奇安信：2019年網絡安全應急響應分析報告（25頁）.pdf

1、2019 年 4 月，安服應急響應團隊接到客戶應急請求，醫療行業某單位網內約 1000多臺終端和服務器存在大量病毒，客戶機不定時重啟、藍屏，嚴重影響業務系統的正常運行。應急人員通過對相關進程、文件、服務進行排查分析后，判斷客戶內網失陷是由于感染“永恒之藍下載器”木馬，導致病毒泛濫。通過檢查客戶現場內網失陷主機，發現現場主機系統均未安裝殺毒防護軟件，C:Windows 目錄下存在大量以隨機字符命名的.exe 文件，并在系統服務中發現大量該 exe 對應的服務。在分析天眼設備抓取流量時，發現內網共存在 11 種病毒，包括蠕蟲病毒、挖礦病毒、勒索病毒、遠控木馬、僵尸網絡等多種病毒，且發現主機高危端口

2、如 135、137、138、445 端口均為開啟狀態并存在傳播病毒的行為。除此之外，應急人員在檢查過程中發現客戶 sqlserver 數據庫管理員賬戶密碼與網內所有服務器均使用同一種密碼，且該數據庫服務器未安裝任何安全防護設備，使得木馬快速在內網擴散，并存在大量外連行為，導致大量機器淪陷。1) 系統、應用相關用戶杜絕使用弱口令，應使用高復雜強度的密碼，盡量包含大小寫字母、數字、特殊符號等的混合密碼，加強管理員安全意識，禁止密碼重用的情況出現； 2) 有效加強訪問控制 ACL 策略，細化策略粒度，按區域按業務嚴格限制各個網絡區域以及服務器之間的訪問，采用白名單機制只允許開放特定的業務必

3、要端口，其他端口一律禁止訪問，僅管理員 IP 可對管理端口進行訪問，如 FTP、數據庫服務、遠程桌面等管理端口； 3) 部署高級威脅監測設備，及時發現惡意網絡流量，同時可進一步加強追蹤溯源能力，對安全事件發生時可提供可靠的追溯依據； 4) 建議在服務器上部署安全加固軟件，通過限制異常登錄行為、開啟防爆破功能、禁用或限用危險端口、防范漏洞利用等方式，提高系統安全基線，防范黑客入侵；5) 定期開展對系統、應用以及網絡層面的安全評估、滲透測試以及代碼審計工作，主動發現目前系統、應用存在的安全隱患； 6) 加強日常安全巡檢制度，定期對系統配置、網絡設備配合、安全日志以及安

4、全策略落實情況進行檢查，常態化信息安全工作。應急響應工具箱在產品設計階段就引入了大量的應急響應專家，也經歷了安服團隊多年來的實戰使用和不斷改進，在應急響應服務、攻防演習服務、重要時期安全保障服務等業務中都有充分應用。依托奇安信行業領先的攻防研究能力，內置了威脅情報、專家知識庫、分析模型和眾多檢測工具（日志關聯分析工具、APT 檢查工具、惡意代碼檢查工具、Webshell 后門檢查工具、漏洞檢查工具、暗鏈檢查工具等），保障了檢測、分析效率和準確度。奇安信將應急響應工具的自動化分析能力，提升到一個新的高度，能夠進行多維度的線索關聯分析、基于情報的事件溯源、多場景的線索分析。應急響應工具箱最大程度上實現了自動化的威脅檢測和關聯分析，并經過了奇安信安全服務多年來的實戰檢驗，能夠降低應急響應的技術難度，賦能用戶。同時，具有高集成化的特點，覆蓋了應急響應全過程所需要的各類支撐功能并簡化了操作，也內置了應急流程，并配套相關模版，將應急響應工作實現規范化。