应急响应事件攻击者分析

最新推荐文章于 2023-02-19 19:46:24 发布
最新推荐文章于 2023-02-19 19:46:24 发布
阅读量224 收藏
点赞数
文章标签: 网络 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74079109/article/details/128575260
版权

声明

本文是学习2021网络安全应急响应分析报告. 下载地址 http://github5.com/view/55042而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

应急响应事件攻击者分析

应急响应事件攻击者分析以2021年大中型政企机构所有应急数据为支撑,从攻击者角度对攻击者攻击意图、攻击类型、攻击者常用恶意程序以及常见漏洞利用方式进行分析,为各政企机构建立安全防护体系、制定应急响应处置方案提供参考依据。

攻击意图分析

在2021年的应急响应事件中,攻击者攻击意图主要为黑产活动、敲诈勒索、内部违规和窃取重要数据操作。

github5.com 专注免费分享高质量文档

在2021年应急响应事件中,304起事件的攻击原因为黑产活动,占比27.7%,攻击者通过黑词黑链、钓鱼页面、挖矿程序等攻击手段开展黑产活动牟取暴利。

304起事件的攻击原因为敲诈勒索,占比27.7%,攻击者利用勒索病毒感染政府机构、大中型企业终端、服务器,对其实施敲诈勒索。对于大部分攻击者而言,其进行攻击的主要原因是为获取暴利,获取自身利益。

在223起内部违规事件中,内部人员为了方便工作或出于其他原因将内部业务端口映射至外网的违规操作需要引起大中型企业的重视。

攻击类型分析

通过对2021年大中型政企机构安全事件攻击类型进行分析,排名前三的类型分别是:恶意程序占比44.7%;漏洞利用占比30.6%;网络监听攻击占比4.4%。在恶意程序中,木马攻击(非蠕虫病毒)占比52.5%,蠕虫病毒攻击占比47.5%。

github5.com 专注免费分享高质量文档

蠕虫病毒和木马,由于传播速度快、感染性强等特征成为最受攻击者青睐的攻击手段,攻击者利用病毒、木马对办公系统进行攻击,通常会产生大范围感染,造成系统不可用、数据损坏或丢失等现象;利用如11月出现的“Magniber勒索病毒”对服务器和系统进行攻击,导致系统不可用,从而谋取利益。

漏洞利用则是攻击者利用政企机构网络安全建设不完善的弊端,使用常见系统漏洞、Web漏洞等,例如21年12月发现的“Apache Log4j2漏洞”,对服务器进行的破坏性攻击,通常会导致重要数据丢失、泄露、内部投毒、敲诈勒索等严重后果。

除此之外,网络监听攻击、钓鱼邮件、网页篡改等也是较为常见的攻击类型。如21年12月份发现的emote木马钓鱼邮件,一旦中招,对政企机构产生的影响是不小的。因此,大中型政企机构应做好员工安全意识培训工作,定期内部巡检,及时发现威胁并有效遏制。

恶意程序分析

在2021年,大中型政企机构遭受攻击恶意程序类型,占比较多的木马病毒分别为勒索病毒总占比28.8%,挖矿木马占比18.4%,以及一般木马占比10.8%。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QvPOnZGd-1672973591800)(http://public.host.github5.com/media/fa072d557fd1e775e2d4c3c4d9ac1962.png)]

表1 遭受攻击勒索软件类型TOP10

勒索软件名称应急次数
Phobos勒索软件62
Wannacry勒索软件29
LockBit勒索软件18
Buran勒索软件17
GLobeImposter勒索软件16
Sodinokibi勒索软件12
Magniber勒索软件10
Makop ransomware勒索软件5
YourData勒索软件5
Crysis勒索软件5

2021年最常见的勒索病毒是Phobos勒索病毒、Wannacry勒索病毒、LockBit勒索病毒、Buran勒索病毒以及下半年新出现的“Magniber勒索病毒”。大中型政企机构应更清楚地认识到木马病毒对我们的服务器、数据库所造成的严重损害,加强内部网络安全建设,针对多变种勒索病毒、挖矿木马以及随时可能出现的新型病毒制定完善的应急方案和安全防护措施,将应急响应常态化。

漏洞利用分析

在2021年应急响应事件攻击类型中,对漏洞利用部分进行统计分析,发现弱口令、永恒之蓝漏洞是大中型政企机构被攻陷的重要原因;其次,服务器配置不当、服务器漏洞也经常作为攻击者利用的方式(其中,在单起网络安全事件中,存在多个弱点的情况)。

github5.com 专注免费分享高质量文档

弱口令、永恒之蓝漏洞需要引起政企机构关注,全面的安全管理策略、内部漏洞检测和日常修复动作不容忽视。除弱口令、永恒之蓝漏洞、服务器配置不当以及服务器漏洞外,21年下半年发现的“Apache Log4j2漏洞”对全国政企机构的影响也是非常大的,攻击者通过利用这一漏洞入侵系统,传播病毒,获取重要数据以达到敲诈勒索、牟取暴利等意图。

