主なポイント:
政府機関、公共機関、金融業界は 2023 年前半にサイバーセキュリティ緊急対応インシデントの発生率が最も高い業界。これは、主要セクターにとってサイバーセキュリティ問題の重要性を浮き彫りにしています。データセキュリティ深刻な脅威をもたらした。
大多数の政府機関や企業機関は、ネットワーク セキュリティ インフラストラクチャの構築と運用能力に重大な欠陥を抱えています。安全検査によって問題を事前に検出し、損失を回避できる政府機関や企業機関はごくわずかですが、ほとんどの機関は、重大な損失が発生したり、第三者から報告された後にのみ安全上の問題を発見できます。攻撃者は脆弱なパスワード、一般的な脆弱性、その他の方法を使用してホストやサーバーを攻撃し、インシデントのかなりの部分を占めます。
社内従業員による不正操作に起因する緊急対応事故は全体の約4分の1を占めた。セキュリティ意識の欠如は、公衆ネットワーク上での機密情報の漏洩、公衆ネットワークへの高リスクポートの開放、海賊版ソフトウェアのダウンロードにつながり、イントラネット サーバーの感染につながり、ランサムウェア ウイルスの蔓延につながります。データ漏洩、さらにはサーバー侵害の可能性もあります。したがって、大規模および中規模の政府機関や企業機関は、内部従業員のサイバーセキュリティ意識を強化する必要があります。
実際の攻撃と防御の演習は、企業が潜在的なセキュリティ脆弱性を発見して特定し、脅威を早期に修復し、実際の攻撃の発生を防ぎ、損失を軽減するのに役立ちます。 2023 年上半期に寄せられたセキュリティ インシデントの中には、政府機関や企業機関内での実際の攻撃および防御演習に起因するものもありました。
要約すると、ネットワーク セキュリティの問題は、政府部門、公共機関、金融業界などの重要な業界のデータ セキュリティに深刻な脅威をもたらします。ほとんどの政府機関や企業機関はネットワーク セキュリティ インフラストラクチャの構築と運用能力に欠陥があり、社内従業員のネットワーク セキュリティ意識を早急に改善する必要があります。実際の攻撃と防御の演習を通じて、企業は潜在的なセキュリティ脆弱性をより適切に発見して修復し、潜在的な損失を減らすことができます。
イベント:
2023 年上半期に、95015 サービス プラットフォームは、全国の政府機関や企業機関から合計 376 件のネットワーク セキュリティ緊急事態を受け取りました。 Qi'an Security Service チームは、関連インシデントの処理に 3157.1 時間 (394.6 人日) を投資し、平均時間は 8.4 時間でした。
業界分布によると、最も多くのインシデントが報告されたのは政府部門で合計 70 件、次に公共機関で合計 51 件、金融機関が合計 50 件で 3 位でした。また、製造業、医療機関、運輸業などもサイバーセキュリティ緊急対応インシデントの発生率が高い業種です。
47.6% の政府機関および企業機関は、システムへの明らかな侵入の兆候があった場合にのみ助けを求めましたが、33.8% の政府機関および企業機関は、攻撃者から脅迫された後、95015 にダイヤルしました。安全運転検査を通じて問題を事前に発見できるのは 12.7% 組織のみです。
インシデントの影響範囲については、63.6% インシデントは主に企業のプライベート ネットワークに影響を及ぼし、36.4% インシデントは主にオフィス ネットワークに影響を及ぼしました。影響を受けたデバイスの数のうち、5,481 台のサーバーが侵害され、3,817 台のオフィス端末が侵害されました。ビジネスのプライベート ネットワークとサーバーが攻撃者の主なターゲットです。
損失に関しては、40.4%事件では生産効率の低下、22.9%事件ではデータ損失、11.4%事件ではデータ漏洩が発生した。さらに、評判に影響を与えるインシデントが 22 件、データ改ざんインシデントが 18 件発生しました。
内部関係者による業務上の都合などによる不正行為によるサイバーセキュリティ事件は98件発生し、ブラック企業活動(106件)に次いで2位となり、重要データの盗難(71件)や恐喝(68件)を上回った。 . ) 外部ネットワーク攻撃を目的とする。
主な手段として悪意のあるプログラムを使用したネットワーク攻撃が最も多く、34.3% を占め、次いで脆弱性悪用 (31.9%)、フィッシングメール (7.2%) となっています。ネットワーク監視攻撃、Web ページ改ざん、Web アプリケーション CC 攻撃、サービス拒否攻撃もよく見られます。
