九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

主要觀點(diǎn)

• 凡事預(yù)則立，不預(yù)則廢。網(wǎng)絡(luò)安全應(yīng)急響應(yīng)是為了對網(wǎng)絡(luò)安全有所認(rèn)識、有所準(zhǔn)備，以便在遇到突發(fā)網(wǎng)絡(luò)安全事件時做到有序應(yīng)對、妥善處理。

• 2018年全年，全國應(yīng)急響應(yīng)服務(wù)需求呈逐步上升趨勢，自2017年“永恒之藍(lán)”勒索病毒爆發(fā)以來，針對政府、金融等行業(yè)的攻擊層出不窮，我國網(wǎng)絡(luò)安全態(tài)勢嚴(yán)峻。

• 政府、醫(yī)療、金融和教育培訓(xùn)行業(yè)是2018年黑客攻擊的主要目標(biāo)，傳媒、銀行、科研等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)也面臨著越來越多的安全威脅風(fēng)險。網(wǎng)絡(luò)安全防護(hù)存在短板、人員缺乏安全意識是網(wǎng)絡(luò)攻擊有機(jī)可乘的重要原因，應(yīng)大力倡導(dǎo)各行各業(yè)，通過宣傳教育、攻防演練等方式，加強(qiáng)網(wǎng)絡(luò)安全意識培訓(xùn)。

• 2018年，應(yīng)急響應(yīng)處理安全事件中，勒索病毒攻擊是政府機(jī)構(gòu)、大中型企業(yè)服務(wù)器、終端失陷的重要原因之一，面對勒索病毒的頻繁變種，政府機(jī)構(gòu)、大中型企業(yè)應(yīng)打破傳統(tǒng)安全防護(hù)觀念，多角度看待安全問題，實(shí)現(xiàn)安全能力的大幅提升與技術(shù)體系的全面升級。

• 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工作應(yīng)成為政府機(jī)構(gòu)、大中型企業(yè)日常管理的一部分。勒索病毒等影響廣泛的網(wǎng)絡(luò)安全事件可能擴(kuò)大為全行業(yè)、全國甚至全球性問題，網(wǎng)絡(luò)安全應(yīng)急響應(yīng)需要政府機(jī)構(gòu)、安全廠商、企業(yè)加強(qiáng)合作、取長補(bǔ)短，必要時進(jìn)行跨國協(xié)作。

• 網(wǎng)絡(luò)安全廠商提供的網(wǎng)絡(luò)安全應(yīng)急服務(wù)已經(jīng)成為政府機(jī)構(gòu)、大中型企業(yè)有效應(yīng)對網(wǎng)絡(luò)安全突發(fā)事件的重要手段。網(wǎng)絡(luò)安全應(yīng)急服務(wù)應(yīng)該基于數(shù)據(jù)驅(qū)動、安全能力服務(wù)化的安全服務(wù)運(yùn)營理念，結(jié)合云端大數(shù)據(jù)和專家診斷，為客戶提供安全運(yùn)維、預(yù)警檢測、持續(xù)響應(yīng)、數(shù)據(jù)分析、咨詢規(guī)劃等一系列的安全保障服務(wù)。

摘  要

• 2018年全年360安服團(tuán)隊共參與和處置了717起網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件。

• 行業(yè)應(yīng)急處置排在前三位的分別為公檢法（66起）、政府部門（63起）、醫(yī)療機(jī)構(gòu)（56起），占到所有行業(yè)應(yīng)急處置的9.0%、8.0%、8.0%，三者之和約占應(yīng)急處置事件總量的25%。

• 在2018年360安服團(tuán)隊參與處置的所有政府機(jī)構(gòu)和企業(yè)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件中，由行業(yè)單位自己發(fā)現(xiàn)的安全攻擊事件占92%，而另有8%的安全攻擊事件政府機(jī)構(gòu)和企業(yè)實(shí)際上是不自知的，他們是在得到了監(jiān)管機(jī)構(gòu)或主管單位的通報才得知已被攻擊。

• 安全事件的影響范圍主要集中在外部網(wǎng)站和內(nèi)部網(wǎng)站（25.3%）、內(nèi)部服務(wù)器和數(shù)據(jù)庫（18.7%）。除此之外，還占有一定比例的還有辦公終端（17.5%）、業(yè)務(wù)專網(wǎng)（6.3%）。

• 黑產(chǎn)活動、敲詐勒索仍然是攻擊者攻擊政府機(jī)構(gòu)、大中型企業(yè)的主要原因。攻擊者通過黑詞暗鏈、釣魚頁面、挖礦程序等攻擊手段開展黑產(chǎn)活動謀取暴利；利用勒索病毒感染政府機(jī)構(gòu)、大中型企業(yè)終端、服務(wù)器，對其實(shí)施敲詐勒索。

• 從上述數(shù)據(jù)可以看出，攻擊者對系統(tǒng)的攻擊所產(chǎn)生現(xiàn)象主要表現(xiàn)為導(dǎo)致生產(chǎn)效率低下、破壞性攻擊、聲譽(yù)影響、系統(tǒng)不可用。其中，導(dǎo)致生產(chǎn)效率低下占比20%，數(shù)據(jù)丟失占比13%，破壞性攻擊占比10%。

關(guān)鍵詞：應(yīng)急響應(yīng)、安全服務(wù)、敲詐勒索、黑產(chǎn)活動、木馬病毒

目    錄

第一章    研究背景

第二章    應(yīng)急響應(yīng)監(jiān)測分析

一、    月度報告趨勢分析

二、    行業(yè)報告排名分析

三、    攻擊事件發(fā)現(xiàn)分析

四、    影響范圍分布分析

五、    攻擊意圖分布分析

六、    攻擊現(xiàn)象統(tǒng)計分析

七、    事件類型分布分析

第三章    應(yīng)急響應(yīng)服務(wù)分析

一、    網(wǎng)站安全

（一）    網(wǎng)頁被篡改

（二）    非法子頁面

（三）    網(wǎng)站DDoS攻擊

（四）    CC攻擊

（五）    網(wǎng)站流量異常

（六）    異常進(jìn)程與異常外聯(lián)

（七）    網(wǎng)站安全總結(jié)及防護(hù)建議

二、    終端安全

（一）    運(yùn)行異常

（二）    勒索病毒

（三）    終端DDoS攻擊

（四）    終端安全總結(jié)及防護(hù)建議

三、    服務(wù)器安全

（一）    運(yùn)行異常

（二）    木馬病毒

（三）    勒索病毒

（四）    服務(wù)器DDoS攻擊

（五）    服務(wù)器安全總結(jié)及防護(hù)建議

四、    郵箱安全

（一）    郵箱異常

（二）    郵箱DDoS攻擊

（三）    郵箱安全總結(jié)及防護(hù)建議

第四章    應(yīng)急響應(yīng)典型案例

一、    某醫(yī)院服務(wù)器勒索軟件事件應(yīng)急響應(yīng)

（一）    事件概述

（二）    防護(hù)建議

二、    某電網(wǎng)公司終端勒索軟件事件應(yīng)急響應(yīng)

（一）    事件概述

（二）    防護(hù)建議

三、    某汽車公司挖礦木馬事件應(yīng)急響應(yīng)

（一）    事件概述

（二）    防護(hù)建議

四、    某部委CC事件應(yīng)急響應(yīng)

（一）    事件概述

（二）    防護(hù)建議

五、    某證券公司DDoS事件應(yīng)急響應(yīng)

（一）    事件概述

（二）    防護(hù)建議

六、    某集團(tuán)網(wǎng)站掛馬事件應(yīng)急響應(yīng)

（一）    事件概述

（二）    防護(hù)建議

七、    某大學(xué)網(wǎng)站非法頁面應(yīng)急響應(yīng)

（一）    事件概述

（二）    防護(hù)建議

八、    某部委蠕蟲病毒事件應(yīng)急響應(yīng)

（一）    事件概述

（二）    防護(hù)建議

九、    某人民法院遭到APT攻擊事件應(yīng)急響應(yīng)

（一）    事件概述

（二）    防護(hù)建議

第五章    附錄 360安服團(tuán)隊

第一章  研究背景

當(dāng)前，網(wǎng)絡(luò)空間安全形勢日益嚴(yán)峻，國內(nèi)政府機(jī)構(gòu)、大中型企業(yè)的門戶網(wǎng)站和重要核心業(yè)務(wù)系統(tǒng)成為攻擊者的首要攻擊目標(biāo)，安全事件層出不窮、逐年增加，給各單位造成嚴(yán)重的影響。為妥善處置和應(yīng)對政府機(jī)構(gòu)、大中型企業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生的突發(fā)事件，確保關(guān)鍵信息基礎(chǔ)設(shè)施的安全、穩(wěn)定、持續(xù)運(yùn)行，防止造成重大聲譽(yù)影響和經(jīng)濟(jì)損失，需進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全與信息化應(yīng)急保障能力。

2018年，360安全服務(wù)團(tuán)隊/360安服團(tuán)隊共為全國各地600余家政府機(jī)構(gòu)、大中型企業(yè)提供了網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)，參與和協(xié)助處置各類網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件717次，第一時間恢復(fù)系統(tǒng)運(yùn)行，最大限度減少突發(fā)安全事件對政府機(jī)構(gòu)、大中型企業(yè)的門戶網(wǎng)站和業(yè)務(wù)系統(tǒng)造成的損失和對公眾的不良影響，提高了公眾服務(wù)滿足度。同時，為政府機(jī)構(gòu)、大中型企業(yè)建立完善的應(yīng)急響應(yīng)體系提供技術(shù)支撐。

