了相似的郵箱后綴做了一個偽造的域名和回復，開始雙向欺騙，并在中間一次通信中替換了付款賬號，導致出現資金損失。6.2黑鏈案例專題6.2.1背景介紹綠盟科技在對某學校的應急事件支持中，發現在移動端通過搜索引擎搜索官網，搜索結果頁面會跳轉到非法網站；而直接在瀏覽器里輸入學校官網域名或者 pc 端訪問官網則不會發生跳轉。經過分析發現該學校服務器受到黑客入侵。6.2.2應急過程攻擊者篡改了網站服務器的相關文件

96、，對訪問網站的數據包進行了判斷，如果數據包來自搜索引擎的結果且 UA 是移動端，則跳轉到非法網站，判斷的依據是數據包中的 Referer 頭部和 UA。通過 UA 設置為 Android 復現了暗鏈。圖 6.8更新打碼網站域名2021 安全事件響應觀察報告062由于該網站使用了框架，經過測試，只有特定的 URL 才會觸發暗鏈。在直接訪問自寫的phpinfo 頁面時，并不會出現暗鏈。修改會觸發暗鏈的 URL 為不存在的目錄時，不會觸發。說明掛暗鏈大概率不在系統層、不在中間件層、不在解釋器層，于是重點排查 web 層。直接訪問系統原有的 php 文件（帶上觸發暗鏈的參數），暗鏈出現，說明極大可能暗

97、鏈掛載 php引用文件中。圖 6.9黑鏈暗鏈排查思路 在 php 引用文件 configs/system.php 中存在如下掛鏈代碼：圖 6.10掛鏈代碼經排查攻擊者利用管理員賬號弱口令進入網站后臺，在后臺的網站模板上傳處利用商城漏洞成功寫入 webshell 和掛鏈代碼。063安全事件專題6.2.3安全建議1. 所有管理員修改口令且設置強密碼2. 管理員后臺僅內網可訪問3. 與開發單位聯系，將程序升級到最新4. 在 /var/www/html/uploadfile/ 目錄下設置 .htaccess 文件防止目錄內 php 文件被訪問執行5. 增加安全防護設備，例如 waf、防篡改設備等。防篡

98、改設備能有效監測和還原主站、主頁的篡改行為。提升預警能力，盡早發現問題，有效對抗入侵事件。6. 定期從各個維度 （例如IP、 UA、 時間等等） 監控各個主站、 各業務入口點、 重點功能頁面。及時發現頁面異常行為，例如不正確的跳轉、重定向，非正常的彈框、系統調用等等。7. 定期使用搜索引擎對網站進行搜索測試， 通過組合常見黑帽SEO關鍵詞 （例如：彩票、開獎等等）進行搜索，觀察是否有精確匹配的結果返回。同時在結合快照查看目標域名下是否有非法內容出現。6.3挖礦事件案例6.3.1事件概述2021 年 6 月，綠盟科技收到北京某公司安全事件應急，有部分測試服務器存在異常進程，大量占用 CPU 資源

99、，根據現場了解情況初步判斷為 XMRig 虛擬挖礦事件。6.3.2排查過程192.*.*.131 服務器排查首先查看了歷史日志記錄及新建用戶信息，未發現異常。在查看定時任務時，發現系統新增了一條任務，不斷的下載 ltd 服務器中的 sh 批處理腳本，并且通過安裝 crontab 定時任務和系統初始化腳本進行本地持久化：圖 6.11crontab 計劃任務2021 安全事件響應觀察報告064對定時執行的腳本文件進行分析，具體動作如下：檢測主機上是否存在其他的挖礦病毒，存在直接 kill 掉釋放內存，為自己的病毒文件騰出空間。圖 6.12kill 其他挖礦病毒進程下載采用 XMRig 編譯的挖礦木

100、馬 hxxp:/w.apacheorg.top:1234/.libs。圖 6.13下載 XMRig 挖礦程序新建計劃任務目錄寫入定時任務每分鐘訪問 http:/$url/xmss|wget 下載腳本文件，并賦予最高權限，通過創建 crontab 定時任務持久化。圖 6.14修改 crontab 實現持久化065安全事件專題修改 ssh 公鑰，hosts 文件，dns 等。圖 6.15 修改系統文件利用下載的運行端口掃描程序掃描內網 SSH 的 22 端口并進行爆破和漏洞攻擊在內網進行橫向移動。圖 6.16ssh 爆破通過 Linux 動態鏈接庫 LD_PRELOAD 劫持加載惡意 .so 文件

