360-2018年网络安全应急响应分析报告-2019.1-28页.pdf.pdf

2018 年 网络安全应急响应分析报告 2019 年 01 月 16 日 主要观点 凡事预则立，不预则废。网络安全应急响应是为了对网络安全有所认识、有所准备，以 便在遇到突发网络安全事件时做到有序应对、妥善处理。 2018 年全年，全国应急响应服务需求呈逐步上升趋势，自 2017 年“永恒之蓝”勒索病 毒爆发以来，针对政府、金融等行业的攻击层出不穷，我国网络安全态势严峻。 政府、医疗、金融和教育培训行业是 2018 年黑客攻击的主要目标，传媒、银行、科研 等关键基础设施行业也面临着越来越多的安全威胁风险。 网络安全防护存在短板、 人员 缺乏安全意识是网络攻击有机可乘的重要原因，应大力倡导各行各业，通过宣传教育、 攻防演练等方式，加强网络安全意识培训。 2018 年，应急响应处理安全事件中，勒索病毒攻击是政府机构、大中型企业服务器、终 端失陷的重要原因之一，面对勒索病毒的频繁变种，政府机构、大中型企业应打破传统 安全防护观念， 多角度看待安全问题， 实现安全能力的大幅提升与技术体系的全面升级。 网络安全应急响应工作应成为政府机构、 大中型企业日常管理的一部分。 勒索病毒等影 响广泛的网络安全事件可能扩大为全行业、 全国甚至全球性问题， 网络安全应急响应需 要政府机构、安全厂商、企业加强合作、取长补短，必要时进行跨国协作。 网络安全厂商提供的网络安全应急服务已经成为政府机构、 大中型企业有效应对网络安 全突发事件的重要手段。 网络安全应急服务应该基于数据驱动、 安全能力服务化的安全 服务运营理念，结合云端大数据和专家诊断，为客户提供安全运维、预警检测、持续响 应、数据分析、咨询规划等一系列的安全保障服务。 摘 要 2018 年全年 360 安服团队共参与和处置了 717 起网络安全应急响应事件. 行业应急处置排在前三位的分别为公检法（66 起） 、政府部门（63 起） 、医疗机构（56 起） ，占到所有行业应急处置的 9.0%、8.0%、8.0%，三者之和约占应急处置事件总量的 25%。 在 2018 年 360 安服团队参与处置的所有政府机构和企业的网络安全应急响应事件中， 由行业单位自己发现的安全攻击事件占 92%，而另有 8%的安全攻击事件政府机构和企 业实际上是不自知的，他们是在得到了监管机构或主管单位的通报才得知已被攻击。 安全事件的影响范围主要集中在外部网站和内部网站（25.3%） 、内部服务器和数据库 （18.7%） 。除此之外，还占有一定比例的还有办公终端（17.5%） 、业务专网（6.3%） 。 黑产活动、敲诈勒索仍然是攻击者攻击政府机构、大中型企业的主要原因。攻击者通过 黑词暗链、钓鱼页面、挖矿程序等攻击手段开展黑产活动谋取暴利；利用勒索病毒感染 政府机构、大中型企业终端、服务器，对其实施敲诈勒索。 从上述数据可以看出，攻击者对系统的攻击所产生现象主要表现为导致生产效率低下、 破坏性攻击、声誉影响、系统不可用。其中，导致生产效率低下占比 20%，数据丢失占 比 13%，破坏性攻击占比 10%。 关键词：关键词：应急响应、安全服务、敲诈勒索、黑产活动、木马病毒 目 录 第一章 研究背景 . 1 第二章 应急响应监测分析 . 2 一、 月度报告趋势分析 . 2 二、 行业报告排名分析 . 2 三、 攻击事件发现分析 . 3 四、 影响范围分布分析 . 5 五、 攻击意图分布分析 . 5 六、 攻击现象统计分析 . 6 七、 事件类型分布分析 . 7 第三章 应急响应服务分析 . 9 一、 网站安全 . 9 （一） 网页被篡改 . 9 （二） 非法子页面 . 9 （三） 网站 DDoS 攻击 . 9 （四） CC 攻击 . 9 （五） 网站流量异常 . 10 （六） 异常进程与异常外联 . 10 （七） 网站安全总结及防护建议 . 10 二、 终端安全 . 11 （一） 运行异常 . 11 （二） 勒索病毒 . 11 （三） 终端 DDoS 攻击 . 