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)是安全防護(hù)的最后一道防線，鞏固應(yīng)急防線對安全能力建設(shè)至關(guān)重要。360構(gòu)建了全流程的應(yīng)急響應(yīng)服務(wù)體系，為政府機(jī)構(gòu)、大中型企業(yè)提供高效、實(shí)時、全生命周期的應(yīng)急服務(wù)。

第二章  應(yīng)急響應(yīng)監(jiān)測分析

2018年360安服團(tuán)隊共參與和處置了717起全國范圍內(nèi)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件，第一時間協(xié)助用戶處理安全事故，確保了用戶門戶網(wǎng)站和重要業(yè)務(wù)系統(tǒng)的持續(xù)安全穩(wěn)定運(yùn)行。為進(jìn)一步提高政府機(jī)構(gòu)、大中型企業(yè)對突發(fā)安全事件的認(rèn)識，增強(qiáng)安全防護(hù)意識，同時強(qiáng)化第三方安全服務(wù)商的應(yīng)急響應(yīng)能力，對2018年全年處置的所有應(yīng)急響應(yīng)事件從不同維度進(jìn)行統(tǒng)計分析，反映全年的應(yīng)急響應(yīng)情況和攻擊者的攻擊目的及意圖。

一、   月度報告趨勢分析

2018年全年360安服團(tuán)隊共參與和處置了717起網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件，月度報告趨勢分布如下圖所示：

從上述數(shù)據(jù)中可以看到，每年年初和年底發(fā)生的應(yīng)急響應(yīng)事件請求存在較大反差，年初處置的安全應(yīng)急請求較少，年底相對較多，8月份應(yīng)急請求達(dá)全年最高，全年整體上處置的安全應(yīng)急請求趨于上升趨勢。

對政府機(jī)構(gòu)、大中型企業(yè)的攻擊從未間斷過，在重要時期的攻擊更加頻繁。所以，政府機(jī)構(gòu)、大中型企業(yè)應(yīng)做好全年的安全防護(hù)工作，特別是重要時期的安全保障工作，同時建立完善的應(yīng)急響應(yīng)機(jī)制。

二、   行業(yè)報告排名分析

通過對2018年全年應(yīng)急響應(yīng)事件行業(yè)分類分析，匯總出行業(yè)應(yīng)急處置數(shù)量排名，如下圖所示：

需要說明的是，應(yīng)急響應(yīng)次數(shù)多，并不意味著這個行業(yè)的整體安全狀況差。這與機(jī)構(gòu)本身的數(shù)量和性質(zhì)有關(guān)，與360的客戶覆蓋也有關(guān)。

從上述數(shù)據(jù)中可以看出，行業(yè)應(yīng)急處置排在前三位的分別為公檢法（66起）、政府部門（63起）、醫(yī)療機(jī)構(gòu)（56起），占到所有行業(yè)應(yīng)急處置的9.0%、8.0%、8.0%，三者之和約占應(yīng)急處置事件總量的25%，即全年應(yīng)急響應(yīng)事件四分之一是出在政府部門、事業(yè)單位、金融機(jī)構(gòu)。而金融、教育培訓(xùn)、事業(yè)單位、IT信息技術(shù)、制造業(yè)所產(chǎn)生的應(yīng)急響應(yīng)事件也占到了所有行業(yè)的18%。

從行業(yè)報告排名可知，攻擊者的主要攻擊對象為公檢法、各級政府部門以及醫(yī)療衛(wèi)生，其次為金融、教育培訓(xùn)、IT信息技術(shù)和事業(yè)單位，從中竊取數(shù)據(jù)、敲詐勒索。上述機(jī)構(gòu)在原有安全防護(hù)基礎(chǔ)上，應(yīng)進(jìn)一步強(qiáng)化安全技術(shù)和管理建設(shè)，同時應(yīng)與第三方安全服務(wù)商建立良好的應(yīng)急響應(yīng)溝通和處置機(jī)制。

三、   攻擊事件發(fā)現(xiàn)分析

政企機(jī)構(gòu)對網(wǎng)絡(luò)攻擊的重視程度、發(fā)現(xiàn)能力和主動響應(yīng)的能力正在顯著上升。2016年，在360安服團(tuán)隊參與處置的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件中，僅有31.5%的攻擊事件是政企機(jī)構(gòu)自行發(fā)現(xiàn)的，其他68.5%均為接到了第三方機(jī)構(gòu)通報。這些第三方機(jī)構(gòu)包括網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)，行業(yè)主管機(jī)構(gòu)和媒體等。

但是，2017年和2018年的統(tǒng)計數(shù)據(jù)顯示，近九成的攻擊事件都是政企機(jī)構(gòu)自行發(fā)現(xiàn)并請求援助的。分析認(rèn)為，這可能主要是由于2017年6月《網(wǎng)絡(luò)安全法》的實(shí)施，大中型政企機(jī)構(gòu)對安全事件的應(yīng)急響應(yīng)重視程度大幅提高，盡早發(fā)現(xiàn)，盡早處置，自行響應(yīng)漸成主流。但是，仍有近一成的安全事件，企業(yè)實(shí)際上是不自知的，他們是在得到了監(jiān)管機(jī)構(gòu)的通報或看到了媒體的公開報道后，才得知自己已經(jīng)被攻擊了。

通過對2018年全年應(yīng)急響應(yīng)事件攻擊發(fā)現(xiàn)類型分析，匯總出攻擊事件發(fā)現(xiàn)情況，如下圖所示：

在2018年360安服團(tuán)隊參與處置的所有政府機(jī)構(gòu)和企業(yè)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件中，由行業(yè)單位自己發(fā)現(xiàn)的安全攻擊事件占92%，而另有8%的安全攻擊事件政府機(jī)構(gòu)和企業(yè)實(shí)際上是不自知的，他們是在得到了監(jiān)管機(jī)構(gòu)或主管單位的通報才得知已被攻擊。

雖然政府機(jī)構(gòu)和企業(yè)自行發(fā)現(xiàn)的安全攻擊事件占到了92%，但并不代表其具備了潛在威脅的發(fā)現(xiàn)能力。其中，占安全攻擊事件總量61%的事件是政府機(jī)構(gòu)和企業(yè)通過內(nèi)部安全運(yùn)營巡檢的方式自主查出的，而其余31%的安全攻擊事件能夠被發(fā)現(xiàn)，則完全是因為其網(wǎng)絡(luò)系統(tǒng)已經(jīng)出現(xiàn)了顯著的入侵跡象，或者是已經(jīng)遭到了攻擊者的敲詐勒索。更有甚者，某些單位實(shí)際上是在已經(jīng)遭遇了巨大的財產(chǎn)損失后才發(fā)現(xiàn)自己的網(wǎng)絡(luò)系統(tǒng)遭到了攻擊。

從上述數(shù)據(jù)中可以看出，政府機(jī)構(gòu)、大中型企業(yè)仍然普遍缺乏足夠的安全監(jiān)測能力，缺乏主動發(fā)現(xiàn)隱蔽性較好地入侵威脅的能力。

四、   影響范圍分布分析

通過對2017年全年應(yīng)急響應(yīng)事件處置報告分析，匯總出安全事件的影響范圍分布即失陷區(qū)域分布，如下圖所示：

從上述數(shù)據(jù)中可以看出，安全事件的影響范圍主要集中在外部網(wǎng)站和內(nèi)部網(wǎng)站（25.3%）、內(nèi)部服務(wù)器和數(shù)據(jù)庫（18.7%）。除此之外，還占有一定比例的還有辦公終端（17.5%）、業(yè)務(wù)專網(wǎng)（6.3%）。

從影響范圍分布可知，攻擊者的主要攻擊對象為政府機(jī)構(gòu)、大中型企業(yè)的互聯(lián)網(wǎng)門戶網(wǎng)站、內(nèi)部網(wǎng)站、內(nèi)部業(yè)務(wù)系統(tǒng)服務(wù)器以及數(shù)據(jù)庫，其主要原因是門戶網(wǎng)站暴露在互聯(lián)網(wǎng)上受到多重安全威脅，攻擊者通過對網(wǎng)站的攻擊，實(shí)現(xiàn)敲詐勒索、滿足個人利益需求；而內(nèi)部網(wǎng)站、內(nèi)部服務(wù)器和數(shù)據(jù)庫運(yùn)行核心業(yè)務(wù)系統(tǒng)、存放重要數(shù)據(jù)，也成為攻擊者進(jìn)行黑產(chǎn)活動、敲詐勒索等違法行為的主要攻擊目標(biāo)。

基于此，政府機(jī)構(gòu)、大中型企業(yè)應(yīng)強(qiáng)化對互聯(lián)網(wǎng)門戶網(wǎng)站的安全防護(hù)建設(shè)，加強(qiáng)對內(nèi)網(wǎng)中內(nèi)部網(wǎng)站、內(nèi)部服務(wù)器和數(shù)據(jù)庫、終端以及業(yè)務(wù)系統(tǒng)的安全防護(hù)保障和數(shù)據(jù)安全管理。

