主要观点:
政府部门、事业单位和金融行业是2023年上半年网络安全应急响应事件最为高发的行业。这突显了网络安全问题对于重要部门的数据安全构成了严重威胁。
绝大多数政企机构在网络安全基础设施建设和运营能力方面存在严重不足。只有少数政企机构能够通过安全巡检提前发现问题,避免损失,而大多数机构只能在重大损失发生后或被第三方通报后才能发现安全问题。攻击者利用弱密码、常见漏洞等方式攻击主机和服务器的事件占据了相当比例。
内部员工违规操作触发的应急响应事件约占总量的四分之一。缺乏安全意识导致公网泄露敏感信息、高危端口对公网开放、下载盗版软件等行为导致内网服务器受感染,从而引发勒索病毒蔓延、数据泄露甚至服务器失陷事件。因此,大中型政企机构需要加强内部员工的网络安全防范意识。
实战攻防演习活动可以帮助企业发现和识别潜在的安全漏洞,及早修复威胁,防止实际攻击的发生,减少损失。在2023年上半年接收的安全事件中,部分来自政企机构内部的实战攻防演习活动。
综上所述,网络安全问题对于政府部门、事业单位和金融行业等重要行业的数据安全构成了严重威胁。大多数政企机构在网络安全基础设施建设和运营能力方面存在不足,内部员工的网络安全防范意识亟需提升。通过实战攻防演习活动,企业可以更好地发现和修复潜在的安全漏洞,减少潜在的损失。
事件:
2023年上半年,95015服务平台共接到全国政企机构网络安全应急事件376起。奇安信安服团队投入3157.1小时(394.6人天)处置相关事件,平均用时8.4小时。
根据行业分布,政府部门报告的事件最多,共70起;其次是事业单位,共51起;金融机构排第三,共50起。此外,制造业、医疗机构、交通运输等行业也是网络安全应急响应事件高发行业。
47.6%的政企机构在系统出现明显入侵迹象后才进行报案求助,33.8%的政企机构在被攻击者勒索后拨打95015电话。只有12.7%的机构能够通过安全运营巡检提前发现问题。
事件影响范围方面,63.6%的事件主要影响业务专网,36.4%的事件主要影响办公网。受影响的设备数量中,失陷服务器为5481台,失陷办公终端为3817台。业务专网和服务器是攻击者的主要目标。
造成的损失方面,40.4%的事件造成生产效率低下,22.9%的事件造成数据丢失,11.4%的事件造成数据泄漏。此外,还有22起声誉影响事件和18起数据被篡改事件。
有98起网络安全事件是由内部人员为了方便工作等原因进行违规操作而触发的,数量仅次于黑产活动(106起),超过了以窃取重要数据(71起)和敲诈勒索(68起)为目的的外部网络攻击事件。
以恶意程序为主要手段的网络攻击最为常见,占比为34.3%,其次是漏洞利用(31.9%)和钓鱼邮件(7.2%)。网络监听攻击、网页篡改、Web应用CC攻击和拒绝服务攻击也较为常见。
在应急响应事件处置的勒索软件中,Phobos勒索软件最为常见,触发大中型政企机构网络安全应急响应事件12次;其次是LockBit勒索软件(10次)、Wannacry勒索软件和Makop勒索软件(各6次)。这些流行的勒索病毒需要引起警惕。
弱口令是攻击者利用最多的网络安全漏洞,相关应急事件达133起,占比35.4%。其次是永恒之蓝漏洞,相关利用事件为84起,占比22.3%。
一、 网络安全应急响应形势综述
2023 年 1~6 月,95015 服务平台共接到全国范围内网络安全应急响应事件 376 起,奇安信安服团队第一时间协助政企机构处置安全事故,确保了政企机构门户网站、数据库和重要业务系统等的持续安全稳定运行。
综合统计数据显示,在 2023 年上半年 376 起网络安全应急响应事件的处置中,奇
安信安服团队累计投入工时为 3157.1 小时,折合 394.6 人天,处置一起应急事件平均用时 8.4 小时。其中,1 月份,因春节假期期间,应急响应处理量略有减少。
二、 应急响应事件受害者分析
本章将从网络安全应急响应事件受害者的视角出发,从行业分布、事件发现方式、影响范围、以及攻击行为造成的影响等几个方面,对 95015 服务平台 2023 年上半年接
报的 376 起网络安全应急响应事件展开分析。
2.1 行业分布