緊急対応インシデントで処理されたランサムウェアの中で、Phobos ランサムウェアが最も一般的であり、大規模および中規模の政府および企業機関でネットワーク セキュリティ緊急対応インシデントを 12 回引き起こし、続いて LockBit ランサムウェア (10 回)、Wannacry ランサムウェア、Makop ランサムウェア (各6回)二流)。これらの人気のあるランサムウェア ウイルスは懸念の原因です。
脆弱なパスワードは、攻撃者によって最も悪用されるネットワーク セキュリティの脆弱性であり、関連する緊急インシデントが 133 件発生し、35.4% を占めています。 Eternal Blue の脆弱性に続いて、関連する悪用インシデントが 84 件発生し、22.3% を占めました。
1. サイバーセキュリティ緊急事態対応状況の概要
2023 年 1 月から 6 月までに、95015 サービス プラットフォームは、全国で合計 376 件のネットワーク セキュリティ緊急対応インシデントを受け取りました。Qi'an Xin Security Service チームは、政府機関や企業機関がセキュリティ インシデントに即座に対処できるよう支援し、ポータル、データベース、セキュリティ インシデントの安全性を確保しました。政府機関や企業機関の重要なビジネス システムの継続的な安全かつ安定した運用が確保されました。
包括的な統計によると、2023 年上半期に処理されたサイバーセキュリティ緊急対応インシデント 376 件のうち、Qi は
Anxin Security Service チームは、394.6 人日に相当する合計 3157.1 時間の作業を投資しており、緊急インシデントの処理には平均 8.4 時間を要します。このうち、1月は春節休暇の影響で緊急対応量が若干減少した。
2. 緊急対応事故の被害者の分析
この章では、ネットワーク セキュリティ緊急対応インシデントの被害者の観点から開始し、業界分布、インシデント発見方法、影響範囲、およびネットワーク セキュリティ緊急対応インシデントの影響の側面から、2023 年上半期の 95015 サービス プラットフォームの影響を分析します。攻撃行動。
報告された 376 件のネットワーク セキュリティ緊急対応インシデントが分析されました。
2.1 業界分布
業界分布の観点から見ると、2023 年上半期に 95015 サービス プラットフォームに報告されたネットワーク セキュリティ緊急対応インシデントのうち、政府部門が最も多くのインシデントを報告し、70 件で 18.6% を占め、次いで公的機関、 51件、18.6%、比率13.6%、金融機関が50件、13.3%で3位。また、製造業、医療機関、運輸業などもサイバーセキュリティ緊急対応インシデントの発生率が高い業種です。
以下の図は、業界別のネットワークセキュリティ緊急対応インシデント報告数のTOP10ランキングを示しています。
2.2. イベントの検出
セキュリティ インシデントの発見方法から判断すると、47.6% の政府および企業組織は、システムに明らかな侵入の兆候が見られた後、助けを求めましたが、33.8% の政府および企業組織は、攻撃者から脅迫された後に通報されました。セキュリティサービスホットライン。 2 つの合計は 81.4% です。
言い換えれば、大規模および中規模の政府機関や企業機関の約 80% は、システムに多大な損失が発生したり、場合によっては回復不能な損害が発生したりした場合にのみ、専門機関に支援を求めています。損失を回避するための安全な運用検査を通じて、問題を真に検出し、損失が発生する前に助けを求めることができる政府機関や企業機関の割合は、わずか 12.7% です。
さらに、管轄当局、規制当局、サードパーティプラットフォームからの通知を受け取った後に緊急対応を開始した政府機関や企業機関は、約 5.9% あります。これらの機関には効果的なネットワーク セキュリティ運用が著しく欠けているだけでなく、必要な脅威機能も著しく欠けています。
脅威インテリジェンス機能のサポートにより、各自の監督機関や規制機関は、セキュリティ上の問題や攻撃を受けていることを事前に常に発見します。その中には、通知によっては関連部門が法的責任や行政罰を受ける可能性もある。これらの通知を受けた政府機関や企業機関は、いつ爆発するかわからない時限爆弾となる可能性があります。
2.3. 影響範囲
サイバーセキュリティのインシデントは、多くの場合、IT システムやビジネス システムに重大な影響を与えます。 2023 年上半期に 95015 サービス プラットフォームによって報告および処理されたネットワーク セキュリティ緊急対応インシデントのうち、主にビジネス プライベート ネットワークに影響を与えたインシデントは 63.6% で、主にオフィス ネットワークに影響を及ぼしたインシデントの割合は 36.4% でした。ネットワークセキュリティインシデントの影響を受けたデバイスの数から判断すると、侵害されたサーバーは 5,481 台、オフィス端末は 3,817 台でした。