五、   攻擊意圖分布分析

通過對2018年全年應(yīng)急響應(yīng)事件處置報告分析，匯總出攻擊者攻擊政府機(jī)構(gòu)、大中型企業(yè)的攻擊意圖分布，如下圖所示：

從上述數(shù)據(jù)中可以看出，黑產(chǎn)活動、敲詐勒索仍然是攻擊者攻擊政府機(jī)構(gòu)、大中型企業(yè)的主要原因。攻擊者通過黑詞暗鏈、釣魚頁面、挖礦程序等攻擊手段開展黑產(chǎn)活動謀取暴利；利用勒索病毒感染政府機(jī)構(gòu)、大中型企業(yè)終端、服務(wù)器，對其實(shí)施敲詐勒索。對于大部分攻擊者而言，其進(jìn)行攻擊的主要原因是為獲取暴利，實(shí)現(xiàn)自身最大利益。

其次是內(nèi)部違規(guī)響應(yīng)事件，表明政府機(jī)構(gòu)、大中型企業(yè)業(yè)務(wù)人員、運(yùn)維人員的安全意識有待提升。

APT攻擊和出于政治原因攻擊意圖的存在，說明具有組織性、針對性的攻擊團(tuán)隊對政府機(jī)構(gòu)、大中型企業(yè)的攻擊目的不單單是為錢財，而有可能出于政治意圖，竊取國家層面、重點(diǎn)領(lǐng)域的數(shù)據(jù)。雖然APT攻擊和出于政治原因的攻擊數(shù)量相對較少，但其危害性較重，所以政府機(jī)構(gòu)、大中型企業(yè)，特別是政府機(jī)構(gòu)，應(yīng)強(qiáng)化整體安全防護(hù)體系建設(shè)。

六、   攻擊現(xiàn)象統(tǒng)計分析

通過對2018年全年應(yīng)急響應(yīng)事件處置報告分析，匯總出攻擊現(xiàn)象排名，如下圖所示：

從上述數(shù)據(jù)可以看出，攻擊者對系統(tǒng)的攻擊所產(chǎn)生現(xiàn)象主要表現(xiàn)為導(dǎo)致生產(chǎn)效率低下、破壞性攻擊、聲譽(yù)影響、系統(tǒng)不可用。

其中，導(dǎo)致生產(chǎn)效率低下占比20%，攻擊者通過挖礦、拒絕服務(wù)等攻擊手段使服務(wù)器CPU占用率異常高，從而造成生產(chǎn)效率低下；數(shù)據(jù)丟失占比13%；破壞性攻擊占比10%，攻擊者通過利用服務(wù)器漏洞、配置不當(dāng)、弱口令、Web漏洞等系統(tǒng)安全缺陷，對系統(tǒng)實(shí)施破壞性攻擊；系統(tǒng)不可用占比7%，主要表現(xiàn)為攻擊者通過對系統(tǒng)的攻擊，直接造成業(yè)務(wù)系統(tǒng)宕機(jī)；聲譽(yù)影響占比5%，主要體現(xiàn)在對政府機(jī)構(gòu)、大中型企業(yè)門戶網(wǎng)站進(jìn)行的網(wǎng)頁篡改、黑詞暗鏈、釣魚網(wǎng)站、非法子頁面等攻擊，對政府和企業(yè)造成嚴(yán)重的聲譽(yù)影響，特別是政府機(jī)構(gòu)。同時，敏感信息泄露、數(shù)據(jù)被篡改、網(wǎng)絡(luò)不可用也是攻擊產(chǎn)生的現(xiàn)象，對政府機(jī)構(gòu)、大中型企業(yè)造成嚴(yán)重后果。

從攻擊現(xiàn)象統(tǒng)計看，攻擊者對系統(tǒng)的攻擊具備破壞性、針對性，嚴(yán)重影響系統(tǒng)正常運(yùn)行。

七、   事件類型分布分析

通過對2018年全年應(yīng)急響應(yīng)事件處置報告分析，匯總出事件類型分布，如下圖所示：

從上述數(shù)據(jù)可以看出，安全事件類型主要表現(xiàn)在服務(wù)器病毒告警、網(wǎng)頁被篡改、運(yùn)行異常/異常外聯(lián)、PC病毒告警等方面。

其中，服務(wù)器病毒告警是攻擊者利用病毒感染對服務(wù)器進(jìn)行的攻擊，占48%，成為攻擊者主要的攻擊手段；PC病毒告警是攻擊者利用病毒感染對辦公終端進(jìn)行攻擊，占14%，是對攻擊終端的主要手段；webshell告警、木馬告警是攻擊者對互聯(lián)網(wǎng)門戶網(wǎng)站進(jìn)行的常見攻擊，占8%，可能會導(dǎo)致政府機(jī)構(gòu)、大中型企業(yè)數(shù)據(jù)外泄；運(yùn)行異常/異常外聯(lián)是攻擊者利用不同的攻擊手段造成服務(wù)器、系統(tǒng)運(yùn)行異常或異常外聯(lián)，降低生產(chǎn)效率；。

除此之外，還有流量監(jiān)測異常、被通報安全事件、網(wǎng)站無法訪問/訪問遲緩、網(wǎng)站被篡改等安全事件類型。所以，作為政府機(jī)構(gòu)、大中型企業(yè)的安全負(fù)責(zé)人和安全主管，應(yīng)清楚地認(rèn)識到攻擊者可通過不同的攻擊手段、攻擊方式，對我們的服務(wù)器或系統(tǒng)進(jìn)行攻擊，單一、被動的安全防護(hù)措施已無法滿足安全防護(hù)需要。

第三章  應(yīng)急響應(yīng)服務(wù)分析

根據(jù)2018年360安服團(tuán)隊的現(xiàn)場處置情況，政府機(jī)構(gòu)、大中型企業(yè)在自行發(fā)現(xiàn)或被通告攻擊事件，并主動尋求應(yīng)急響應(yīng)服務(wù)時，絕大多數(shù)情況是因為互聯(lián)網(wǎng)網(wǎng)站（DMZ區(qū)）、辦公區(qū)終端、核心重要業(yè)務(wù)服務(wù)器以及郵件服務(wù)器等遭到了網(wǎng)絡(luò)攻擊，影響了系統(tǒng)運(yùn)行和服務(wù)質(zhì)量。

下面將分別對這四類對象從主要現(xiàn)象、主要危害、攻擊方法，以及攻擊者的主要目的進(jìn)行分類分析。

一、   網(wǎng)站安全

（一）網(wǎng)頁被篡改

主要現(xiàn)象：首頁或關(guān)鍵頁面被篡改，出現(xiàn)各種不良信息，甚至反動信息。

主要危害：散步各類不良或反動信息，影響政府機(jī)構(gòu)、企業(yè)聲譽(yù)，特別是政府機(jī)構(gòu)，降低其公信力。

攻擊方法：黑客利用webshell等木馬后門，對網(wǎng)頁實(shí)施篡改。

攻擊目的：宣泄對社會或政府的不滿；炫技或挑釁中招企業(yè)；對企業(yè)進(jìn)行敲詐勒索。

（二）非法子頁面

主要現(xiàn)象：網(wǎng)站存在賭博、色情、釣魚等非法子頁面。

主要危害：通過搜索引擎搜索相關(guān)網(wǎng)站，將出現(xiàn)賭博、色情等信息；通過搜索引擎搜索賭博、色情信息，也會出現(xiàn)相關(guān)網(wǎng)站；對于被植入釣魚網(wǎng)頁的情況，當(dāng)用戶訪問相關(guān)釣魚網(wǎng)站頁面時，安全軟件可能不會給出風(fēng)險提示。

對于政府網(wǎng)站而言，該現(xiàn)象的出現(xiàn)將嚴(yán)重降低政府的權(quán)威性及在民眾中的公信力，挽回難度相對較大。

攻擊方法：黑客利用webshell等木馬后門，對網(wǎng)站進(jìn)行子頁面的植入。

攻擊目的：惡意網(wǎng)站的SEO優(yōu)化；為網(wǎng)絡(luò)詐騙提供“相對安全”釣魚頁面。

（三）網(wǎng)站DDoS攻擊

主要現(xiàn)象：政府機(jī)構(gòu)或企業(yè)網(wǎng)站無法訪問、訪問遲緩。

主要危害：網(wǎng)站業(yè)務(wù)中斷，用戶無法訪問網(wǎng)站。特別是對于政府官網(wǎng)，影響民眾網(wǎng)上辦事，降低政府公信力。

攻擊方法：黑客利用多類型DDoS技術(shù)對網(wǎng)站進(jìn)行分布式抗拒絕服務(wù)攻擊。

攻擊目的：敲詐勒索政府或企業(yè)；企業(yè)間的惡意競爭；宣泄對網(wǎng)站的不滿。

（四）CC攻擊

主要現(xiàn)象：網(wǎng)站無法訪問、網(wǎng)頁訪問緩慢、業(yè)務(wù)異常。

主要危害：網(wǎng)站業(yè)務(wù)中斷，用戶無法訪問網(wǎng)站、網(wǎng)頁訪問緩慢。

攻擊方法：主要采用發(fā)起遍歷數(shù)據(jù)攻擊行為、發(fā)起SQL注入攻擊行為、發(fā)起頻繁惡意請求攻擊行為等攻擊方式進(jìn)行攻擊。

攻擊目的：敲詐勒索；惡意競爭；宣泄對網(wǎng)站的不滿。

（五）網(wǎng)站流量異常

主要現(xiàn)象：異?，F(xiàn)象不明顯，偶發(fā)性流量異常偏高，且非業(yè)務(wù)繁忙時段也會出現(xiàn)流量異常偏高。

主要危害：盡管從表面上看，網(wǎng)站受到的影響不大。但實(shí)際上，網(wǎng)站已經(jīng)處于被黑客控制的高度危險狀態(tài)，各種有重大危害的后果都有可能發(fā)生。