12 （四） 终端安全总结及防护建议 . 12 三、 服务器安全 . 12 （一） 运行异常 . 12 （二） 木马病毒 . 13 （三） 勒索病毒 . 13 （四） 服务器 DDoS 攻击 . 13 （五） 服务器安全总结及防护建议 . 13 四、 邮箱安全 . 14 （一） 邮箱异常 . 14 （二） 邮箱 DDoS 攻击 . 15 （三） 邮箱安全总结及防护建议 . 15 第四章 应急响应典型案例 . 16 一、 某医院服务器勒索软件事件应急响应 . 16 （一） 事件概述 . 16 （二） 防护建议 . 16 二、 某电网公司终端勒索软件事件应急响应 . 16 （一） 事件概述 . 16 （二） 防护建议 . 17 三、 某汽车公司挖矿木马事件应急响应 . 17 （一） 事件概述 . 17 （二） 防护建议 . 17 四、 某部委 CC 事件应急响应 . 18 （一） 事件概述 . 18 （二） 防护建议 . 18 五、 某证券公司 DDOS 事件应急响应 . 18 （一） 事件概述 . 18 （二） 防护建议 . 18 六、 某集团网站挂马事件应急响应 . 19 （一） 事件概述 . 19 （二） 防护建议 . 19 七、 某大学网站非法页面应急响应 . 19 （一） 事件概述 . 19 （二） 防护建议 . 20 八、 某部委蠕虫病毒事件应急响应 . 20 （一） 事件概述 . 20 （二） 防护建议 . 20 九、 某高级人民法院遭到 APT 攻击事件应急响应. 21 （一） 事件概述 . 21 （二） 防护建议 . 21 第五章 附录 360 安服团队 . 23 1 第一章 研究背景 当前，网络空间安全形势日益严峻，国内政府机构、大中型企业的门户网站和重要 核心业务系统成为攻击者的首要攻击目标，安全事件层出不穷、逐年增加，给各单位造 成严重的影响。为妥善处置和应对政府机构、大中型企业关键信息基础设施发生的突发 事件，确保关键信息基础设施的安全、稳定、持续运行，防止造成重大声誉影响和经济 损失，需进一步加强网络安全与信息化应急保障能力。 2018 年， 360 安全服务团队/360 安服团队共为全国各地 600 余家政府机构、 大中型 企业提供了网络安全应急响应服务， 参与和协助处置各类网络安全应急响应事件717次， 第一时间恢复系统运行，最大限度减少突发安全事件对政府机构、大中型企业的门户网 站和业务系统造成的损失和对公众的不良影响，提高了公众服务满足度。同时，为政府 机构、大中型企业建立完善的应急响应体系提供技术支撑。 网络安全应急响应服务是安全防护的最后一道防线， 巩固应急防线对安全能力建设 至关重要。 360 构建了全流程的应急响应服务体系， 为政府机构、 大中型企业提供高效、 实时、全生命周期的应急服务。 2 第二章 应急响应监测分析 2018 年 360 安服团队共参与和处置了 717 起全国范围内的网络安全应急响应事件，第 一时间协助用户处理安全事故，确保了用户门户网站和重要业务系统的持续安全稳定运行。 为进一步提高政府机构、大中型企业对突发安全事件的认识，增强安全防护意识，同时强化 第三方安全服务商的应急响应能力，对 2018 年全年处置的所有应急响应事件从不同维度进 行统计分析，反映全年的应急响应情况和攻击者的攻击目的及意图。 一、 月度报告趋势分析 2018 年全年 360 安服团队共参与和处置了 717 起网络安全应急响应事件，月度报告趋 势分布如下图所示： 从上述数据中可以看到， 每年年初和年底发生的应急响应事件请求存在较大反差， 年初 处置的安全应急请求较少，年底相对较多，8 月份应急请求达全年最高，全年整体上处置的 安全应急请求趋于上升趋势。 对政府机构、大中型企业的攻击从未间断过，在重要时期的攻击更加频繁。所以，政府 机构、大中型企业应做好全年的安全防护工作，特别是重要时期的安全保障工作，同时建立 完善的应急响应机制。 