2023 年上半期における大規模および中規模の政府機関および企業機関に対するサイバー攻撃の影響範囲を以下の図に示します。
このレポートでは、オフィス ネットワークとは、企業の従業員が使用するデスクトップ、ラップトップ、プリンタ、その他の機器で構成される基本的なオフィス ネットワークを指します。一方、ビジネス プライベート ネットワークは、一般に、企業の全体的な運用と外部サポートに必要なさまざまなネットワーク システムを指します。組織。
影響範囲と影響を受けるデバイスの数から、大規模および中規模の政府機関や企業機関のプライベート ビジネス ネットワークとサーバーがネットワーク攻撃者の主な標的であることがわかります。
大規模および中規模の政府機関や企業機関は、プライベート ビジネス ネットワークのセキュリティ保護を構築する一方で、社内担当者のセキュリティ意識を向上させ、オフィスの端末やイントラネット内の重要なサーバーのセキュリティ保護とデータ セキュリティ管理を強化する必要があります。
2.4. イベントの損失
サイバーセキュリティインシデントは通常、政府機関や企業機関にさまざまな程度と種類の損失を引き起こします。緊急対応現場の状況を分析したところ、2023年上半期に95015サービスプラットフォームが受け取った376件の通報のうち、関連機関の生産効率低下を引き起こした事故は152件で、損失の種類で1位の40.4%を占めた。次いで、データ損失を引き起こすインシデントが 86 件で 22.9% を占め、2 位、データ漏洩を引き起こすインシデントが 43 件で TP3T を占めています。
11.4% が 3 位で、さらに、政府機関や企業機関の評判に影響を及ぼし、データ改ざんにつながるインシデントが 22 件発生しました。
18以降。
特に、上記の統計では、同じイベントは 1 回だけカウントされており、各イベントによって引き起こされた主な損失の種類のみがカウントされています。
生産効率が低い主な理由は、マイニング、ワーム、トロイの木馬、その他の攻撃手法によりサーバーの CPU 使用率が高くなりすぎ、生産効率が低下することです。ランサムウェア攻撃により実稼働システムの一部を停止した企業もある。
データ損失の原因は数多くありますが、ランサムウェアの暗号化によるデータの回復不能が主な原因です。データ侵害の主な原因は次のとおりです。ハッカー侵入と内部漏洩。
3. 緊急対応インシデントにおける攻撃者の分析
この章では、ネットワーク セキュリティ緊急対応インシデントの攻撃者の視点から開始し、2023 年上半期に 95015 サービス プラットフォームに報告された 376 件のネットワーク セキュリティ緊急対応インシデントを、攻撃の意図、攻撃の種類、悪意の側面から分析します。プログラムと脆弱性の悪用を分析します。
3.1. 攻撃意図
攻撃者はどのような目的でサイバー攻撃を仕掛けたのでしょうか?ネットワーク セキュリティ インシデントの追跡可能性分析中に、緊急担当者は、2023 年上半期に社内担当者が業務上の都合やその他の理由で違法な操作を実行し、システム障害や侵入につながり、98 件ものネットワーク セキュリティ インシデントが緊急事態を引き起こしたことを発見しました。反応。 。この件数は闇産業活動(106件)に次いで2番目であり、重要データの窃取を目的とした外部ネットワーク攻撃(71件)や恐喝(68件)を上回っている。
ここでの違法行為は国内のギャングが大半を占めており、主にブラックワード、ブラックリンク、フィッシングページ、マイニングプログラム、その他の攻撃手法を通じて巨額の利益を得る違法行為を指します。
重要なデータを盗むことを目的とした攻撃は、一般的に 2 つのタイプに分けられます: 1 つは民間のハッカーが政府や企業機関の内部システムに不法侵入し、個人情報やアカウントのパスワードなどの機密データや重要なデータを盗むもの、もう 1 つは商業的なものです。スパイ行為、または APT 活動。実際の観点から見ると、最初の状況の方が一般的ですが、2 番目の状況が時々発生します。
恐喝とは、主に攻撃者がランサムウェアを利用して政府や企業機関の端末やサーバーを攻撃し、恐喝を行うことを指します。このような攻撃のほとんどは外国の攻撃者によって開始されるため、取り締まることは非常に困難です。
3.2. 攻撃手法