攻擊方法：黑客利用webshell等木馬后門，控制網(wǎng)站；某些攻擊者甚至?xí)跃W(wǎng)站為跳板，對企業(yè)的內(nèi)部網(wǎng)絡(luò)實(shí)施滲透。

攻擊目的：對網(wǎng)站進(jìn)行掛馬、篡改、暗鏈植入、惡意頁面植入、數(shù)據(jù)竊取等。

（六）異常進(jìn)程與異常外聯(lián)

主要現(xiàn)象：操作系統(tǒng)響應(yīng)緩慢、非繁忙時段流量異常、存在異常系統(tǒng)進(jìn)程以及服務(wù)，存在異常的外連現(xiàn)象。

主要危害：系統(tǒng)異常，系統(tǒng)資源耗盡，業(yè)務(wù)無法正常運(yùn)作；同時，網(wǎng)站也可能會成為攻擊者的跳板，或者是對其他網(wǎng)站發(fā)動DDoS攻擊的攻擊源。

攻擊方法：使用網(wǎng)站系統(tǒng)資源對外發(fā)起DDoS攻擊；將網(wǎng)站作為IP代理，隱藏攻擊者，實(shí)施攻擊。

攻擊目的：長期潛伏，竊取重要數(shù)據(jù)信息。

（七）網(wǎng)站安全總結(jié)及防護(hù)建議

常見攻擊手段

以上六類網(wǎng)站安全威脅，是政府機(jī)構(gòu)、大中型企業(yè)門戶網(wǎng)站所面臨的主要威脅，也是網(wǎng)站安全應(yīng)急響應(yīng)服務(wù)所要解決的主要問題。

通過對現(xiàn)場處置情況的匯總和分析得知，黑客主要采用以下攻擊手段對網(wǎng)站實(shí)施攻擊：

1）  黑客利用門戶網(wǎng)站Tomcat、IIS等中間件已有漏洞、網(wǎng)站各類應(yīng)用上傳漏洞、弱口令以及第三方組件或服務(wù)配置不當(dāng)?shù)?，將webshell上傳至門戶web服務(wù)器，利用該webshell對服務(wù)器進(jìn)行惡意操作；

2）  黑客利用已有漏洞上傳惡意腳本，如挖礦木馬等，造成網(wǎng)站運(yùn)行異常；

3）  黑客利用多類型DDoS攻擊技術(shù)（SYN Flood、ACK Flood、UDP Flood、ICMP Flood等），對網(wǎng)站實(shí)施DDoS攻擊；

4）  黑客發(fā)起遍歷數(shù)據(jù)攻擊、SQL注入攻擊、頻繁惡意請求攻擊等攻擊方式進(jìn)行攻擊。

安全防護(hù)建議

針對網(wǎng)站所面臨的安全威脅以及可能造成的安全損失，政府機(jī)構(gòu)、大中型企業(yè)應(yīng)采取以下安全防護(hù)措施：

1）  針對網(wǎng)站，建立完善的監(jiān)測預(yù)警機(jī)制，及時發(fā)現(xiàn)攻擊行為，啟動應(yīng)急預(yù)案并對攻擊行為進(jìn)行防護(hù)；

2）  有效加強(qiáng)訪問控制ACL策略，細(xì)化策略粒度，按區(qū)域按業(yè)務(wù)嚴(yán)格限制各網(wǎng)絡(luò)區(qū)域以及服務(wù)器之間的訪問，采用白名單機(jī)制只允許開放特定的業(yè)務(wù)必要端口，其他端口一律禁止訪問，僅管理員IP可對管理端口進(jìn)行訪問，如FTP、數(shù)據(jù)庫服務(wù)、遠(yuǎn)程桌面等管理端口；

3）  配置并開啟網(wǎng)站應(yīng)用日志，對應(yīng)用日志進(jìn)行定期異地歸檔、備份，避免在攻擊行為發(fā)生時，導(dǎo)致無法對攻擊途徑、行為進(jìn)行溯源等，加強(qiáng)安全溯源能力；

4）  加強(qiáng)入侵防御能力，建議在網(wǎng)站服務(wù)器上安裝相應(yīng)的防病毒軟件或部署防病毒網(wǎng)關(guān)，即時對病毒庫進(jìn)行更新，并且定期進(jìn)行全面掃描，加強(qiáng)入侵防御能力；

5）  定期開展對網(wǎng)站系統(tǒng)、應(yīng)用以及網(wǎng)絡(luò)層面的安全評估、滲透測試以及代碼審計工作，主動發(fā)現(xiàn)目前存在的安全隱患；

6）  建議部署全流量監(jiān)測設(shè)備，及時發(fā)現(xiàn)惡意網(wǎng)絡(luò)流量，同時可進(jìn)一步加強(qiáng)追蹤溯源能力，對安全事件發(fā)生時可提供可靠的追溯依據(jù)；

7）  加強(qiáng)日常安全巡檢制度，定期對系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合、安全日志以及安全策略落實(shí)情況進(jìn)行檢查，常態(tài)化信息安全工作。

二、   終端安全

（一）運(yùn)行異常

主要現(xiàn)象：操作系統(tǒng)響應(yīng)緩慢、非繁忙時段流量異常、存在異常系統(tǒng)進(jìn)程以及服務(wù)、存在異常的外連現(xiàn)象。

主要危害：被攻擊的終端被攻擊者遠(yuǎn)程控制；政府機(jī)構(gòu)和企業(yè)的敏感、機(jī)密數(shù)據(jù)可能被竊取。個別情況下，會造成比較嚴(yán)重的系統(tǒng)數(shù)據(jù)破壞。

攻擊方法：針對政府機(jī)構(gòu)、企業(yè)辦公區(qū)終端的攻擊，很多情況下是由高級攻擊者發(fā)動的，而高級攻擊者的攻擊行動往往動作很小，技術(shù)也更隱蔽，所以通常情況下，并沒有太多的異?，F(xiàn)象，被攻擊者往往很難發(fā)覺。

攻擊目的：長期潛伏，收集信息，以便于進(jìn)一步滲透；竊取重要數(shù)據(jù)并外傳；使用終端資源對外發(fā)起DDoS攻擊。

（二）勒索病毒

主要現(xiàn)象：內(nèi)網(wǎng)終端出現(xiàn)藍(lán)屏、反復(fù)重啟和文檔被加密的現(xiàn)象。

主要危害：政府機(jī)構(gòu)、企業(yè)向攻擊者付勒索費(fèi)用；造成內(nèi)網(wǎng)終端無法正常運(yùn)行；數(shù)據(jù)可能泄露。

攻擊方法：通過弱口令探測、軟件和系統(tǒng)漏洞、傳播感染等攻擊方式，使內(nèi)網(wǎng)終端感染勒索病毒。

攻擊目的：向政府機(jī)構(gòu)、企業(yè)勒索錢財，以到達(dá)自身盈利目的。

（三）終端DDoS攻擊

主要現(xiàn)象：內(nèi)網(wǎng)終端不斷進(jìn)行外網(wǎng)惡意域名的請求。

主要危害：造成內(nèi)網(wǎng)終端資源的浪費(fèi)；攻擊者可能對內(nèi)網(wǎng)進(jìn)行攻擊，造成業(yè)務(wù)中止、數(shù)據(jù)泄露等。

攻擊方法：可通過網(wǎng)絡(luò)連接、異常進(jìn)程、系統(tǒng)進(jìn)程注入可疑DLL模塊以及異常啟動項等多種方式進(jìn)行攻擊。

攻擊目的：使用政府機(jī)構(gòu)、企業(yè)的內(nèi)網(wǎng)終端資源對外發(fā)起DDoS攻擊，以達(dá)到敲詐、勒索以及惡意競爭等目的。

（四）終端安全總結(jié)及防護(hù)建議

常見攻擊手段

以上三類終端安全威脅，是政府機(jī)構(gòu)、大中型企業(yè)內(nèi)網(wǎng)終端所面臨的主要威脅，也是終端安全應(yīng)急響應(yīng)所要解決的主要問題。

通過對現(xiàn)場處置情況的匯總和分析得知，黑客主要采用以下攻擊手段對終端實(shí)施攻擊：

1）  通過弱口令爆破、軟件和系統(tǒng)漏洞、社會人工學(xué)以及其他等攻擊手段，使內(nèi)網(wǎng)終端感染病毒；

2）  通過網(wǎng)絡(luò)連接、異常進(jìn)程、系統(tǒng)進(jìn)程注入可疑DLL模塊以及異常啟動項等多種方式進(jìn)行攻擊。

安全防護(hù)建議

針對內(nèi)網(wǎng)終端所面臨的安全威脅以及可能造成的安全損失，政府機(jī)構(gòu)、大中型企業(yè)應(yīng)采取以下安全防護(hù)措施：