二、 行业报告排名分析 通过对 2018 年全年应急响应事件行业分类分析，汇总出行业应急处置数量排名，如下 图所示： 3 需要说明的是，应急响应次数多，并不意味着这个行业的整体安全状况差。这与机构本 身的数量和性质有关，与 360 的客户覆盖也有关。 从上述数据中可以看出，行业应急处置排在前三位的分别为公检法（66 起） 、政府部门 （63 起） 、医疗机构（56 起） ，占到所有行业应急处置的 9.0%、8.0%、8.0%，三者之和约占 应急处置事件总量的 25%，即全年应急响应事件四分之一是出在政府部门、事业单位、金融 机构。而金融、教育培训、事业单位、IT 信息技术、制造业所产生的应急响应事件也占到了 所有行业的 18%。 从行业报告排名可知，攻击者的主要攻击对象为公检法、各级政府部门以及医疗卫生， 其次为金融、教育培训、IT 信息技术和事业单位，从中窃取数据、敲诈勒索。上述机构在原 有安全防护基础上， 应进一步强化安全技术和管理建设， 同时应与第三方安全服务商建立良 好的应急响应沟通和处置机制。 三、 攻击事件发现分析 政企机构对网络攻击的重视程度、 发现能力和主动响应的能力正在显著上升。 2016 年， 在 360 安服团队参与处置的网络安全应急响应事件中， 仅有 31.5%的攻击事件是政企机构自 行发现的， 其他 68.5%均为接到了第三方机构通报。 这些第三方机构包括网络安全监管机构， 行业主管机构和媒体等。 但是，2017 年和 2018 年的统计数据显示，近九成的攻击事件都是政企机构自行发现并 请求援助的。分析认为，这可能主要是由于 2017 年 6 月网络安全法的实施，大中型政 企机构对安全事件的应急响应重视程度大幅提高， 尽早发现， 尽早处置， 自行响应渐成主流。 但是，仍有近一成的安全事件，企业实际上是不自知的，他们是在得到了监管机构的通报或 看到了媒体的公开报道后，才得知自己已经被攻击了。 4 通过对 2018 年全年应急响应事件攻击发现类型分析，汇总出攻击事件发现情况，如下 图所示： 在 2018 年 360 安服团队参与处置的所有政府机构和企业的网络安全应急响应事件中， 由行业单位自己发现的安全攻击事件占 92%，而另有 8%的安全攻击事件政府机构和企业实 际上是不自知的，他们是在得到了监管机构或主管单位的通报才得知已被攻击。 虽然政府机构和企业自行发现的安全攻击事件占到了 92%， 但并不代表其具备了潜在威 胁的发现能力。其中，占安全攻击事件总量 61%的事件是政府机构和企业通过内部安全运营 巡检的方式自主查出的，而其余 31%的安全攻击事件能够被发现，则完全是因为其网络系统 已经出现了显著的入侵迹象，或者是已经遭到了攻击者的敲诈勒索。更有甚者，某些单位实 际上是在已经遭遇了巨大的财产损失后才发现自己的网络系统遭到了攻击。 从上述数据中可以看出，政府机构、大中型企业仍然普遍缺乏足够的安全监测能力，缺 乏主动发现隐蔽性较好地入侵威胁的能力。 5 四、 影响范围分布分析 通过对 2017 年全年应急响应事件处置报告分析，汇总出安全事件的影响范围分布即失 陷区域分布，如下图所示： 从上述数据中可以看出， 安全事件的影响范围主要集中在外部网站和内部网站 （25.3%） 、 内部服务器和数据库（18.7%） 。除此之外，还占有一定比例的还有办公终端（17.5%） 、业务 专网（6.3%） 。 从影响范围分布可知， 攻击者的主要攻击对象为政府机构、 大中型企业的互联网门户网 站、内部网站、内部业务系统服务器以及数据库，其主要原因是门户网站暴露在互联网上受 到多重安全威胁，攻击者通过对网站的攻击，实现敲诈勒索、满足个人利益需求；而内部网 站、内部服务器和数据库运行核心业务系统、存放重要数据，也成为攻击者进行黑产活动、 敲诈勒索等违法行为的主要攻击目标。 基于此，政府机构、大中型企业应强化对互联网门户网站的安全防护建设，加强对内网 中内部网站、内部服务器和数据库、终端以及业务系统的安全防护保障和数据安全管理。 