セキュリティ インシデントが異なれば、攻撃者が使用する攻撃方法も異なります。 2023年上半期のネットワーク
セキュリティ緊急対応イベントの分析では、主な手段として悪意のあるプログラムを使用したネットワーク攻撃が最も一般的で 34.3% を占め、次に脆弱性の悪用が 31.9% を占め、フィッシングメールが 3 位で 7.2% を占めていることがわかりました。このほか、ネットワーク監視攻撃、Webページ改ざん、WebアプリケーションCC攻撃、サービス妨害攻撃などもよく見られます。また、最終的に攻撃インシデントではないと判断された TP3T セキュリティ インシデントも約 21.81 件ありました。つまり、システムに侵入されていなくても、内部の不正操作や事故などにより、ネットワークセキュリティ上の緊急対応を引き起こすインシデントは数多く発生しており、警戒が必要です。
3.3. 悪意のあるプログラム
緊急インシデント分析によると、ランサムウェア、マイニング トロイの木馬、ワームが攻撃者によって使用される最も一般的な種類の悪意のあるプログラムであり、悪意のあるプログラム攻撃イベントのそれぞれ 20.7%、12.0%、および 7.2% を占めています。さらに、Web サイト トロイの木馬、Eternal Blue ダウンローダー トロイの木馬、DDOS トロイの木馬、APT 固有のトロイの木馬なども、一般的な種類の悪意のあるプログラムです。一般のネチズンをターゲットとする比較的一般的な人気のインターネット トロイの木馬に関連した 11.4% 悪意のあるプログラム攻撃事件もあります。
表 1 は、2023 年上半期に 95015 サービス プラットフォームに報告されたネットワーク セキュリティ緊急対応インシデントの中で、最も頻度が高かったランサムウェア ランキングのトップ 10 を示しています。ナンバーワンのランサムウェアは Phobos ランサムウェアで、2023 年上半期に大規模および中規模の政府および企業機関のネットワーク セキュリティ緊急対応イベントを 12 回引き起こし、続いて LockBit ランサムウェア 10 回、Wannacry ランサムウェア、Makop が続きます。ランサムウェアがそれぞれ 6 回発生。これらの人気のあるランサムウェア ウイルスは非常に警戒に値します。
表 1 攻撃されたランサムウェアの種類トップ 10
| ランサムウェア名 | 緊急事態発生件数 |
| フォボス ランサムウェア | 12 |
| LockBit ランサムウェア | 10 |
| Wanacry ランサムウェア | 6 |
| Makop ランサムウェア | 6 |
| Tellyouthepass ランサムウェア | 4 |
| Mallox ランサムウェア | 3 |
| 北京クリプト ランサムウェア | 3 |
| Gottacry ランサムウェア | 2 |
| Devos ランサムウェア | 2 |
| Elbie ランサムウェア | 2 |
3.4. 脆弱性の悪用
緊急インシデントの分析により、2023 年前半に攻撃者によって最も頻繁に悪用されたネットワーク セキュリティの脆弱性は脆弱なパスワードであることがわかりました。
関連するネットワーク セキュリティ緊急対応インシデントは 133 件にも上り、2023 年上半期に 95015 プラットフォームが受け取った緊急対応インシデント レポートの総数の 35.4% を占めました。 Eternal Blue の脆弱性に続いて、関連するエクスプロイト イベントが 84 件発生し、22.3% を占めました。比較すると、他の単一タイプの脆弱性悪用の割合ははるかに小さく、第 3 位のフィッシングメールは 19 件のみで、5.1% を占めています。
脆弱なパスワードの蔓延は、完全にセキュリティ意識の弱さとセキュリティ管理の甘さを反映しています。 2017 年に WannaCry ウイルスが発生して以来、EternalBlue の脆弱性は、パッチを適用する必要があるよく知られたセキュリティ脆弱性になりました。今日に至るまで、多数の政府機関や企業機関が依然としてエターナル ブルーの攻撃を受けています。これは、これらの政府機関や企業機関が最も基本的なネットワーク セキュリティ インフラストラクチャの構築と、最も基本的なネットワーク セキュリティ運用能力を著しく欠いていることを示しています。脆弱なパスワードと Eternal Blue の脆弱性は、今後長い間、国内の政府機関や企業機関にとって緊急に解決する必要がある基本的なネットワーク セキュリティの問題として残り続けると予想されます。
4. 緊急時対応の典型的な事例の分析