101、 libs.so，libs.so hook readdir 函數對指定進程進行隱藏。圖 6.17實現 LD_PRELOAD 劫持2021 安全事件響應觀察報告066被控制機器反彈 shell 連接到控制端 198.46.202.146:8899圖 6.18反彈 shell最后下載挖礦程序并執行，通過 nohup 實現病毒后臺持續運行狀態。IP：192.*.*.164 服務器排查top 命令查看程序占比：發現 xmrig 程序占 99.3%，為挖礦程序圖 6.19挖礦程序進程占用6.3.3安全建議1. 定期監控內網的系統流量，查看是否有惡意的攻擊流量等，可對可疑行為進行安全排查，保障系統的安全運

102、營；2. 在 WAF 上進行策略等調整，保障安全設備的更新升級，進一步保障系統的安全運營；3. 建議測試服務器禁止對外發布任何可利用的端口，做好嚴格的安全防護策略；4. 修改 ssh 默認端口，增加 root 密碼強度，謹慎使用免密登錄；067安全事件專題5. 嚴格做好白名單限制，未經允許無法訪問系統；6. 增加測試業務日志審計及設備監控能力。6.4REvil 勒索案例6.4.1背景介紹2021 年 5 月起，綠盟科技 CERT 監測到多起 REvil/Sodinokibi 勒索家族的活動，REvil 為Ransomware Evil（又稱 Sodinokibi）的縮寫，是一個私人勒索軟件即服

103、務（RaaS）組織。于 2019 年 4 月首次被發現，在一年內就已被用于一些知名網絡攻擊。圖 6.20Sodinokibi 勒索信6.4.2勒索病毒組織分析REvil 運營商通常雇用攻擊者進行初始入侵。他們的攻擊往往從熟悉的技術開始，如帶有魚叉式釣魚鏈接或附件的惡意郵件、使用有效賬戶的 RDP 訪問、已被入侵的站點網站和漏洞利用。并且還會使用一些對目標具有針對性的技術。作為一個勒索軟件即服務組織， 意味著分發的攻擊者將向運營商支付最新版本的使用費，并由勒索組織為他們運營基礎設施。在 REvil 的配置中有兩個字段，將跟蹤客戶端和部署勒索軟件期間的特定客戶端活動。6.4.3勒索程序分析REvi

104、l 不具備自動傳播功能，主要依靠攻擊者手動傳播，但會通過掃描局域網共享資源，嘗試加密共享文件。勒索病毒團伙對特定目標進行長期滲透，獲取內網權限并控制關鍵生產設施（例如域控主機），然后通過特定方式（例如域策略、PsExec 遠程連接執行等）在內網2021 安全事件響應觀察報告068中傳播加密病毒主體程序。在入侵過程中，攻擊者用的了很多類似 APT 組織的手段，如利用CobaltStrike 等遠控木馬長期駐留、收集敏感文件、白加黑實現勒索病毒免殺等。某案例中，攻擊者通過 powershell 命令禁用 Windows Defender 的實時保護：圖 6.21通過 powershell 命令禁用

105、實時保護通過共享拷貝及 wmic 命令，將勒索病毒樣本拷貝到目標主機并執行：圖 6.22通過 wmic 命令實現樣本傳播或者通過域控下發組策略的方式，將勒索病毒樣本拷貝到終端并執行。勒索病毒本體具有有效數字簽名，并采用了白加黑方式，躲避殺毒軟件查殺。圖6.23采用白加黑的方式躲避殺軟069安全事件專題攻擊者還會使用 powershell 或 MSBUILD 命令執行文件加載 CobaltStrike 遠控木馬以實現長期權限維持。圖 6.24通過 powershell 加載執行 CobaltStrike 木馬病毒本身不具備系統駐留功能， 不會讀寫被加密終端的任何啟動項。 但在一些案例中發現，部分

106、攻擊者通過批處理的方式新建定時計劃任務來不斷啟動加密程序，以便達到感染新文件、新存儲介質的目的。圖 6.25創建計劃任務定時啟動勒索程序REvil 家族在滲透的過程中除了投放勒索病毒，還會將被攻擊系統文件收集上傳。某案例中，勒索信提到“我們還從您的服務器下載了大量敏感數據，如果您不付款，我們將會把您的文件上傳到我們的公共博客”。圖 6.26勒索信中表明 REvil 竊取了用戶數據2021 安全事件響應觀察報告070竊取數據功能是通過 users.ps1 腳本實現。通過 psexec 工具，利用通用口令，批量將users.ps1 拷貝到目標主機。圖 6.27批量傳播 users.ps1 腳本通過

