应急响应典型案例分析

最新推荐文章于 2023-09-02 19:52:22 发布
最新推荐文章于 2023-09-02 19:52:22 发布
阅读量1.5k 收藏 12
点赞数 1
文章标签: 网络 安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/glb111/article/details/130021065
版权

声明

本文是学习奇安信 2022年上半年网络安全应急响应分析报告. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

应急响应典型案例分析

2022年上半年奇安信安全服务团队共接到全国各地应急求助479起,涉及全国31个省(自治区、直辖市)、2个特别行政区,20余个行业,包括大中型政企机构、医疗卫生、事业单位等。发生的安全事件包括各种变种勒索病毒、挖矿木马、漏洞利用等不同事件类型,均不同程度地给大中型政企机构带来经济损失和恶性的社会影响。下面介绍5起2022年上半年典型的网络安全事件。

交通运输行业某客户遭遇恶意邮件传播应急事件处置

事件概述

2022年1月,奇安信安服团队接到交通运输行业某客户应急响应求助,公司Exchange服务器出现发送恶意邮件行为,希望对该事件进行分析排查处理。

应急人员抵达现场后对部署在外网的Exchange服务器进行排查,根据发送失败的恶意邮件内容,成功定位攻击源IP(x.x.x.114),通过威胁情报查询确认IP(x.x.x.114)为恶意IP。

应急人员对Exchange服务器的IIS日志进行分析发现,存在大量ProxyShell漏洞(CVE-2021-34473、CVE-2021-31207、CVE-2021-34523)利用痕迹,继续跟踪发现,存在SSRF漏洞探测并利用成功记录。攻击者通过SSRF漏洞获取用户信息后,利用ProxyShell漏洞上传Webshell木马获取Exchange服务器权限,从而向其他邮箱账户发送大量恶意邮件。

经过一系列排查分析,应急人员确认本次事件是由于客户部署在外网的Exchange服务器存在SSRF漏洞,且未安装ProxyShell漏洞相关补丁,从而被攻击者利用,造成本次事件的发生。

