网络安全应急响应典型案例集

声明

本文是学习网络安全应急响应典型案例集（2021）. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

勒索类事件典型案例

自2017年“永恒之蓝”勒索病毒事件之后，勒索病毒的花样也越来越多，不同类型的变种勒索病毒层出不穷，从近几年的应急响应数据来看，因感染勒索病毒的应急每年都占应急事件的五成以上，利用方式也多以“永恒之蓝”漏洞，暴破和弱口令空口令等方式，受害者一旦感染勒索病毒，重要文件被加密，产生的影响和损失巨大。

服务器存漏洞感染勒索病毒

事件概述

2018年1月，奇安信集团安服团队接到某医院的服务器安全应急响应请求。该机构反馈有几台服务器出现重启/蓝屏现象，应急响应人员初步判定为感染了勒索病毒。

应急响应人员对重启/蓝屏服务器分析后，判定均遭受“永恒之蓝”勒索病毒，同时遭受感染的服务器中部分文件被加密。通过对服务器进行漏洞检查发现服务器存在MS17-010漏洞，同时发现服务器开放了445端口。

通过本次安全事件，医院信息系统暴露了诸多安全隐患，包括未定期开展安全评估工作，导致内部服务器存在严重高危漏洞；安全域划分不明确，较为混乱；安全意识仍需加强等。

防护建议

1. 周期性对全网进行安全评估工作，及时发现网络主机存在的安全缺陷，修复高风险漏洞，避免类似事件发生；
2. 系统、应用相关的用户杜绝使用弱口令；
3. 有效加强访问控制ACL策略，细化策略粒度，采用白名单机制只允许开放特定的业务必要端口，其他端口一律禁止访问，仅管理员IP可对管理端口进行访问；
4. 加强日常安全巡检制度，定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查，常态化信息安全工作；
5. 加强安全意识，提高对网络安全的认识，关注重要漏洞与网络安全事件。

终端电脑遭遇钓鱼邮件感染勒索病毒

事件概述

2018年4月，奇安信集团安服团队接到某电网公司的终端安全应急响应请求，有几台办公终端出现部分Office文档、图片文档、pdf文档多了sage后缀，修改后变成乱码。

应急响应人员接到请求后，通过对感染勒索病毒的机器样机进行分析得知，此次感染的勒索病毒的类型为sage2.2勒索病毒。对于感染过程，响应人员分析该勒索病毒可能使用了包含欺骗性消息的恶意电子邮件，消息可以是各种类型，目的皆在使潜在受害者打开这些电子邮件的恶意.zip。

防护建议

1. 对受感染的机器第一时间进行物理隔离处理；
2. 部署终端安全管控软件，实时对终端进行查杀和防护；
3. 对个人PC中比较重要的稳定资料进行随时备份，备份应离线存储；
4. 继续加强网络与信息安全意识培训教育。意外收到的或来自未知发件人的电子邮件，不要按照文字中的说明进行操作，不要打开任何附件，也不要点击任何链接；
5. 操作系统以及安装在计算机上的所有应用程序（例如Adobe Reader，Adobe Flash，Sun Java等）必须始终如一地更新。

工业生产网与办公网边界模糊，感染勒索病毒

事件概述

2019年2月，某大型制造企业的卧式炉、厚度检测仪、四探针测试仪、铜区等多个车间的机台主机以及MES（制造执行系统）客户端都不同程度地遭受蠕虫病毒攻击，出现蓝屏、重启现象。该企业内部通过处理（机台设备离线、部分MES服务器/客户端更新病毒库，更新主机系统补丁）暂时抑制了病毒的蔓延，但没有彻底解决安全问题，因此紧急向工业安全应急响应中心求救。

工业安全应急响应中心人员到达现场后，经对各生产线的实地查看和网络分析可知，当前网络中存在的主要问题是工业生产网和办公网网络边界模糊不清，MES与工控系统无明显边界，各生产线未进行安全区域划分，在工业生产网中引入了WannaMine3.0、“永恒之蓝”勒索蠕虫变种，感染了大量主机，且勒索蠕虫变种在当前网络中未处于活跃状态（大部分机台设备已离线）。

防护建议