107、 psexec 命令，批量執行拷貝到目標主機的 users.ps1 文件圖 6.28批量執行 users.ps1 腳本攻擊者會通過 powershell 腳本搜集上傳敏感文件。腳本作用為：收集目標主機 120 天內創建的指定后綴文件，并上傳到目標主機共享目錄：圖 6.29將指定后綴文件上傳到目標主機071安全事件專題通過注冊表信息，確認攻擊者是安裝了 TntDrive 客戶端，并將云存儲對象掛載到本地磁盤 U( 即攻擊者上傳文件的共享目錄 )：圖 6.30TntDrive 客戶端注冊表6.4.4安全建議1. 加強企業員工安全意識培訓，不輕易打開陌生郵件或運行來歷不明的程序；2. 危險端口避免對

108、外開放，利用 IPS、防火墻等設備對危險端口進行防護（445、139、3389 等）；3. 開啟 Windows 系統防火墻，通過 ACL 等方式，對 RDP 及 SMB 服務訪問進行加固；4. 通過 Windows 組策略配置賬戶鎖定策略，對短時間內連續登陸失敗的賬戶進行鎖定；5. 加強主機賬戶口令復雜度及修改周期管理，并盡量排除出現通用或規律口令的情況；6. 安裝具備自保護的防病毒軟件，防止被黑客退出或結束進程，并及時更新病毒庫7. 定時對重要業務數據進行備份，防止數據破壞或丟失。6.5仿冒網站詐騙事件6.5.1事件概述某信托公司收到客戶反映登錄了相關理財服務的仿冒網站， 經過對仿冒網站的

109、研究發現，詐騙手段是通過一個仿制的 iOS 系統 App 下載頁面，提供了假冒該信托 App 的軟件進行下載，誘導用戶對偽造的理財產品進行充值轉賬操作。2021 安全事件響應觀察報告0726.5.2信息收集嘗試訪問釣魚網站明顯為一個仿制 iOS 系統 App 下載頁面，提供了“XX 信托”App 進行下載：圖 6.31仿制 iOS 系統的下載界面針對網站進行目錄掃描，發現以下信息：前臺地址（http:/ V5.0.22；通過端口掃描，發現網站開放 80、443 等端口。6.5.3釣魚網站滲透反制針對釣魚網站進行漏洞挖掘，發現一個后臺弱口令賬號，根據網站功能判斷，該賬號疑似為“代理商”的帳號。登

110、錄后臺，在“后臺 用戶管理 客戶列表”功能中發現疑似受害者的手機號“后臺 報表管理 個人報表”功能中發現疑似流水信息：073安全事件專題圖 6.32疑似流水信息再通過后臺弱口令賬號登錄前臺：在“前臺 資產 入金 USDT 入金”功能中發現一個USDT（一種數字貨幣，泰達幣）地址：0xd9262554c7966032E6fD7C6eABED2BE48E5c4D4C。前面針對釣魚網站進行信息收集時，發現網站使用的開發框架為：ThinkPHP V5.0.22，該版本存在 RCE 漏洞。構造 payload 成功獲取詐騙網站的服務器權限。在經過對服務器內信息的收集和分析，得到了后臺數據庫密碼。通過獲取

111、到的數據庫連接密碼，連接數據庫，“后臺 產品管理 產品列表”功能，明顯為偽造的相關理財產品：圖 6.33偽造理財產品2021 安全事件響應觀察報告074“后臺 訂單管理 交易記錄”功能，疑似為受害者的交易記錄：圖 6.34疑似受害者交易記錄“后臺 用戶管理 充值列表”功能，疑似為受害者被騙金額：圖 6.35疑似受害者被騙金額075安全事件專題6.5.4安全建議在各類投資詐騙中，詐騙犯們常常借助各大知名銀行、券商基金等機構的品牌效應，散播類似的假冒偽劣 App 或投資平臺。對于這類網絡詐騙，最根本的預防手段是要提高警惕，在登錄相應網站時仔細核對，不給釣魚網站可乘之機。不要輕信來歷不明的信息，登錄