github5.com 专注免费分享高质量文档

防护建议

  1. 及时对服务器安装漏洞补丁,部署服务器安全防护系统;
  2. 邮件系统等高价值系统不要对外网开放,建议使用VPN,如业务需要开放外网则建议部署云WAF;
  3. 建议安装相应的防病毒软件,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器上的病毒清除能力;
  4. 不要打开陌生人或来历不明的邮件,防止通过邮件附件的攻击,建议部署邮件威胁检测设备,有效检测钓鱼邮
最低0.47元/天 解锁文章
glb111
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
应急响应案例
qq_70434663的博客
09-18 631
通过以上分析,网页防篡改功能确实已经开启了但防护的仅仅只是WEB目录,经过验证后门是可以实现通过WEB跨目录到C盘下的操作的,入侵者也是利用了这点植入恶意的dll文件劫持IIS达到了篡改网站的目的,这点也说得通了为什么部署了网站防篡改后网页还是一样会遭受到篡改的原因。因为后门文件存在过于久远无法从现有的相关日志去进行溯源后门是如何被上传的,也从网络安全的管理人员的口中得知网站之前做过一次迁移估计是迁移前就存在了后门文件,随后删除了两个恶意dll文件重启IIS网站就得以恢复。
企业侧应急响应典型场景与案例分享.pdf
08-22
应急响应的结果取决于数据的种类与数量,包括内部的主机侧日志数据、网络侧的流量数据还有外部的情报。调整主机日志配置、确保日志能覆盖常见的操作与保留一定的时间。
一次真实的应急响应案例(Ubuntu)——暴力破解、写入ssh公钥留后门、植入GPU挖矿程序——事件复现(含靶场环境)
W小哥
03-01 7753
一、SSH协议介绍 SSH(Secure Shell)是一套协议标准,可以用来实现两台机器之间的安全登录以及安全的数据传送,其保证数据安全的原理是非对称加密。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。 危害: SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。 一、事件背景 某天客户反馈:Linux服务器有异常连接,疑似被入侵。(真实案
网络安全应急响应典型案例
glb111的博客
04-09 1179
2018年1月,奇安信集团安服团队接到某医院的服务器安全应急响应请求。该机构反馈有几台服务器出现重启/蓝屏现象,应急响应人员初步判定为感染了勒索病毒。应急响应人员对重启/蓝屏服务器分析后,判定均遭受“永恒之蓝”勒索病毒,同时遭受感染的服务器中部分文件被加密。通过对服务器进行漏洞检查发现服务器存在MS17-010漏洞,同时发现服务器开放了445端口。通过本次安全事件,医院信息系统暴露了诸多安全隐患,包括未定期开展安全评估工作,导致内部服务器存在严重高危漏洞;安全域划分不明确,较为混乱;安全意识仍需加强等。
【应急案例】一次入侵应急响应分析
Fly_鹏程万里
02-22 2341
前言 本文是前段时间处理某用户被黑的分析总结,用户被黑的表现是使用爬虫访问用户网站的首页时会出现博彩关键字,而使用正常浏览器访问时无相关的博彩关键词。这是典型的黑帽SEO的表现,针对这种技术,之前已有相关分析,感兴趣的同学可以看一看。 此次分析,发现用户的服务器被多波不同利益的黑客入侵,里面有一些比较有意思的内容,所以特意分析总结了一下。 一、概述 1、分析结果 经过分析,目前得到以下结...
应急指挥中心典型案例.zip
10-04
在本压缩包中,我们主要聚焦于应急指挥中心的典型案例分析,通过深入探讨实际案例,来理解和掌握应急指挥体系的关键要素和运作模式。 一、应急指挥系统的构成 应急指挥系统通常包括信息收集与传递、决策支持、资源...
应急指挥中心典型案例(PDF报告).rar
最新发布
05-11
应急指挥中心典型案例报告是一个针对紧急情况和危机管理的专业文件,旨在为相关机构、决策者和应急响应团队提供系统的解决方案和操作指南。这份PDF格式的报告通过收集和分析一系列真实世界的事件案例,展示了在不同...
数据库上云经典案例分析.pdf
08-23
数据库上云经典案例分析 web安全 安全建设 安全开发 应急响应 安全架构
危机公关及经典案例分析.pptx
10-10
危机公关不仅涉及到危机的预防,还包括危机发生后的快速响应和妥善处理。 【危机管理】通常分为三个阶段:预防、应对和恢复。预防阶段强调建立健全的危机预防机制,包括提升企业内部的风险意识,强化质量管理,优化...
网络安全应急响应典型案例-(DDOS类、僵尸网络类、数据泄露类)
m0_70655343的博客
09-02 2212
某日,安全团队接到某部委的网站安全应急响应请求,网站存在动态页面访问异常缓慢现象,但静态页面访问正常,同时WAF、DDoS设备出现告警信息。应急响应人员通过对现场技术人员所提供WAF告警日志、DDoS设备日志、Web访问日志等数据进行分析,发现外部对网站的某个动态页面全天的访问量多达12万次,从而导致动态页面访问缓慢。
记一次应急响应实战分析-附加应急响应工具包
告白的博客
10-28 2192
0x00 应急响应安全事件的分类 今天带来一篇实战的应急响应干货分享!最清晰的思路,让小白可以独立支撑应急响应! 常见安全事件的分类 数据安全事件:数据泄露,数据破坏,数据篡改 应用安全事件:网站篡改,sql注入,xss攻击等等 系统安全事件:口令破解,系统提权,木马挖矿等 网络安全事件:DDOS,DNS劫持,ARP欺骗等 应急等级:Ⅰ级,Ⅱ级,Ⅲ级,Ⅳ级 预警等级:红色预警,橙色预警,黄色预警,蓝色预警 事件类型:特别重大,重大,较大,一般 0x01 应急响应准备流程: 响应前期: 1.准备阶段:
应急响应实战指北
Ms08067安全实验室
12-06 227
应急响应”对应的英文是Incident Response或Emergency Response,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。其目的是降低突发事件造成的损失,包括人民生命、财产,国家企业的经济损失。网络安全领域的应急响应(Cyber Security Emergency Response System)是指在突发重大网络安全事件后对包括计算机运...
应急响应实战-入侵排查linux
weixin_38896449的博客
12-01 319
这里写目录标题1、账户安全2、历史命令3、端口服务进程 1、账户安全 2、历史命令 3、端口服务进程 1.1 用户信息: cat /etc/passwd 用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell 1.2 “影子文件”:用于存储 Linux 系统中用户的密码信息。 cat etc/shadow 用户:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期的警告天数:密码过期之后的宽限天数:账号失效时间:保留 2.1 普通账户历史命令 .bash_hi
应急响应实战笔记,一个安全工程师的自我修养!
05-21 630
当我还在做安服的时候,我的主要工作是渗透测试和应急响应。两年前,我开始着手去整理一些应急响应案例,脱敏保留特定特征的场景,试图以最简单直观的方式去还原一个个应急场景。现在...
2020应急响应实战指南
热门推荐
06-15 2万+
攻防攻防,有攻就有防,我们常说“未知攻焉知防”,所以一般来说,在安服团队里,应急响应是由有经验的渗透测试人员来承担;而在企业里面,应急响应则是由比较有经验的运维人员来承担。早在17年的时...
应急响应排查思路
xbn1873942785的博客
01-18 6088
1.应急响应概念: 通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。 应急响应基本流程: 总体来说: 表现—>收集—>攻击—>追查—>修复: 表现:(发现异常) 1. 网站部分:篡改、丢失乱码 2. 文件部分:丢失、篡改、泄露 3. 系统部分:系统卡顿、CPU爆满、服务宕机 4. 流量部分:大量数据包、陌生外部连接、网速网络卡顿 5. 第三方服务部分:服务异常、运行异常 收集:(收集信息) 1. 操作系统:linux、windows、mac 2.
AI+SOAR智能安全运营解决方案(含视频).pptx
08-27
人工智能网络安全解决方案,无人值守,虚拟作战实验室,soar编排模板

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值