2023 年上半期、サイバー セキュリティ サービス ホットライン 95015 は、全国 31 の省および市 (自治区および直轄市) と 2 つの特別行政区 (政府部門を含む) を含む、全国で合計 376 件のサイバー セキュリティ緊急対応リクエストを受け取りました。 、機関、金融、製造業、工業、医療・ヘルスケア、運輸など20以上の業種。この章では、2023 年前半の実際のネットワーク セキュリティ緊急対応をまとめます。
実践では、政府機関や企業機関のネットワークセキュリティの構築と運用に貴重な参考となることを期待して、5 つの典型的なケースを紹介します。
4.1. エンタープライズ データベース サーバーが Mallox ランサムウェア ウイルスに感染した緊急インシデント
イベント概要
2023 年 1 月、Qi'an Security Service の緊急対応チームはある企業からの緊急要請を受け、侵入元を追跡するためにその企業のサーバーが脅迫され、ファイルが暗号化されました。
救急隊員が現場に到着した後、被害者のデータベース サーバー (xxx31) を調査し、身代金メモと暗号化サフィックスを組み合わせて、エンタープライズ サーバーが Mallox ランサムウェア ウイルスに感染しており、一時的に復号化できないことを確認しました。被害者のデータベース サーバー (xxx31) のアプリケーション ログとオンサイトのセキュリティ保護ソフトウェアのクラウド ログを調査した結果、外部の攻撃者 (92.63.196.x) がサーバー上で多数の暴力的なクラッキング行為を行っていたことが判明しました。データベース サーバー (xxx31) に侵入し、サーバー (xxx31 ) への侵入に成功しました。 リモート デスクトップ ツール Anydesk をダウンロードしてインストールし、ハッキング ツール hrsword_v5.0.1.1.exe をアップロードして、セキュリティ保護ソフトウェアを閉じます。救急隊員が外部ネットワーク攻撃者 (92.63.196.x) に対して脅威インテリジェンス クエリを実施したところ、その IP アドレスは悪意のある C2 サーバーであり、その一般的な方法はポート 1433 をスキャンして侵害することであったことがわかりました。救急隊員が同社の従業員と連絡を取ったところ、業務を円滑にするためにデータベース サーバーのポート 1433 (xxx31) が公衆ネットワークに開放されていることを知りました。その後、救急隊員がサーバー (xxx31) 上で最近アクセスしたファイルと不審なプログラムを調査した結果、大量のブルート フォース辞書とブルート フォース クラッキング ツール NLBrute1.2.exe が存在することが判明しました。
この時点で救急隊員は、サーバー (xxx31) がポート 1433 を外部に開いており、サーバー アカウントのパスワードが脆弱だったため、攻撃者はサーバー (xxx31) の権限を取得し、サーバー (xxx31) を使用したと結論付けました。 ) 内部ネットワークにアクセスするための踏み台として他のホストに総当たり攻撃が行われ、成功すると Mallox ランサムウェアが投下され、ホスト ファイルが暗号化されます。
保護に関する推奨事項
1) システムおよびアプリケーション関連のユーザーは、管理者のセキュリティ意識を高め、パスワードの再利用を禁止するために、脆弱なパスワードの使用を避け、大文字と小文字、数字、特殊記号などを組み合わせた非常に複雑なパスワードを使用する必要があります。
2) 必要なファイアウォールを構成し、ファイアウォール ポリシーを有効にして、不要なサービスが公開されてハッカーが悪用する条件を提供することを防ぎます。
3) 悪意のあるネットワーク トラフィックをタイムリーに検出するために、完全なトラフィック監視機器を導入することをお勧めしますが、同時に追跡および追跡機能をさらに強化し、セキュリティ インシデント発生時に信頼できる追跡基盤を提供することができます。
4) アクセス制御 ACL ポリシーを効果的に強化し、ポリシーの粒度を調整し、地域およびビジネスごとにさまざまなネットワーク領域およびサーバーへのアクセスを厳しく制限し、ホワイトリスト メカニズムを使用して、特定のビジネスに必要なポートの開放のみを許可し、その他のポートへのアクセスを禁止します。管理者 IP は、FTP、データベース サービス、リモート デスクトップ、その他の管理ポートなどの管理ポートにアクセスできます。
4.2. 某部隊公式サイトへのブラックリンク事件に対する緊急対応について
イベント概要