1）  定期給終端系統(tǒng)及軟件安裝最新補(bǔ)丁，防止因為漏洞利用帶來的攻擊；

2）  采用統(tǒng)一的防病毒軟件，并定時更新，抵御常見木馬病毒；

3）  在網(wǎng)絡(luò)層面采用能夠?qū)θ髁窟M(jìn)行持續(xù)存儲和分析的設(shè)備，對已知安全事件進(jìn)行定位溯源，對未知的高級攻擊進(jìn)行發(fā)現(xiàn)和捕獲；

4）  完善政府機(jī)構(gòu)和企業(yè)內(nèi)部的IP和終端位置信息關(guān)聯(lián)，并記錄到日志中，方便根據(jù)IP直接定位機(jī)器位置；

5）  加強(qiáng)員工對終端安全操作和管理培訓(xùn)，提高員工安全意識。

三、   服務(wù)器安全

（一）運(yùn)行異常

主要現(xiàn)象：操作系統(tǒng)響應(yīng)緩慢、非繁忙時段流量異常、存在異常系統(tǒng)進(jìn)程以及服務(wù)、存在異常的外連現(xiàn)象。

主要危害：被攻擊的服務(wù)器被攻擊者遠(yuǎn)程控制；政府機(jī)構(gòu)和企業(yè)的敏感、機(jī)密數(shù)據(jù)可能被竊取。個別情況下，會造成比較嚴(yán)重的系統(tǒng)數(shù)據(jù)破壞。

攻擊方法：針對政府機(jī)構(gòu)、企業(yè)服務(wù)器的攻擊，很多情況下是由高級攻擊者發(fā)動的，攻擊過程往往更加隱蔽，更加難以被發(fā)現(xiàn)，技術(shù)也更隱蔽。通常情況下，并沒有太多的異常現(xiàn)象。

攻擊目的：長期潛伏，收集信息，以便于進(jìn)一步滲透；竊取重要數(shù)據(jù)并外傳；使用服務(wù)器資源對外發(fā)起DDoS攻擊。

（二）木馬病毒

主要現(xiàn)象：服務(wù)器無法正常運(yùn)行或異常重啟、管理員無法正常登陸進(jìn)行管理、重要業(yè)務(wù)中斷、服務(wù)器響應(yīng)緩慢等。

主要危害：被攻擊的服務(wù)器被攻擊者遠(yuǎn)程控制；政府機(jī)構(gòu)和企業(yè)的敏感、機(jī)密數(shù)據(jù)可能被竊取。個別情況下，會造成比較嚴(yán)重的系統(tǒng)數(shù)據(jù)破壞。

攻擊方法：黑客通過利用弱口令探測、系統(tǒng)漏洞、應(yīng)用漏洞等攻擊方式，種植惡意病毒進(jìn)行攻擊。

攻擊目的：利用內(nèi)網(wǎng)服務(wù)器資源進(jìn)行虛擬幣的挖掘，從而賺取相應(yīng)的虛擬幣，以到達(dá)獲利目的。

（三）勒索病毒

主要現(xiàn)象：內(nèi)網(wǎng)服務(wù)器文件被勒索軟件加密，無法打開，索要天價贖金。

主要危害：用戶無法打開文件，政府機(jī)構(gòu)、企業(yè)向攻擊者付勒索費(fèi)用；造成內(nèi)網(wǎng)服務(wù)器無法正常運(yùn)行；數(shù)據(jù)可能泄露。

攻擊方法：通過利用弱口令探測、共享文件夾加密、軟件和系統(tǒng)漏洞、數(shù)據(jù)庫爆破等攻擊方式，使內(nèi)網(wǎng)服務(wù)器感染勒索病毒。

攻擊目的：通過使服務(wù)器感染勒索病毒，向政府機(jī)構(gòu)、企業(yè)勒索錢財，以到達(dá)自身盈利目的。

（四）服務(wù)器DDoS攻擊

主要現(xiàn)象：向外網(wǎng)發(fā)起大量異常網(wǎng)絡(luò)請求、惡意域名請求等。

主要危害：嚴(yán)重影響內(nèi)網(wǎng)服務(wù)器性能，如服務(wù)器CPU以及帶寬等，導(dǎo)致服務(wù)器上的業(yè)務(wù)無法正常運(yùn)行；攻擊者可能竊取內(nèi)網(wǎng)數(shù)據(jù)，造成數(shù)據(jù)泄露等。

攻擊方法：黑客可能利用弱口令、系統(tǒng)漏洞、應(yīng)用漏洞等系統(tǒng)缺陷，通過種馬的方式，讓服務(wù)器感染DDoS木馬，以此發(fā)起DDoS攻擊。

攻擊目的：使用政府機(jī)構(gòu)、企業(yè)的內(nèi)網(wǎng)服務(wù)器對外發(fā)起DDoS攻擊，以達(dá)到敲詐、勒索以及惡意競爭等目的。

（五）服務(wù)器安全總結(jié)及防護(hù)建議

常見攻擊手段

以上四類服務(wù)器安全威脅，是政府機(jī)構(gòu)、大中型企業(yè)內(nèi)網(wǎng)服務(wù)器所面臨的主要威脅，也是服務(wù)器安全應(yīng)急響應(yīng)服務(wù)所要解決的主要問題。

通過對現(xiàn)場處置情況的匯總和分析得知，黑客主要采用以下攻擊手段對服務(wù)器實(shí)施攻擊：

1）  通過弱口令探測、共享文件夾加密、軟件和系統(tǒng)漏洞、數(shù)據(jù)庫爆破以及Webshell等多種攻擊方式，感染內(nèi)網(wǎng)服務(wù)器勒索病毒；

2）  黑客利用弱口令、系統(tǒng)漏洞、應(yīng)用漏洞等系統(tǒng)缺陷，通過種馬的方式，讓服務(wù)器感染各類木馬（如挖礦木馬、DDoS木馬等），以此實(shí)現(xiàn)攻擊目的。

安全防護(hù)建議

針對內(nèi)網(wǎng)服務(wù)器所面臨的安全威脅以及可能造成的安全損失，政府機(jī)構(gòu)、大中型企業(yè)應(yīng)采取以下安全防護(hù)措施：

1）  及時清除發(fā)現(xiàn)的webshell后門、惡意木馬文件、挖礦程序。在不影響系統(tǒng)正常運(yùn)行的前提下，建議重新安裝操作系統(tǒng)，并重新部署應(yīng)用，以保證惡意程序被徹底清理；

2）  對受害內(nèi)網(wǎng)機(jī)器進(jìn)行全盤查殺，可進(jìn)行全盤重裝系統(tǒng)更好，同時該機(jī)器所屬使用者的相關(guān)賬號密碼信息應(yīng)及時更改；

3）  系統(tǒng)相關(guān)用戶杜絕使用弱口令，設(shè)置高復(fù)雜強(qiáng)度的密碼，盡量包含大小寫字母、數(shù)字、特殊符號等的混合密碼，加強(qiáng)運(yùn)維人員安全意識，禁止密碼重用的情況出現(xiàn)；

4）  有效加強(qiáng)訪問控制ACL策略，細(xì)化策略粒度，按區(qū)域按業(yè)務(wù)嚴(yán)格限制各個網(wǎng)絡(luò)區(qū)域以及服務(wù)器之間的訪問，采用白名單機(jī)制只允許開放特定的業(yè)務(wù)必要端口，其他端口一律禁止訪問，僅管理員IP可對管理端口進(jìn)行訪問，如遠(yuǎn)程桌面等管理端口；

5）  禁止服務(wù)器主動發(fā)起外部連接請求，對于需要向外部服務(wù)器推送共享數(shù)據(jù)的，應(yīng)使用白名單的方式，在出口防火墻加入相關(guān)策略，對主動連接IP范圍進(jìn)行限制；

6）  加強(qiáng)入侵防御能力，建議在服務(wù)器上安裝相應(yīng)的防病毒軟件或部署防病毒網(wǎng)關(guān)，即時對病毒庫進(jìn)行更新，并且定期進(jìn)行全面掃描，加強(qiáng)入侵防御能力；

7）  建議增加流量監(jiān)測設(shè)備的日志存儲周期，定期對流量日志進(jìn)行分析，及時發(fā)現(xiàn)惡意網(wǎng)絡(luò)流量，同時可進(jìn)一步加強(qiáng)追蹤溯源能力，對安全事件發(fā)生時可提供可靠的追溯依據(jù)；

8）  定期開展對服務(wù)器系統(tǒng)、應(yīng)用以及網(wǎng)絡(luò)層面的安全評估、滲透測試以及代碼審計工作，主動發(fā)現(xiàn)目前系統(tǒng)、應(yīng)用存在的安全隱患；

9）  加強(qiáng)日常安全巡檢制度，定期對系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合、安全日志以及安全策略落實(shí)情況進(jìn)行檢查，常態(tài)化信息安全工作。