112、不熟悉的網站，謹防電信詐騙。07安全建議077安全建議我們通過對大量安全事件源頭進行分析，發現絕大多數的事件均與企業的網絡安全基礎防護與管理制度有關，由此我們整理了以下安全防護建議，可供參考：1) 人員安全意識培養有研究報告顯示，網絡攻擊源頭有六成左右是來自企業內部，而絕大部分內部攻擊則是由于員工被外部攻擊者利用、控制導致。在信息技術高度發達的今天，攻擊者可攻擊的途徑包括：釣魚郵件、水坑網站、手機短信、社交軟件、公共 Wi-Fi 等，企業可通過定期的安全意識培訓、應急演練，對全員的安全防范意識水平進行檢驗。2) 加強口令復雜度管理弱口令是一個老生常談的問題，是最容易被企業忽視，同時也是最受攻擊

113、者青睞的漏洞。對于企業所有 IT 資產均需要制定并執行統一的口令復雜度配置標準，避免出現弱口令、通用口令或規律口令，企業可通過制定相關安全規范、業務上線流程、基線配置核查等多種手段進行規避。3) 定期做好重要數據備份近年來，勒索軟件作為一種直接利益驅使的攻擊手段，由于其具有攻擊效果顯著、攻擊成本低、交易匿名性等特點，使它備受攻擊者青睞。同時由于其傳播渠道眾多，企業或個人在做好基礎安全防護的同時，數據備份則是最行之有效的對抗方案，企業可通過私有云、存儲設備、網絡同步等方式，定期對重要業務數據進行備份并妥善保管。4) 加強漏洞生命周期管理網絡攻擊手段和安全漏洞公布可以用日新月異來形容，這也是網絡安

114、全區別于一些傳統行業的顯著特征。 企業應將漏洞管理作為一項持續化、 日?；墓ぷ?， 并制定詳細流程， 包括：開發規范、漏洞獲取、漏洞排查、漏洞修復、漏洞驗證等，同時還應定期通過灰盒安全測試，主動發現系統、應用及網絡中存在的安全漏洞隱患。5) 加強網絡邊界資產管理我們在多個典型安全事件案例中發現，攻擊者通過攻擊網絡邊界資產，并以此為跳板對內部網絡進行了橫向擴展攻擊，最終造成了重大影響。企業網絡邊界資產由于部分業務暴露在互聯網，往往會被攻擊者作為突破企業安全防護的首要目標。企業可通過安全域劃分、防火墻 ACL 細化、應用漏洞防護等手段加強網絡邊界管理。2021 安全事件響應觀察報告0786) 互聯

115、網敏感信息泄露排查信息收集作為黑盒測試流程中的重要一環， 對安全測試的最終結果起著至關重要的作用。攻擊者除了會利用搜索引擎、大數據收集目標企業互聯網暴露資產外，還會通過網盤、文庫、Github 等渠道收集泄露的敏感信息，如：郵箱口令、數據庫配置、應用系統源碼等。企業應建立起長效機制，在通過管理制度約束員工行為的同時，還需要通過技術手段，監測互聯網敏感信息的暴露。7) 關注供應鏈攻擊安全風險供應鏈攻擊作為一種高度隱蔽的攻擊方式，最終可能影響數十萬甚至上億的目標用戶。企業面對的供應鏈風險主要存在于設備采購、軟件開發、產品交付、系統運維等多個階段，IT 供應鏈安全是一套涉及面廣且復雜的體系，在任何一

116、個階段出現問題勢必會影響供應鏈上下游安全，企業應通過建立產品采購及供應鏈廠商管理制度、建立健全應用開發生命周期安全管理制度、建立上下游安全威脅通報機制等多種手段，及時掌握應用及產品安全風險，提升溝通協調及應急處置效率。8) 部署威脅溯源審計平臺單點部署的安全設備，由于無法做到統一管理分析，往往無法及時發現有效攻擊事件，同時在事后由于缺失日志、樣本等關鍵數據，無法做進一步溯源分析。對于安全防護要求較高的業務系統，可通過部署態勢感知平臺，結合威脅情報數據，及時發現惡意網絡攻擊，此外全流量存儲分析平臺，可為企業提供未知攻擊捕獲及安全事件攻擊溯源能力。079附錄一附錄一GBT20986-2007 信息