五、 攻击意图分布分析 通过对 2018 年全年应急响应事件处置报告分析，汇总出攻击者攻击政府机构、大中型 企业的攻击意图分布，如下图所示： 6 从上述数据中可以看出，黑产活动、敲诈勒索仍然是攻击者攻击政府机构、大中型企业 的主要原因。 攻击者通过黑词暗链、 钓鱼页面、 挖矿程序等攻击手段开展黑产活动谋取暴利； 利用勒索病毒感染政府机构、大中型企业终端、服务器，对其实施敲诈勒索。对于大部分攻 击者而言，其进行攻击的主要原因是为获取暴利，实现自身最大利益。 其次是内部违规响应事件，表明政府机构、大中型企业业务人员、运维人员的安全意识 有待提升。 APT 攻击和出于政治原因攻击意图的存在，说明具有组织性、针对性的攻击团队对政府 机构、大中型企业的攻击目的不单单是为钱财，而有可能出于政治意图，窃取国家层面、重 点领域的数据。虽然 APT 攻击和出于政治原因的攻击数量相对较少，但其危害性较重，所以 政府机构、大中型企业，特别是政府机构，应强化整体安全防护体系建设。 六、 攻击现象统计分析 通过对 2018 年全年应急响应事件处置报告分析，汇总出攻击现象排名，如下图所示： 7 从上述数据可以看出，攻击者对系统的攻击所产生现象主要表现为导致生产效率低下、 破坏性攻击、声誉影响、系统不可用。 其中， 导致生产效率低下占比 20%， 攻击者通过挖矿、 拒绝服务等攻击手段使服务器 CPU 占用率异常高，从而造成生产效率低下；数据丢失占比 13%；破坏性攻击占比 10%，攻击者 通过利用服务器漏洞、配置不当、弱口令、Web 漏洞等系统安全缺陷，对系统实施破坏性攻 击；系统不可用占比 7%，主要表现为攻击者通过对系统的攻击，直接造成业务系统宕机；声 誉影响占比 5%， 主要体现在对政府机构、 大中型企业门户网站进行的网页篡改、 黑词暗链、 钓鱼网站、 非法子页面等攻击， 对政府和企业造成严重的声誉影响， 特别是政府机构。 同时， 敏感信息泄露、数据被篡改、网络不可用也是攻击产生的现象，对政府机构、大中型企业造 成严重后果。 从攻击现象统计看， 攻击者对系统的攻击具备破坏性、 针对性， 严重影响系统正常运行。 七、 事件类型分布分析 通过对 2018 年全年应急响应事件处置报告分析，汇总出事件类型分布，如下图所示： 8 从上述数据可以看出，安全事件类型主要表现在服务器病毒告警、网页被篡改、运行异 常/异常外联、PC 病毒告警等方面。 其中，服务器病毒告警是攻击者利用病毒感染对服务器进行的攻击，占 48%，成为攻击 者主要的攻击手段；PC 病毒告警是攻击者利用病毒感染对办公终端进行攻击，占 14%，是对 攻击终端的主要手段；webshell 告警、木马告警是攻击者对互联网门户网站进行的常见攻 击，占 8%，可能会导致政府机构、大中型企业数据外泄；运行异常/异常外联是攻击者利用 不同的攻击手段造成服务器、系统运行异常或异常外联，降低生产效率； 。 除此之外，还有流量监测异常、被通报安全事件、网站无法访问/访问迟缓、网站被篡 改等安全事件类型。所以，作为政府机构、大中型企业的安全负责人和安全主管，应清楚地 认识到攻击者可通过不同的攻击手段、攻击方式，对我们的服务器或系统进行攻击，单一、 被动的安全防护措施已无法满足安全防护需要。 9 第三章 应急响应服务分析 根据 2018 年 360 安服团队的现场处置情况，政府机构、大中型企业在自行发现或被通 告攻击事件，并主动寻求应急响应服务时，绝大多数情况是因为互联网网站（DMZ 区） 、办公 区终端、 核心重要业务服务器以及邮件服务器等遭到了网络攻击， 影响了系统运行和服务质 量。 下面将分别对这四类对象从主要现象、主要危害、攻击方法，以及攻击者的主要目的进 行分类分析。 一、 网站安全 （一）网页被篡改 主要主要现象现象：首页或关键页面被篡改，出现各种不良信息，甚至反动信息。 主要危害主要危害：散步各类不良或反动信息，影响政府机构、企业声誉，特别是政府机构，降 低其公信力。 攻击方法攻击方法：黑客利用 webshell 等木马后门，对网页实施篡改。 攻击目的攻击目的：宣泄对社会或政府的不满；炫技或挑衅中招企业；对企业进行敲诈勒索。 （二）非法子页面 主要主要现象现象：网站存在赌博、色情、钓鱼等非法子页面。 主要危害主要危害：通过搜索引擎搜索相关网站，将出现赌博、色情等信息；通过搜索引擎搜索 赌博、色情信息，也会出现相关网站；对于被植入钓鱼网页的情况，当用户访问相关钓鱼网 站页面时，安全软件可能不会给出风险提示。 对于政府网站而言， 该现象的出现将严重降低政府的权威性及在民众中的公信力， 挽回 难度相对较大。 攻击方法攻击方法：黑客利用 webshell 等木马后门，对网站进行子页面的植入。 攻击目的攻击目的：恶意网站的 SEO 优化；为网络诈骗提供“相对安全”钓鱼页面。 （三）网站 DDoS 攻击 主要主要现象现象：政府机构或企业网站无法访问、访问迟缓。 主要危害主要危害：网站业务中断，用户无法访问网站。特别是对于政府官网，影响民众网上办 事，降低政府公信力。 攻击方法攻击方法：黑客利用多类型 DDoS 技术对网站进行分布式抗拒绝服务攻击。 攻击目的攻击目的：敲诈勒索政府或企业；企业间的恶意竞争；宣泄对网站的不满。 （四）CC 攻击 主要主要现象现象：网站无法访问、网页访问缓慢、业务异常。 10 主要危害主要危害：网站业务中断，用户无法访问网站、网页访问缓慢。 攻击方法攻击方法：主要采用发起遍历数据攻击行为、发起 SQL 注入攻击行为、发起频繁恶意 请求攻击行为等攻击方式进行攻击。 攻击目的攻击目的：敲诈勒索；恶意竞争；宣泄对网站的不满。 （五）网站流量异常 主要主要现象现象：异常现象不明显，偶发性流量异常偏高，且非业务繁忙时段也会出现流量异 常偏高。 主要危害主要危害：尽管从表面上看，网站受到的影响不大。但实际上，网站已经处于被黑客控 制的高度危险状态，各种有重大危害的后果都有可能发生。 攻击方法攻击方法：黑客利用 webshell 等木马后门，控制网站；某些攻击者甚至会以网站为跳 板，对企业的内部网络实施渗透。 攻击目的攻击目的：对网站进行挂马、篡改、暗链植入、恶意页面植入、数据窃取等。 （六）异常进程与异常外联 主要主要现象现象：操作系统响应缓慢、非繁忙时段流量异常、存在异常系统进程以及服务，存 在异常的外连现象。 主要危害主要危害：系统异常，系统资源耗尽，业务无法正常运作；同时，网站也可能会成为攻 击者的跳板，或者是对其他网站发动 DDoS 攻击的攻击源。 攻击方法攻击方法： 使用网站系统资源对外发起 DDoS 攻击； 将网站作为 IP 代理， 隐藏攻击者， 实施攻击。 攻击目的攻击目的：长期潜伏，窃取重要数据信息。 （七）网站安全总结及防护建议 1. 常见攻击手段 以上六类网站安全威胁，是政府机构、大中型企业门户网站所面临的主要威胁，也是网 站安全应急响应服务所要解决的主要问题。 通过对现场处置情况的汇总和分析得知，黑客主要采用以下攻击手段对网站实施攻击： 1） 黑客利用门户网站 Tomcat、IIS 等中间件已有漏洞、网站各类应用上传漏洞、弱口 令以及第三方组件或服务配置不当等，将 webshell 上传至门户 web 服务器，利用 该 webshell 对服务器进行恶意操作； 2） 黑客利用已有漏洞上传恶意脚本，如挖矿木马等，造成网站运行异常； 3） 黑客利用多类型 DDoS 攻击技术 （SYN Flood、 ACK Flood、 UDP Flood、 ICMP Flood 等） ，对网站实施 DDoS 攻击； 4） 黑客发起遍历数据攻击、 SQL 注入攻击、 频繁恶意请求攻击等攻击方式进行攻击。 2. 安全防护建议 11 针对网站所面临的安全威胁以及可能造成的安全损失， 政府机构、 大中型企业应采取以 下安全防护措施： 1） 针对网站，建立完善的监测预警机制，及时发现攻击行为，启动应急预案并对攻击 行为进行防护； 2） 有效加强访问控制 ACL 策略，细化策略粒度，按区域按业务严格限制各网络区域 以及服务器之间的访问， 采用白名单机制只允许开放特定的业务必要端口， 其他端 口一律禁止访问，仅管理员 IP 可对管理端口进行访问，如 FTP、数据库服务、远 程桌