四、   郵箱安全

（一）郵箱異常

主要現(xiàn)象：郵箱異常、郵件服務(wù)器發(fā)送垃圾郵件。

主要危害：嚴(yán)重影響郵件服務(wù)器性能、郵箱運(yùn)行異常。

攻擊方法：黑客通過多渠道獲取員工郵箱密碼，進(jìn)而登錄到郵箱系統(tǒng)進(jìn)行垃圾郵件發(fā)送操作。

攻擊目的：炫技或挑釁中招單位；向政府機(jī)構(gòu)、企業(yè)勒索錢財，以到達(dá)自身盈利目的。

（二）郵箱DDoS攻擊

主要現(xiàn)象：無法正常發(fā)送郵件、服務(wù)器宕機(jī)。

主要危害：郵件服務(wù)器業(yè)務(wù)中斷，用戶無法正常發(fā)送郵件。

攻擊方法：黑客對郵件服務(wù)器進(jìn)行郵箱爆破、發(fā)送大量垃圾數(shù)據(jù)包、投遞大量惡意郵件等。

攻擊目的：通過DDoS攻擊導(dǎo)致郵件服務(wù)器資源耗盡并拒絕服務(wù)，以達(dá)到敲詐、勒索以及惡意競爭等目的。

（三）郵箱安全總結(jié)及防護(hù)建議

常見攻擊手段

以上兩類郵件服務(wù)器安全威脅，是政府機(jī)構(gòu)、大中型企業(yè)郵件服務(wù)器所面臨的主要威脅，也是郵件服務(wù)器安全應(yīng)急響應(yīng)服務(wù)所要解決的主要問題。

通過對現(xiàn)場處置情況的匯總和分析得知，黑客主要采用以下攻擊手段對郵件服務(wù)器實(shí)施攻擊：

1）  通過弱口令探測、社會人工學(xué)等多種攻擊方式控制郵件服務(wù)器，從而發(fā)送垃圾郵件；

2）  對郵件服務(wù)器進(jìn)行郵箱爆破、發(fā)送垃圾數(shù)據(jù)包、投遞惡意郵件等。

安全防護(hù)建議

針對郵件服務(wù)器所面臨的安全威脅以及可能造成的安全損失，政府機(jī)構(gòu)、大中型企業(yè)應(yīng)采取以下安全防護(hù)措施：

1）  郵箱系統(tǒng)使用高復(fù)雜強(qiáng)度的密碼，盡量包含大小寫字母、數(shù)字、特殊符號等的混合密碼，禁止密碼重用的情況出現(xiàn)；

2）  郵箱系統(tǒng)建議開啟短信驗證功能，采用雙因子身份驗證識別措施，將有效提高郵箱賬號的安全性；

3）  郵箱系統(tǒng)開啟HTTPS協(xié)議，通過加密傳輸?shù)姆绞椒乐古月窋?shù)據(jù)竊聽攻擊；

4）  加強(qiáng)日常攻擊監(jiān)測預(yù)警、巡檢、安全檢查等工作，及時阻斷攻擊行為；

5）  部署安全郵件網(wǎng)關(guān)進(jìn)一步加強(qiáng)郵件系統(tǒng)安全。

第四章  應(yīng)急響應(yīng)典型案例

根據(jù)2018年應(yīng)急響應(yīng)數(shù)據(jù)分析，18年應(yīng)急響應(yīng)共涉及全國26個省市，近30個行業(yè)，其中包括醫(yī)療衛(wèi)生，大中型企業(yè)、政府機(jī)構(gòu)，高等院校等多個行業(yè)。發(fā)生安全事件類型10余種，其中不乏各種變種勒索病毒，蠕蟲病毒以及會導(dǎo)致CPU運(yùn)行過高的挖礦木馬。長生了較為惡劣的社會負(fù)面影響，也給客戶帶來嚴(yán)重?fù)p失。

下面將對部分行業(yè)從事件概述以及防護(hù)建議方面對突發(fā)大規(guī)模典型應(yīng)急事件進(jìn)行分析說明。

一、   某醫(yī)院服務(wù)器勒索軟件事件應(yīng)急響應(yīng)

（一）  事件概述

2018年1月，360安服團(tuán)隊接到某醫(yī)院的服務(wù)器安全應(yīng)急響應(yīng)請求?？蛻舴答佊袔着_服務(wù)器出現(xiàn)重啟/藍(lán)屏現(xiàn)象，應(yīng)急響應(yīng)人員初步判定為感染了勒索軟件。

應(yīng)急響應(yīng)人員對重啟/藍(lán)屏服務(wù)器分析后，判定均遭受永恒之藍(lán)勒索軟件，同時遭受感染的服務(wù)器中部分文件被加密。通過對服務(wù)器進(jìn)行漏洞檢查發(fā)現(xiàn)服務(wù)器存在MS17-010漏洞，同時發(fā)現(xiàn)服務(wù)器開放了445端口。

通過本次安全事件，醫(yī)院信息系統(tǒng)暴露了諸多安全隱患，包括未定期開展安全評估工作，導(dǎo)致內(nèi)部服務(wù)器存在嚴(yán)重高危漏洞；安全域劃分不明確，較為混亂；安全意識仍需加強(qiáng)等。

（二）  防護(hù)建議

周期性對全網(wǎng)進(jìn)行安全評估工作，及時發(fā)現(xiàn)網(wǎng)絡(luò)主機(jī)存在的安全缺陷，修復(fù)高風(fēng)險漏洞，避免類似事件發(fā)生；

系統(tǒng)、應(yīng)用相關(guān)的用戶杜絕使用弱口令；

有效加強(qiáng)訪問控制ACL策略，細(xì)化策略粒度，采用白名單機(jī)制只允許開放特定的業(yè)務(wù)必要端口，其他端口一律禁止訪問，僅管理員IP可對管理端口進(jìn)行訪問；

加強(qiáng)日常安全巡檢制度，定期對系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合、安全日志以及安全策略落實(shí)情況進(jìn)行檢查，常態(tài)化信息安全工作；

加強(qiáng)安全意識，提高對網(wǎng)絡(luò)安全的認(rèn)識，關(guān)注重要漏洞與網(wǎng)絡(luò)安全事件。

二、    某電網(wǎng)公司終端勒索軟件事件應(yīng)急響應(yīng)

（一）  事件概述

2018年4月，360安服團(tuán)隊接到某電網(wǎng)公司的終端安全應(yīng)急響應(yīng)請求，有幾臺辦公終端出現(xiàn)部分Office文檔、圖片文檔、pdf文檔多sage后綴，修改后變成亂碼。

應(yīng)急響應(yīng)人員接到請求后，通過對感染勒索軟件的機(jī)器樣機(jī)進(jìn)行分析得知，此次感染的勒索軟件的類型為sage2.2勒索軟件。對于感染過程，響應(yīng)人員分析該勒索軟件可能使用了包含欺騙性消息的惡意電子郵件，消息可以是各種類型，皆在使?jié)撛谑芎φ叽蜷_這些電子郵件的惡意.zip。

（二）  防護(hù)建議

對受感染的機(jī)器第一時間進(jìn)行物理隔離處理;

部署終端安全管控軟件，實(shí)時對終端進(jìn)行查殺和防護(hù)；

對個人PC中比較重要的穩(wěn)定資料進(jìn)行隨時備份，備份應(yīng)離線存儲；

繼續(xù)加強(qiáng)網(wǎng)絡(luò)與信息安全意識培訓(xùn)教育。意外收到的或來自未知發(fā)件人的電子郵件，不要按照文字中的說明進(jìn)行操作，不要打開任何附件，也不要點(diǎn)擊任何鏈接；

操作系統(tǒng)以及安裝在計算機(jī)上的所有應(yīng)用程序（例如Adobe Reader，Adobe Flash，Sun Java等）必須始終如一地更新。

三、    某汽車公司挖礦木馬事件應(yīng)急響應(yīng)

（一）事件概述

2018年11月，360安服團(tuán)隊接到某汽車公司的挖礦木馬事件應(yīng)急響應(yīng)請求，其內(nèi)網(wǎng)多臺終端被挖礦木馬攻擊，服務(wù)器卡頓、進(jìn)程緩慢，無法正常運(yùn)行。

應(yīng)急人員到達(dá)現(xiàn)場后，對內(nèi)網(wǎng)服務(wù)器、終端進(jìn)程、日志等多方面進(jìn)行分析，發(fā)現(xiàn)內(nèi)網(wǎng)服務(wù)器、終端CPU被powershell進(jìn)程占滿，服務(wù)器、終端均開放135、139、445等服務(wù)端口，且均未安裝“永恒之藍(lán)”補(bǔ)丁。

經(jīng)過分析排查，應(yīng)急人員成功找到問題根源，并對病毒進(jìn)行抑制、根除。本次事件主要是由于內(nèi)部工作人員安全意識較低，點(diǎn)擊惡意鏈接感染終端，然后通過被感染終端對服務(wù)器SMB弱口令進(jìn)行爆破獲取服務(wù)器賬號和密碼，并利用服務(wù)器作為突破口，對內(nèi)網(wǎng)中有“永恒之藍(lán)”漏洞的主機(jī)進(jìn)行攻擊，種植挖礦木馬，并橫向傳播，意圖感染內(nèi)網(wǎng)其他終端。

（二）防護(hù)建議

系統(tǒng)、應(yīng)用相關(guān)的用戶杜絕使用弱口令，同時，應(yīng)該使用高復(fù)雜強(qiáng)度的密碼，盡量包含大小寫字母、數(shù)字、特殊符號等的混合密碼，加強(qiáng)管理員安全意識，禁止密碼重用的情況出現(xiàn)，盡量避免一密多用的情況；