2023 年 2 月、乾新緊急チームはある部隊から緊急援助を受けました。同部隊はブティアンから公式ウェブサイトが攻撃者によってハッキングされたとの通知を受けました。事件を分析、調査し、侵入源を追跡したいと考えています。 。
救急隊員が現場に到着し、部隊の公式ウェブサイトが確かにブラックリンクにリンクされていることを確認した。その後、ブラックリンク サーバー (xxx117) の Web ログを調査したところ、Webshell バックドア ファイル 123123123.aspx のアップロードの記録と、バックドア ファイルへの大量のアクセスの記録があることが判明しました。ファイル 12312 3123.aspx は、正常に特定されました。ファイル検索によるテンプレート ディレクトリ。緊急担当者がアップロード ポイント https://xxedu.cn/xx/admin/settings/ttemplet_file_edit.aspx をテストしたところ、この場所に任意のファイルがアップロードされる脆弱性があることが判明しました。
サーバー (xxx117) のユーザー ステータスを確認したところ、ゲスト ユーザーが複製されて管理者ユーザーに昇格されており、複数の不審なログインがあったことがわかりました。サーバー (xxx117) の iis 構成ファイルを確認したところ、検索エンジン SEO 関連の文字と関連するジャンプ コードを含む不審な dll ファイルがあることが判明しました。
これまでのところ、救急隊員は、ユニットの公式 Web サイトに任意のファイルがアップロードされる脆弱性が原因で、攻撃者がこの脆弱性を利用してサーバーの権限を取得し、特権昇格でゲスト ユーザーのクローンを作成し、iis 構成を改ざんし、悪意のあるファイルをロードしたことを確認しています。 dll ファイルをダウンロードし、ユニットの公式 Web サイトをハッキングするための黒いリンクを埋め込みます。
保護に関する推奨事項
1) 必要なファイアウォールを構成し、ファイアウォール ポリシーを有効にして、不要なサービスが公開されてハッカーが悪用する条件を提供することを防ぎます。
2) 権限管理を強化し、機密ディレクトリの権限を設定し、アップロードされたディレクトリのスクリプト実行権限を制限し、実行権限の設定を禁止します。
3) 境界 WAF 保護スコープ内にサイトを含めます。HTTPS サイトは証明書をロードする必要があります。
4) システム、アプリケーション、ネットワークレベルでセキュリティ評価、侵入テスト、コード監査を実行し、現在のシステムとアプリケーションのセキュリティリスクを積極的に発見します。
5) 日常のセキュリティ検査体制を強化し、システム構成、ネットワーク機器の連携、セキュリティログ、セキュリティポリシーの実施状況を定期的に確認し、正常化する。情報セキュリティー仕事。
4.3. 特定事業者の利用者によるルーター乗っ取りの緊急対応
イベント概要
2023年3月、乾新市の緊急対応チームはオペレーターから緊急援助を受けたが、ユーザーがオペレーターのブロードバンドを使って通常にテレビを視聴していたところ、ページが乗っ取られたため、オペレーターはユーザーから苦情を受けた。オペレーターはインシデントの原因を特定したいと考えています。
救急隊員が現場に到着し、ハイジャックされたページを調査したところ、ハイジャックは特定のページにアクセスした場合にのみ発生し、ユーザーページがハイジャックされると、まず 106.14.xx と 139.196.xx の 2 つのアドレスにジャンプすることがわかりました。これら 2 つのアドレスにアクセスするリクエストを作成することで、救急隊員は、アクセスすると、大量の広告、ポルノ アドレス、ジャンプ コードを含む悪意のある js ファイルが自動的に読み込まれることを発見しました。その後、救急隊員が同じモデルの TV ボックスをテストしたところ、ハイジャックに関連する状況は見つからず、ルーターに問題があるのではないかと推測されました。
ユーザーの同意後、緊急担当者が攻撃者の観点からルーティング デバイスをテストしようとしたところ、ルータにはルータ システムに直接アクセスできるコマンド実行の脆弱性があることが判明しました。緊急隊員がルーター システムの許可を取得した後、ルーター システムのプロセスやファイルなどをチェックしたところ、既存の nginx プロセスが実行中にデバイスのポート 8080 で監視を開始することがわかりました。その後、nginx プロセスの構成ファイルを調査したところ、nginx.conf ファイルにハイジャック コードが埋め込まれていることが判明しました。