政企机构应加大内部巡检力度,定期对设备、终端进行漏洞扫描、修复。定期更换服务器、终端登录密码,加大密码复杂度。

延伸阅读

更多内容 可以点击下载 2021网络安全应急响应分析报告. http://github5.com/view/55042进一步学习

联系我们

DB5303-T 9.2-2015 师宗薏仁种植综合标准第2部分:种植良种化与轮作 曲靖市.pdf

m0_74079109
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows应急响应手册
02-21
- **应急响应的概念**:应急响应是指在信息系统遭受安全事件后采取的一系列措施,目的是尽快控制事态发展,减少损失,并恢复正常运行。 - **应急响应的重要性**:对于Windows操作系统而言,由于其广泛的应用范围以及...
01应急响应相关概述与流程
WX公众号-小白学安全
01-21 3342
基本概念 网络安全应急响应 指在突发重大网络安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略与规程 事件分类 恶意程序事件 计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件、其他有害程序事件 网络攻击事件 拒绝服务器攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰事件、其他网络攻击事件 信息破坏事件 信息篡改、信息假冒、信息泄露、信息窃取、信息丢失、其他信息破坏事件 信息内容安全事件 违反宪法和法律、行政法规的
利用搜索命令寻找外链论坛方法
jialisoftw的专栏
01-06 1186
今天在网上看到一篇寻找外链网站的方法,觉得比较适合推介下线的网赚朋友们,这里分享给大家,方便寻找相关网站、论坛等。比如:需要做游戏赚钱类平 台的推介下线,可以通过下面的方法在百度搜索游戏论坛,然后在上面发帖吸引用户。更多的方法,大家可以自己尝试,不要以为豆豆网之类的试玩游戏赚钱平台,就一定要在游戏论坛拉用户,要考虑你的目标用户可能经常聚集的网站。 每 天都要逛N多个论坛,但是在每个论坛里都能
axios请求的服务器网站,http请求分析 I axios
weixin_39837207的博客
08-12 338
http请求过程域名解析发起TCP的三次握手建立TCP连接后发起 http 请求服务器响应 http 请求,返回 HTML 代码 给浏览器浏览器解析 HTML 代码,并请求 HTML 代码的资源(css,js,img等)浏览器对页面进行渲染,呈现给用户http header ==》请求头HTTP Headers是HTTP请求和响应的核心,它承载了关于客户端浏览器,请求页面,服务器等相关的信息。...
应急响应 web日志溯源攻击路径的思路
pierremay的博客
05-02 880
在对WEB日志进行安全分析时,可以按照下面两种思路展开,逐步深入,还原整个攻击过程。 首先确定受到攻击的时间范围,以此为线索,查找这个时间范围内可疑的日志,根据可疑ip、攻击特征等进一步排查(WEB日志会记录客户端对WEB应用的访问请求,这其包括正常用户的访问请求和攻击者恶意行为。 通过大量的分析,我们发现攻击者在对网站入侵时,向网站发起的请求会带有特定的攻击特征,如利用WEB扫描器在对网站进行漏洞扫描时往往会产生大量的404错误日志,当有攻击者网站进行SQL注入漏洞探测时,WEB访问日志通常
博彩黑链应急响应学习
Websec
08-15 1143
应急整体流程如下: 第一步:确定黑链形成原因 第二步:了解网络拓扑图 第三步:确定漏洞面 第四步:日志记录分析 第五步恶意脚本分析与查杀 第六步:后门分析与查杀   ...
DDOS事件应急响应服务现场操作手册
04-07
《DDoS事件应急响应服务现场操作手册》是针对网络安全领域一种常见的威胁——分布式拒绝服务攻击(Distributed Denial of Service,简称DDoS)而编写的实战指南。这份手册详细阐述了在遭遇DDoS攻击时,如何进行...
2023年应急响应年报
最新发布
01-31
此外,我们将分享几个经历的网络安全应急事件案例,通过这些案例,带您一窥攻击者的背景与行业现状,也希望通过这些案例,向您展示我们的专业能力以及我们对网络安全的不懈追求。最后,我们将对这些顶流威胁的趋势和...
Linux应急响应流程及实战演练
02-03
一旦发生黑客入侵、系统崩溃等安全事件,如何快速有效地进行应急响应,成为维护业务连续性和信息安全的关键。 #### 二、应急响应流程概述 **1. 准备阶段** - **建立应急响应团队**:确保团队成员具备必要的技术...
页面劫持的应对措施有哪些、应急响应常见的几种页面劫持攻击应对措施、
seven9711的博客
12-27 922
由于近期遇到的两次面试都问了应急相关的知识点,正好前几天也有个应急响应的培训,想着温故知新,简单总结一些应急的处置方案,便于高效率的处理应急事件。 以下内容均为实践总结而来,个人认为处理应急事件肯定是以最快解决问题的方式进行,文章都附工具地址,从操作思路来看,刚入门的朋友也能据此处理一些常规应急事件。 首先应急过程遇到的事件分类,常见类型基本为网页篡改、网页挂马、勒索病毒、挖矿木马、拒绝服务攻击、dns劫持、IOC告警、APT攻击这些,下面会讲解遇到这些情况的处理方案。 网页篡改也有以下三个情况分