禁止服務(wù)器主動發(fā)起外部連接請求，對于需要向外部服務(wù)器推送共享數(shù)據(jù)的，應(yīng)使用白名單的方式，在出口防火墻加入相關(guān)策略，對主動連接IP范圍進(jìn)行限制；

關(guān)閉內(nèi)網(wǎng)遠(yuǎn)程服務(wù)、共享等危險性服務(wù)端口；

定期更新電腦補(bǔ)丁，使用正確渠道，如微軟官網(wǎng)，下載對應(yīng)漏洞補(bǔ)?。?/span>

服務(wù)器上部署安全加固軟件，通過限制異常登錄行為、開啟防爆破功能、禁用或限用危險端口、防范漏洞利用等方式，提高系統(tǒng)安全基線，防范黑客入侵；

部署高級威脅監(jiān)測設(shè)備，及時發(fā)現(xiàn)惡意網(wǎng)絡(luò)流量，同時可進(jìn)一步加強(qiáng)追蹤溯源能力，對安全事件發(fā)生時可提供可靠的追溯依據(jù)；

定期開展對系統(tǒng)、應(yīng)用以及網(wǎng)絡(luò)層面的安全評估、滲透測試以及代碼審計工作，主動發(fā)現(xiàn)目前系統(tǒng)、應(yīng)用存在的安全隱患；

加強(qiáng)人員安全意識培養(yǎng)，不要點(diǎn)擊來源不明的郵件附件，不從不明網(wǎng)站下載軟件。

四、    某部委CC事件應(yīng)急響應(yīng)

（一）  事件概述

2018年3月，360安服團(tuán)隊接到某部委的網(wǎng)站安全應(yīng)急響應(yīng)請求，網(wǎng)站存在動態(tài)頁面訪問異常緩慢現(xiàn)象，但靜態(tài)頁面訪問正常，同時WAF、DDoS設(shè)備出現(xiàn)告警信息。

應(yīng)急響應(yīng)人員通過對現(xiàn)場技術(shù)人員所提供WAF告警日志、DDoS設(shè)備日志、Web訪問日志等數(shù)據(jù)進(jìn)行分析，發(fā)現(xiàn)外部對網(wǎng)站的某個動態(tài)頁面全天的訪問量多達(dá)12萬次，從而導(dǎo)致動態(tài)頁面訪問緩慢。

根據(jù)本次攻擊事件的分析，造成網(wǎng)站動態(tài)頁面訪問緩慢的原因主要是攻擊者頻繁請求“XXX頁面”的功能，同時該頁面查詢過程中并未要求輸入驗證碼信息，大量頻繁的HTTP請求以及數(shù)據(jù)庫查詢請求導(dǎo)致CC攻擊，從而使服務(wù)器處理壓力過大，最終導(dǎo)致頁面訪問緩慢。

（二）  防護(hù)建議

對動態(tài)頁面添加有效且復(fù)雜的驗證碼功能，確保驗證碼輸入正確后才進(jìn)入查詢流程，并每次進(jìn)行驗證碼刷新；

檢查動態(tài)頁面是否存在SQL注入漏洞；

加強(qiáng)日常監(jiān)測運(yùn)營，開啟安全設(shè)備上的攔截功能，特別對同一IP的頻繁請求進(jìn)行攔截封鎖；

建議部署全流量的監(jiān)測設(shè)備，從而彌補(bǔ)訪問日志上無法記錄POST具體數(shù)據(jù)內(nèi)容的不足，有效加強(qiáng)溯源能力；

相關(guān)負(fù)載設(shè)備或反向代理上應(yīng)重新進(jìn)行配置，使Web訪問日志可記錄原始請求IP，有助于提高溯源分析效率；

開啟源站保護(hù)功能，確保只允許CDN節(jié)點(diǎn)訪問源站；

定期開展?jié)B透測試工作以及源代碼安全審計工作。

五、    某證券公司DDoS事件應(yīng)急響應(yīng)

（一）  事件概述

2018年6月，360安服團(tuán)隊接到某省網(wǎng)安的應(yīng)急響應(yīng)請求，本地證券公司在10日7:00-8:00遭受1G流量的DDoS攻擊，整個攻擊過程持續(xù)了1個小時，造成證券公司網(wǎng)站無法正常訪問。同時，多個郵箱收到勒索郵件，并宣稱如不盡快交錢會把攻擊流量增加到1T。

應(yīng)急響應(yīng)人員通過利用360大數(shù)據(jù)平臺對網(wǎng)站域名進(jìn)行分析，發(fā)現(xiàn)了Top10 IP地址對被攻擊地址進(jìn)行了DDoS攻擊，并發(fā)現(xiàn)其攻擊類型為NTP反射放大攻擊。通過后端大數(shù)據(jù)綜合分析，準(zhǔn)確定位了攻擊者的真實(shí)IP地址。

（二）  防護(hù)建議

針對重要業(yè)務(wù)系統(tǒng)、重要網(wǎng)站等，建立完善的監(jiān)測預(yù)警機(jī)制，及時發(fā)現(xiàn)攻擊行為，并啟動應(yīng)急預(yù)案及時對攻擊行為進(jìn)行防護(hù)；

建議部署類似于360安域等的云安全防護(hù)產(chǎn)品，云端安全防護(hù)產(chǎn)品對常見的DDoS、Web行為攻擊等進(jìn)行有效防護(hù)。

六、   某集團(tuán)網(wǎng)站掛馬事件應(yīng)急響應(yīng)

（一）事件概述

2018年5月，360安服團(tuán)隊接到某集團(tuán)網(wǎng)站掛馬事件應(yīng)急響應(yīng)請求，客戶門戶網(wǎng)站被掛馬，非域名或IP直接訪問跳轉(zhuǎn)色情網(wǎng)站。

應(yīng)急人員到達(dá)現(xiàn)場后，對網(wǎng)站系統(tǒng)、服務(wù)器文件、賬號、網(wǎng)絡(luò)鏈接、日志等多方面進(jìn)行分析，網(wǎng)站網(wǎng)頁被植入惡意JS腳本代碼，同時網(wǎng)站系統(tǒng)存在DOTNETCMS 1.0 版本漏洞。

經(jīng)過分析排查，本次事件中黑客主要通過對網(wǎng)站進(jìn)行掃描，發(fā)現(xiàn)網(wǎng)站系統(tǒng)存在SQL注入、登陸繞過、任意文件上傳等漏洞，黑客通過利用漏洞獲取系統(tǒng)權(quán)限，并在網(wǎng)頁中加入惡意JS腳本，并為了不被內(nèi)部管理維護(hù)人員發(fā)現(xiàn)，以達(dá)到更長時間的黑帽SEO流量，黑客使用只從百度等搜索引擎跳轉(zhuǎn)，其他則不跳轉(zhuǎn)。

（二）防護(hù)建議

1、 平時運(yùn)維過程中應(yīng)當(dāng)及時備份重要文件，且文件備份應(yīng)與主機(jī)隔離，規(guī)避通過共享磁盤等方式進(jìn)行備份；

2、盡量避免打開來源不明的鏈接，給信任網(wǎng)站添加書簽并通過書簽訪問；

3、對非可信來源的郵件保持警惕，避免打開附件或點(diǎn)擊郵件中的鏈接；

4、定期用專業(yè)反病毒軟件掃描系統(tǒng).及時對服務(wù)器的補(bǔ)丁進(jìn)行更新；

5、定期開展對系統(tǒng)、應(yīng)用以及網(wǎng)絡(luò)層面的安全評估、滲透測試以及代碼審計工作，主動發(fā)現(xiàn)目前系統(tǒng)、應(yīng)用存在的安全隱患；

6、 加強(qiáng)日常安全巡檢制度，定期對系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合、安全日志以及安全策略落實(shí)情況進(jìn)行檢查，常態(tài)化信息安全工作。

七、   某大學(xué)網(wǎng)站非法頁面應(yīng)急響應(yīng)

（一）  事件概述

2018年5月，360安服團(tuán)隊接到某大學(xué)信息中心的網(wǎng)站安全應(yīng)急響應(yīng)請求，其官網(wǎng)上出現(xiàn)大量黑鏈、賭博、游戲外掛等違規(guī)關(guān)鍵詞。

應(yīng)急響應(yīng)人員到達(dá)現(xiàn)場后，對網(wǎng)站服務(wù)器文件、服務(wù)器賬號、網(wǎng)絡(luò)連接、進(jìn)程信息、服務(wù)信息、日志信息等多方面進(jìn)行分析，發(fā)現(xiàn)文件中包含大量aspx木馬及gif圖片偽裝成木馬，發(fā)現(xiàn)存在多個無效賬號，以及向外連接的可疑IP地址。

經(jīng)過分析排查發(fā)現(xiàn)，本次事件中所使用的黑鏈?zhǔn)址楹诋a(chǎn)行業(yè)慣用手法，利用搜索引擎對大學(xué)院校網(wǎng)站發(fā)表內(nèi)容收錄快、排名高等優(yōu)勢，利用網(wǎng)站后臺程序漏洞對網(wǎng)站進(jìn)行攻擊，上傳webshell木馬文件至服務(wù)器，獲取網(wǎng)站管理權(quán)限并篡改服務(wù)器原有文件，插入黑鏈惡意腳本，達(dá)到控制搜索引擎網(wǎng)頁訪問跳轉(zhuǎn)，實(shí)現(xiàn)搜索引擎“黑帽SEO”。在獲取權(quán)限后克隆服務(wù)器管理員賬號以達(dá)到長期控制服務(wù)器的目的。