117、安全事件分類分級指南事件分類事件子類MI- 有害程序事件（Malware Incidents）CVI- 計算機病毒事件（Computer Virus Incidents）WI- 蠕蟲事件（Worms Incidents）THI- 特洛伊木馬事件（Trojan Horses Incidents）BI- 僵尸網絡事件（Botnets Incidents）BAI- 混合攻擊程序事件（Blended Attacks Incidents）WBPI- 網頁內嵌惡意代碼事件（Web Browser Plug-Ins Incidents）OMI- 其它有害程序事件NAI- 網絡攻擊事件（Network Att

118、acks Incidents）DOSAI- 拒絕服務攻擊事件（Denial of Service Attacks Incidents）BDAI- 后門攻擊事件（Backdoor Attacks Incidents）VAI- 漏洞攻擊事件（Vulnerability Attacks Incidents）NSEI- 網絡掃描竊聽事件（Network Scan & Eavesdropping Incidents）PI- 網絡釣魚事件（Phishing Incidents）II- 干擾事件（Interference Incidents）ONAI- 其他網絡攻擊事件IDI- 信息破壞事件（Informa

119、tion Destroy Incidents）IAI- 信息篡改事件（Information Alteration Incidents）IMI- 信息假冒事件（Information Masquerading Incidents）ILEI- 信息泄漏事件（Information Leakage Incidents）III- 信息竊取事件（Information Interception Incidents）ILOI- 信息丟失事件（Information Loss Incidents）OIDI- 其它信息破壞事件ICSI- 信息內容安全事件（Information Content Securi

120、ty Incidents）FF- 設備設施故障（Facilities Faults）SHF- 軟硬件自身故障（Software and Hardware Faults）PSFF- 外圍保障設施故障（Periphery Safeguarding Facilities Faults）MDA- 人為破壞事故（Man-made Destroy Accidents）IF-OT- 其它設備設施故障DI- 災害性事件（ Disaster Incidents）OI- 其他事件（ Other Incidents）來源：GBT20986-2007 信息安全事件分類分級指南http:/ 安全事件響應觀察報告080附

121、錄二綠盟科技事件分類方法安全事件分類事件分類事件分類事件簡述有害程序事件勒索軟件大量文件被加密修改為某特定后綴名，且存在勒索提示信息文件虛擬挖礦利用主機資源進行虛擬幣挖礦牟利，CPU 資源占用情況存在異常蠕蟲病毒感染具備橫向傳播特征的惡意程序，其他正常主機存在被感染風險僵尸網絡利用僵尸工具軟件，形成僵尸網絡而導致的信息安全事件木馬程序受到木馬程序影響而導致的信息安全事件網絡攻擊事件拒絕服務攻擊相關資產遭受惡意 DDoS 拒絕服務攻擊，導致業務系統無法正常訪問后門事件利用后門對信息系統實施攻擊的信息安全事件漏洞攻擊利用信息系統配置缺陷、協議缺陷、程序缺陷等漏洞對信息系統實施攻擊的信息安全事件掃描

122、事件利用網絡掃描獲取信息系統網絡配置，端口、服務、存在的脆弱性等特征而導致的信息安全事件釣魚攻擊事件通過郵件、短信、社交 APP 等，收到釣魚攻擊的 URL 鏈接或可疑文件信息破壞事件黑鏈暗鏈通過搜索引擎檢索相關域名，發現大量惡意的推廣性質 SEO 關鍵字信息泄露因誤操作或信息系統缺陷導致信息系統中敏感信息泄露的信息安全事件信息丟失因誤操作或信息系統缺陷導致信息系統中敏感信息丟失的信息安全事件數據篡改利用信息系統缺陷惡意篡改數據，破壞數據完整性的安全事件網頁篡改利用信息系統缺陷惡意篡改發布未經授權內容的信息安全事件設備設施故障由于信息系統自身故障或外圍保障設施故障而導致的信息安全事件信息內容安全事件利用信息網絡發布、傳播危害國家安全、社會穩定和公共利益的內容的安全事件其他事件不屬于以上安全事件的其他事件，如 APT 攻擊、重大專項安全事件非安全事件無入侵痕跡的事件081綠盟科技應急響應中心（NSFOCUS CERT）綠盟科技應急響應中心（NSFOCUS CERT）致力于為客戶提供及時、專業、高效的威脅情報與應急服務，針對高危漏洞與安全事件進行快速響應，提供可落地的解決方案。NSFOCUS CERT 持續專注于源頭技術創新、實驗室成果實戰化、應用技術開發升級，構建新型應急響應創新生態。