ルーターはホームルーターであり、ユーザーが事業者のネットワークにアクセスする際にはパブリックアドレスが割り当てられないため、攻撃者はルーターに直接アクセスできません。このため、救急隊員は、ユーザーがルーターを購入した時点でハイジャックコードがすでに存在していたものと推測しましたが、ルーターメーカーの公式ウェブサイトにアクセスできなかったため、公式ファームウェアを入手できず、ルーターで使用されているファームウェアが正規のものであるかどうかを判断できませんでした。正式版。現時点では、緊急担当者は、オペレーターがユーザーネットワークの出口で関連する悪意のあるアドレスをブロックし、緊急事態は終わったと示唆しています。
保護に関する推奨事項
1) オペレータは、ユーザー ネットワークの出口で関連する悪意のあるアドレスをブロックすることをお勧めします。
2) 製品を購入する場合は、偽造品、海賊版、または低品質の製品に遭遇するリスクを防ぐために、必ず正規のルートから購入し、非公式または疑わしいサードパーティのルートからの購入を避けてください。
4.4. 企業が WatchDogs マイニング ウイルスに感染した緊急インシデント
イベント概要
2023 年 5 月、Qi'anxin 緊急対応チームはある企業から緊急支援を受けました。企業のイントラネット上の複数のサーバーがマイニング ウイルスに感染しました。サーバー システム リソースが大量に占有され、通常の業務運営に影響を及ぼしました。彼らは、復旧を希望しました。」被害者のサーバーを調査し、侵入元を追跡します。
救急隊員が現場に到着した後、同社の運用保守担当者から提供された外部の悪意のあるマイニング ドメイン名を分析し、サーバーが WatchDogs マイニング ウイルスに感染していると判断しました。被害サーバー (xxx80) のシステム プロセスとスケジュールされたタスクを調査したところ、WatchDogs マイニング ウイルスの特性と一致する悪意のあるプロセスと悪意のあるスケジュールされたタスクが見つかりました。救急隊員がコマンドを使用して悪意のあるスケジュールされたタスクを削除し、悪意のあるプロセスを終了した後、サーバー (xxx80) のプロセッサ リソースの使用量は通常に戻りました。
その後、救急隊員が被害者のサーバー (xxx80) のログを確認したところ、大量のファイルがイントラネット サーバーから送信されたものであることが判明しました。
(xxx81)、(xxx22)、(xxx82)、(xxx187) の SSH ブラスティング動作 これら 4 台のサーバーのログを確認したところ、最も早い攻撃は同社の配下のサーバー (xxx81) からのものであることが判明しました。サーバー上の緊急要員
(xxx81) が調査を行った結果、サーバーは Java アプリケーションをデプロイし、Shiro コンポーネントを使用しており、オンサイトのトラフィック監視デバイスは、Shiro デシリアライゼーションの脆弱性を使用した IP (xxx69) によるサーバーの攻撃に成功したというアラームを発しました。脅威インテリジェンスでは、IP (xxx69) は悪意のある IP でした。
したがって、緊急担当者は、会社の部下のサーバー (xxx81) が hiro デシリアライゼーションの脆弱性パッチを更新していなかったために、攻撃者がそれを悪用してサーバーの権限を取得し、会社のイントラネット サーバーがすべて同じパスワードを使用したと判断しました。攻撃者は、サーバー (xxx81) を使用して、バッチ パスワード ブルート フォースによって会社のイントラネット上の多数のサーバー権限を取得し、WatchDogs マイニング ウイルスを起動することに成功しました。
その後、緊急担当者が Python スクリプトを作成して実行し、同社が悪意のあるスケジュールされたタスクを削除し、悪意のあるプロセスを終了し、イントラネット上の多数の被害サーバーを正常に復元できるように支援し、緊急事態は終了しました。
保護に関する推奨事項
1) システムおよびアプリケーション関連のユーザーは、管理者のセキュリティ意識を高め、パスワードの再利用を禁止するために、脆弱なパスワードの使用を避け、大文字と小文字、数字、特殊記号などを組み合わせた非常に複雑なパスワードを使用する必要があります。
2) サーバーを定期的に保守し、サーバーセキュリティ保護システムを展開し、システムアプリケーションの脆弱性、ミドルウェアの脆弱性、コンポーネント、プラグイン、およびその他の関連する脆弱性を修復して、サーバーのセキュリティを確保します。