（二）  防護(hù)建議

建議部署操作系統(tǒng)及相關(guān)應(yīng)用并生成快照，進(jìn)一步落實(shí)口令管理；

建議使用獨(dú)立的、隨機(jī)生成的滿足強(qiáng)度要求的口令，嚴(yán)禁使用弱口令、統(tǒng)一口令管理服務(wù)器，及時銷毀臨時、測試賬戶；

修改后臺管理員密碼為復(fù)雜密碼，修改后臺管理目錄為復(fù)雜路徑防止被攻擊者猜到，禁用或刪除后臺模板功能；

服務(wù)器運(yùn)行環(huán)境部署需要進(jìn)行加固處理，關(guān)注各個應(yīng)用系統(tǒng)所使用程序、組件、第三方插件等安全現(xiàn)狀，及時更新相應(yīng)的補(bǔ)丁版本；

加強(qiáng)對敏感服務(wù)器、配置文件、目錄的訪問控制，以免敏感配置信息泄露；加強(qiáng)信息系統(tǒng)安全配置檢查工作。

八、    某部委蠕蟲病毒事件應(yīng)急響應(yīng)

（一）事件概述

2018年11月，360安服團(tuán)隊接到某部委蠕蟲病毒事件應(yīng)急響應(yīng)請求，內(nèi)網(wǎng)多臺終端外聯(lián)外部惡意域名下載惡意軟件。

應(yīng)急人員到達(dá)現(xiàn)場后，對內(nèi)網(wǎng)服務(wù)器文件、服務(wù)器賬號、網(wǎng)絡(luò)鏈接等、日志等多方面進(jìn)行分析，發(fā)現(xiàn)內(nèi)網(wǎng)主機(jī)用戶瀏覽帶有惡意鏈接的Web頁面，并于內(nèi)嵌鏈接中觸發(fā)對該異常域名的訪問，導(dǎo)致服務(wù)器被感染飛客蠕蟲病毒，并外聯(lián)下載惡意軟件。該病毒會對隨機(jī)生成的IP地址發(fā)起攻擊，攻擊成功后會下載一個木馬病毒，通過修改注冊表鍵值來使某免費(fèi)安全工具功能失效。病毒會修改hosts文件，使用戶無法正常訪問安全廠商網(wǎng)站及服務(wù)器。

（二）防護(hù)建議

 配置并開啟操作系統(tǒng)、關(guān)鍵應(yīng)用等自動更新功能，對最新系統(tǒng)、應(yīng)用安全補(bǔ)丁進(jìn)行訂閱、更新。避免攻擊者通過相關(guān)系統(tǒng)、應(yīng)用安全漏洞對系統(tǒng)實(shí)施攻擊，或在獲取系統(tǒng)訪問權(quán)限后，對系統(tǒng)用戶權(quán)限進(jìn)行提升；

 限制服務(wù)器及其他業(yè)務(wù)服務(wù)網(wǎng)可進(jìn)行訪問的網(wǎng)絡(luò)、主機(jī)范圍。有效加強(qiáng)訪問控制ACL策略，細(xì)化策略粒度，按區(qū)域按業(yè)務(wù)嚴(yán)格限制各個網(wǎng)絡(luò)區(qū)域以及服務(wù)器之間的訪問，采用白名單機(jī)制只允許開放特定的業(yè)務(wù)必要端口，其他端口一律禁止訪問，僅管理員IP可對管理端口進(jìn)行訪問，如FTP、數(shù)據(jù)庫服務(wù)、遠(yuǎn)程桌面等管理端口，限制公網(wǎng)主機(jī)對139、445端口等訪問；

部署高級威脅監(jiān)測設(shè)備，及時發(fā)現(xiàn)惡意網(wǎng)絡(luò)流量，同時可進(jìn)一步加強(qiáng)追蹤溯源能力，對安全事件發(fā)生時可提供可靠的追溯依據(jù)；

定期開展對系統(tǒng)、應(yīng)用以及網(wǎng)絡(luò)層面的安全評估、滲透測試以及代碼審計工作，主動發(fā)現(xiàn)目前系統(tǒng)、應(yīng)用存在的安全隱患；

加強(qiáng)日常安全巡檢制度，定期對系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合、安全日志以及安全策略落實(shí)情況進(jìn)行檢查，常態(tài)化信息安全工作；

服務(wù)器上部署安全加固軟件，通過限制異常登錄行為、開啟防爆破功能、禁用或限用危險端口、防范漏洞利用等方式，提高系統(tǒng)安全基線，防范黑客入侵；

加強(qiáng)人員安全意識培養(yǎng)，不要點(diǎn)擊來源不明的郵件附件，不從不明網(wǎng)站下載軟件。對來源不明的文件包括郵件附件、上傳文件等要先殺毒處理。

九、   某人民法院遭到APT攻擊事件應(yīng)急響應(yīng)

（一）事件概述

2018年12月，360安服團(tuán)隊接到某人民法院遭到APT攻擊事件應(yīng)急響應(yīng)請求，客戶天眼存在APT告警行為，服務(wù)器存在失陷跡象，要求對服務(wù)器進(jìn)行排查，同時對攻擊影響進(jìn)行分析。

應(yīng)急人員到達(dá)現(xiàn)場后，對內(nèi)網(wǎng)服務(wù)器文件、服務(wù)器賬號、網(wǎng)絡(luò)鏈接、日志等多方面進(jìn)行分析，發(fā)現(xiàn)內(nèi)網(wǎng)主機(jī)和大量服務(wù)器遭到APT組織lazarus的惡意攻擊，并被植入惡意Brambul 蠕蟲病毒和Joanap 后門程序。

經(jīng)過分析排查，本次事件中APT組織所使用的是通過植入惡意Brambul蠕蟲病毒和Joanap 后門程序，進(jìn)行長期潛伏，盜取重要信息數(shù)據(jù)。黑客通過服務(wù)器ssh弱口令爆破以及利用服務(wù)器“永恒之藍(lán)”漏洞對服務(wù)器進(jìn)行攻擊，獲取服務(wù)器權(quán)限，并通過主機(jī)設(shè)備漏洞對大量主機(jī)進(jìn)行攻擊，進(jìn)而植入蠕蟲病毒以及后門程序，進(jìn)行長期的數(shù)據(jù)盜取。

（二）防護(hù)建議

1、 內(nèi)網(wǎng)主機(jī)存在入侵痕跡，并存在可疑橫向傳播跡象，建議對內(nèi)網(wǎng)主機(jī)做全面排查，部署終端查殺工具做全面查殺；

2、 內(nèi)網(wǎng)服務(wù)器存在未安裝補(bǔ)丁現(xiàn)象，建議定期做補(bǔ)丁安裝，做好服務(wù)器加固；

3、 整個專網(wǎng)可任意訪問，未做隔離，建議做好邊界控制，對各區(qū)域法院間的訪問做好訪問控制；

4、 服務(wù)器運(yùn)行業(yè)務(wù)不清晰，存在一臺服務(wù)器存在其它未知業(yè)務(wù)的現(xiàn)象，建議梳理系統(tǒng)業(yè)務(wù)，做好獨(dú)立系統(tǒng)運(yùn)行獨(dú)立業(yè)務(wù)，并做好責(zé)任劃分；

5、 失陷服務(wù)器存在異?？寺≠~號風(fēng)險，建議全面排查清理不必要的系統(tǒng)賬號；

6、 需嚴(yán)格排查內(nèi)外網(wǎng)資產(chǎn)，做好資產(chǎn)梳理，尤其是外網(wǎng)出口做好嚴(yán)格限制；

7、 應(yīng)用服務(wù)器需做好日志存留，對于操作系統(tǒng)日志，應(yīng)定期進(jìn)行備份，并進(jìn)行雙機(jī)熱備，防止日志被攻擊者惡意清除，增大溯源難度；

8、系統(tǒng)、應(yīng)用相關(guān)的用戶杜絕使用弱口令，同時，應(yīng)該使用高復(fù)雜強(qiáng)度的密碼，盡量包含大小寫字母、數(shù)字、特殊符號等的混合密碼，加強(qiáng)管理員安全意識，禁止密碼重用的情況出現(xiàn)；

9、禁止服務(wù)器主動發(fā)起外部連接請求，對于需要向外部服務(wù)器推送共享數(shù)據(jù)的，應(yīng)使用白名單的方式，在出口防火墻加入相關(guān)策略，對主動連接IP范圍進(jìn)行限制；

10、重點(diǎn)建議在服務(wù)器上部署安全加固軟件，通過限制異常登錄行為、開啟防爆破功能、禁用或限用危險端口、防范漏洞利用等方式，提高系統(tǒng)安全基線，防范黑客入侵；

11、部署全流量監(jiān)測設(shè)備，及時發(fā)現(xiàn)惡意網(wǎng)絡(luò)流量，同時可進(jìn)一步加強(qiáng)追蹤溯源能力，對安全事件發(fā)生時可提供可靠的追溯依據(jù)。