2021网络安全应急响应分析报告

声明

本文是学习2021网络安全应急响应分析报告. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

应急响应典型案例分析

2021年奇安信安全服务团队共接到全国各地应急求助1097起，涉及全国33个省（自治区、直辖市、特别行政区），近30个行业，包括医疗卫生、大中型政企机构、事业单位等。发生的安全事件包括各种变种勒索病毒、挖矿木马、漏洞利用等不同事件类型，均不同程度地给大中型政企机构带来经济损失和恶性的社会影响。下面介绍10起2021年典型的网络安全事件。

制造业某客户遭遇恶意邮件传播应急事件处置

1. 事件概述

2021年3月，安服应急响应团队接到制造业某企业应急响应请求，其内网中多个终端出现自动发送恶意邮件行为，希望对该事件进行分析排查处理。

应急人员抵达现场后对邮件样本进行分析，判断该病毒为“永恒之蓝下载器木马”家族的最新变种。分析邮件日志发现，第一封恶意邮件于事发当天15:32由员工A邮箱发出。对员工A主机进行分析发现，该主机中安全软件存在多个“永恒之蓝下载器木马”恶意文件拦截记录。继续对其系统日志及计划任务分析发现，事发当天员工A主机曾成功执行永恒之蓝下载器木马恶意计划任务。

应急人员与员工A沟通了解到，他半年前曾通过第三方渠道下载某破解版软件，从安装该软件之后，安全软件就曾有相关拦截提示。事发当天，因误操作，对安全软件弹出的拦截提示点了“允许请求”。

经过最终分析研判确定，因员工A安全意识不足，安装了携带木马的破解版软件，导致个人主机感染“永恒之蓝下载器木马”病毒，后又因误操作对安全软件弹出的告警点击了“允许请求”，导致病毒下载执行了挖矿模块和邮件攻击模块，并以员工A主机为源头，通过读取邮箱通讯录，向其联系人发送恶意邮件导致了内网大范围传播。

1. 防护建议
2. 禁止或限制个人PC接入内网，如业务需要，增加访问控制ACL策略，采用白名单机制只允许对个人PC开放特定的业务必要端口，其他端口一律禁止访问；
3. 禁止通过非官方渠道下载应用软件，不随意点击来历不明的链接，加强内部人员安全意识；
4. 浏览网页或启动客户端时注意CPU/GPU的使用率，出现异常时，及时排查异常进程，找到挖矿程序并清除；
5. 加强日常安全巡检制度，定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查，及时修复漏洞、安装补丁，将信息安全工作常态化。

某政府部门编辑器漏洞致网站黑页应急事件处置

6. 事件概述

2021年4月，奇安信安服团队接到某政府部门的应急响应求助，其官网被上传黑页，需要进行排查分析并溯源。

应急人员抵达现场后，对网站Web目录进行排查，成功定位黑页位置，同时发现网站备份文件www.zip，并在备份文件中发现版本为v4.1.3的kindeditor编辑器。对Web日志进行分析发现，该日志中存在某公网IP（x.x.x.62）对失陷网站上传黑页文件、压缩文件63.zip的记录，以及对www.zip文件的扫描记录。应急人员对63.zip进行分析发现，该压缩文件中包含Webshell文件，但无法解析成功。

应急人员协助删除黑页，恢复网站正常运行，并最终确认，攻击者首先对网站进行扫描，发现网站备份文件www.zip并进行分析，获取了网站目录结构和配置信息，同时在备份文件中发现版本为V4.1.3的kindeditor编辑器，攻击者利用该版本编辑器存在的文件上传漏洞，上传了包含Webshell的压缩文件63.zip，但未能解析成功，继而上传黑页文件，对网站进行了恶意篡改。为了进一步获取网站权限，攻击者还对该网站进行SQL注入、敏感路径扫描、XSS攻击等操作，但均未成功。

1. 防护建议
2. 升级kindeditor编辑器到最新版本，或者在不影响业务的情况下关闭相关文件上传功能；
3. 建议部署网页防篡改设备，对网站文件、目录进行保护，拦截黑客的篡改操作，实时监控受保护的文件和目录，发现文件被篡改时，立即获取备份的合法文件并进行文件还原；
4. 对网站根目录文件上传功能，采用白名单上传文件，不在白名单内的一律禁止上传，上传目录权限遵循最小权限原则；
5. 加强日常安全巡检工作，定期对系统配置、网络设备配置、安全日志以及安全策略落实情况进行检查，定期安装补丁、更新病毒库，常态化信息安全工作；
6. 部署高级威胁监测设备，及时发现恶意网络流量，同时可进一步加强追踪溯源能力，安全事件发生