Phobos勒索病毒完整处理过程
热门推荐
爱意随风起,人生不可弃。
12-30 1万+
文章目录Phobos概述事件概述Phobos病毒针对的系统问题综述:处置过程溯源分析过程事件应急处理安全加固和改进:杀毒软件是否起到作用火绒:电脑管家360杀毒日常防范措施: Phobos概述 Phobos通常通过RDP暴力破解+人工投放的方式进行攻击,攻击者成功入侵后,通常会关闭系统的安全软件防护功能,运行勒索病毒,加密后会修改文件后缀为[原文件名]+id[随机字符串]+[邮箱地址].phobos,相关的邮箱地址有tylecotebenji@aol.com、tedmundboardus@aol.com、h
网络安全事件应急响应实战二
悦分享
09-14 1万+
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业。新闻源网站一般权重较高,收录快,能够被搜索引擎优先收录,是黑灰产推广引流的必争之地,很容易成为被攻击的对象。短连接(short connnection)是相对于长连接而言的概念,指的是在数据传送过程,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一项业务的发送。
一次勒索病毒应急响应复盘
Askshhbs的博客
04-14 933
用户可能会问的问题 感染勒索病毒的用户最关注的往往就两点,我的业务什么时候能恢复上线,我的数据还能不能找回来? 1、我要尽快恢复业务,大领一直在问什么时候可以恢复?【最关注】 恢复业务的时间取决于何时能确认本次勒索病毒的感染范围、传播途径、抑制措施的落地,最重要的是您这边的数据是否有备份。 2、我没有可用的数据备份,这些数据还能恢复嘛?【最关注】 如果没有数据备份的话,需要根据勒索病毒的家族和版本情况判断是否能解密,目前大部分勒索病毒都无法破解。 因为勒索病毒加密的文件必须通过黑客手里的私钥去解
网络安全应急响应典型案例集
glb111的博客
02-19 1042
2018年1月,奇安信集团安服团队接到某医院的服务器安全应急响应请求。该机构反馈有几台服务器出现重启/蓝屏现象,应急响应人员初步判定为感染了勒索病毒。应急响应人员对重启/蓝屏服务器分析后,判定均遭受“永恒之蓝”勒索病毒,同时遭受感染的服务器部分文件被加密。通过对服务器进行漏洞检查发现服务器存在MS17-010漏洞,同时发现服务器开放了445端口。通过本次安全事件,医院信息系统暴露了诸多安全隐患,包括未定期开展安全评估工作,导致内部服务器存在严重高危漏洞;安全域划分不明确,较为混乱;安全意识仍需加强等。
2021网络安全应急响应分析报告
glb111的博客
02-19 1120
本文是学习而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们。
“永恒之蓝”勒索病毒安全事件应急指导手册(附工具包)
weixin_34245749的博客
05-15 667
相关说明 北京时间2017年05月12日,安恒信息监测到黑客利用NSA黑客武器库泄漏的“永恒之蓝”工具发起的网络攻击事件:大量服务器和个人PC感染病毒后被远程控制,成为不法分子的比特币挖矿机(挖矿会耗费大量计算资源,导致机器性能降低),甚至被安装勒索软件,磁盘文件会被病毒加密为.onion或者.WNCRY后缀,用户只有支付高额赎金后才能解密恢复文件,...
“永恒之蓝"漏洞的紧急应对--毕业生必看
七夜的博客
05-13 613
  早上6点多起床了,第一次起这么早,昨天晚上12点多,看到了一则紧急通知,勒索软件通过微软“永恒之蓝"漏洞针对教育网进行了大规模的攻击,而且有很多同学招。招后的结果如下图所示。(我的新书《Python爬虫开发与项目实战》出版了,大家可以看一下样章) 下面看一下紧急通知的内容: 关于防范ONION勒索软件病毒攻击的紧急通知 校园网用户: 近期国内多所院校出现ONION勒索软件感染情况...
应急响应
Amdy_amdy的博客
11-27 4195
最近对应急响应特别感兴趣,特意去搜索了一下,发现网上最多的是对应急响应的6个步骤进行的说明,真正涉及到网络安全应急响应文章只看到两篇文章,一个是在先知上,一个是在t00ls上。特此整理。其主要参考链接是:https://xz.aliyun.com/t/1140/#toc-6。 常规的应急响应应该主要包括两个方面: 1.未雨绸缪,即在事件发生前事先做好准备,比如风险评估、制定安全计划、安全意...
“永恒之蓝”蠕虫病毒应急准备总结
weixin_33782386的博客
05-15 567
辛亏“永恒之蓝”爆发在周末,绝大部分员工在家休息,为我们避免内网病毒爆发赢取了时间,整个周末一直加固已有系统和准备应急预案,避免周一发生大规模“永恒之蓝”在内部大面积爆发的可能。 整体措施和预防传染病的原理类似:控制传染源、切断传播途径,保护易感人群。 1控制传染源:所有的办公电脑开机前都必须网络隔离,所有计算机严禁插入U盘,一旦出现感染电脑,直接拔电源。就内网环境而言,一旦出现一例,大概率爆...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值