3) サーバー ウイルスの予防、抑制、除去機能を強化するために、ウイルス対策ソフトウェアをインストールし、ウイルス データベースを適時に更新し、定期的に包括的なスキャンを実行することをお勧めします。
4) サーバーは、外部接続リクエストを積極的に開始することを禁止されています。共有データを外部サーバーにプッシュする必要があるサーバーについては、ホワイトリストを使用し、関連するポリシーを出力ファイアウォールに追加して、アクティブな接続の IP 範囲を制限する必要があります。
4.5. 企業の 50 台以上のオフィス PC が非公式の KMS アクティベーション ツールを使用し、その結果、すべての PC がワーム ウイルスに感染するという緊急事態が発生しました。
イベント概要
2023 年 5 月、Qi'an Security Service の緊急チームはある企業から緊急要請を受け、イントラネット上の 50 台以上のオフィス PC がワーム ウイルスに感染していると規制当局から通知を受け、このインシデントを調査することが望まれていました。そして侵入元を追跡します。
救急隊員が現場に到着したとき、現場のオフィスのどの PC もインターネットに接続できず、防犯警報装置も備えていないことがわかりました。通報を受けた PC を直ちに調査したところ、通報を受けたすべての PC の C ドライブの Windows ディレクトリに同じウイルス サンプル ファイル taskche.exe が存在することが判明しました。その後のウイルス サンプル taskche.exe の分析により、このサンプルが Eternal Blue Worm であることが確認されました。
救急隊員がウイルス サンプル ファイルが置かれているディレクトリを調査したところ、報告されたすべての PC に KMS アクティベーション ツールの残留ファイルが存在していることが判明しました。緊急担当者は同社の従業員と連絡を取り、通知された現場のすべての PC がスタッフによってサードパーティの Web サイトからダウンロードされた KMS アクティベーション ツールを使用してアクティベートされていることを知りました。
緊急担当者が現場のホスト システム情報をチェックしたところ、不審なアカウントは見つかりませんでした。ホストのパッチ状況を確認したところ、MS17010の脆弱性に対するパッチが存在することが判明しましたが、パッチ適用時期は不明です。
上記の調査情報に基づいて、救急隊員は当初、ウイルス サンプルは KMS アクティベーション ツールによって運ばれたものであると結論付けましたが、同社従業員のセキュリティ意識の欠如により、サードパーティの Web サイトからダウンロードした KMS アクティベーション ツールを使用しました。このセキュリティインシデントを引き起こしました。オンサイトのログの一部が欠落しているため、詳細な攻撃の詳細を追跡することはできませんが、現在、緊急担当者が同社のウイルス サンプルの削除とセキュリティ保護の提案を支援し、緊急事態は終了しました。
保護に関する推奨事項
1) 従業員のセキュリティ意識向上トレーニングを強化し、ネットワーク セキュリティの重要性を強調し、非公式ルートでのアプリケーション ソフトウェアのダウンロードを禁止します。電子メールの添付ファイルやアップロードされたファイルなど、不明なソースからのファイルは、最初に駆除する必要があります。
2) サーバー ウイルスの予防、抑制、除去機能を強化するために、ウイルス対策ソフトウェアをインストールし、ウイルス データベースを適時に更新し、包括的なスキャンを定期的に実行することをお勧めします。
3) 高度な脅威監視装置を導入して、悪意のあるネットワーク トラフィックをタイムリーに検出すると同時に、トレーサビリティ機能をさらに強化し、セキュリティ インシデント発生時に信頼できるトレーサビリティ ベースを提供します。
4) 関連する主要なシステム ログとアプリケーション ログを設定して有効にし、定期的にシステム ログをオフサイトにアーカイブしてバックアップすることで、攻撃発生時に攻撃パスと動作を追跡できないことを回避し、セキュリティ トレーサビリティ機能を強化します。
5) 日常のセキュリティ検査体制を強化し、システム構成、ネットワーク機器の連携、セキュリティログ、セキュリティポリシーの実施状況を定期的に検査し、情報セキュリティ業務の正常化を図る。
原文、著者:Qi Anxin、転載する場合は出典を明記してください:https://cncso.com/jp/network-security-analysis-report-the-first-half-of-2023.html