从行业分布来看,2023 年上半年,95015 服务平台接报的网络安全应急响应事件中,政府部门报告的事件最多,为 70 起,占比 18.6%;其次是事业单位,为 51 起,占比 13.6%;金融机构排第三,为 50 起,占比 13.3%。此外,制造业、医疗机构、交通运输等行业也是网络安全应急响应事件高发行业。
下图给出了不同行业网络安全应急响应事件报案数量的 TOP10 排行。
2.2、 事件发现
从安全事件的发现方式来看,47.6%的政企机构,是在系统已经出现了非常明显的入侵迹象后进行的报案求助;33.8%的政企机构,是在被攻击者勒索之后,拨打的 95015网络安全服务热线。这二者之和为 81.4%。
也就是说,八成左右的大中型政企机构是在系统已经遭到了巨大损失,甚至是不可逆的破坏后,才向专业机构进行求助。而真正能够通过安全运营巡检,在损失发生之前及时发现问题并呼救,避免损失发生的政企机构,占比就仅为 12.7%。
此外,还有约 5.9%的政企机构是在得到了主管单位、监管机构及第三方平台的通报后启动的应急响应。这些机构不仅严重缺乏有效的网络安全运营,也严重缺乏必要的威
胁情报能力支撑,致使自己的主管单位或监管机构总是先于自己,发现自身的安全问题或被攻击的现象。其中,某些通报可能还会使相关单位面临法律责任及行政处罚。这些被通报的政企机构都是潜在的定时炸弹,随时都有可能爆发。
2.3、 影响范围
网络安全事件往往会对 IT 及业务系统产生重大的影响。在 2023 年上半年 95015 服务平台接报处置的网络安全应急响应事件中,63.6%的事件主要影响的是业务专网,而主要影响办公网的事件占比为 36.4%。从受网络安全事件影响的设备数量来看,失陷服务器为 5481 台,失陷办公终端为 3817 台。
2023 年上半年大中型政企机构遭受网络攻击事件的影响范围如下图所示。
在本报告中,办公网是指企业员工使用的台式机、笔记本电脑、打印机等设备组成基本办公网络,而业务专网泛指机构整体运行与对外支撑所需要的各种网络系统。
从影响范围和受影响设备数量可以看出,大中型政企机构的业务专网、服务器是网络攻击者攻击的主要目标。
大中型政企机构在对业务专网进行安全防护建设的同时,还应提高内部人员安全防范意识,加强对内网中办公终端、重要服务器的安全防护保障和数据安全管理。
2.4、 事件损失
网络安全事件通常都会引起政企机构不同程度、不同类型的损失。应急处置现场情况分析显示,在 95015 服务平台 2023 年上半年接报的 376 起报案中,有 152 起事件,造成了相关机构的生产效率低下,占比为 40.4%,是排名第一的损失类型;其次是造成数据丢失的事件有 86 起,占比 22.9%,排名第二;造成数据泄漏的事件 43 起,占比
11.4%,排名第三;此外,造成政企机构声誉影响的事件 22 起,造成数据被篡改的事件
18 起。
特别说明,在上述统计中,同一事件只计算一次,我们只统计每起事件造成的最主要的损失类型。
造成生产效率低下的主要原因是挖矿、蠕虫、木马等攻击手段使服务器 CPU 占用率过高,造成生产效率降低。也有部分企业是因为勒索病毒攻击造成了部分生产系统停产。
造成数据丢失的原因是多方面的,其中,因勒索病毒加密而导致数据无法恢复是首要原因。造成数据泄露的主要原因是黑客的入侵和内部人员的泄密。
三、 应急响应事件攻击者分析
本章将从网络安全应急响应事件攻击者的视角出发,从攻击意图、攻击类型、恶意程序和漏洞利用等几个方面,对 95015 服务平台 2023 年上半年接报的 376 起网络安全应急响应事件展开分析。
3.1、 攻击意图
攻击者是出于何种目的发起的网络攻击呢?应急人员在对网络安全事件进行溯源分析过程中发现,2023 年上半年,内部人员为了方便工作等原因进行违规操作,进而导致系统出现故障或被入侵,触发应急响应的网络安全事件多达 98 起。这一数量仅次于黑产活动(106 起)、超过了窃取重要数据(71 起)和敲诈勒索(68 起)等为目的的外部网络攻击事件的数量。
在这里,黑产活动以境内团伙为主,主要是指通过黑词黑链、钓鱼页面、挖矿程序等攻击手段开展黑产活动牟取暴利。
以窃取重要数据为目的的攻击,一般分为两种:一种是民间黑客非法入侵政企机构内部系统盗取敏感、重要数据,如个人信息、账号密码等;另一种则是商业间谍活动或 APT 活动。从实际情况来看,第一种情况更为普遍,第二种情况偶尔会发生。
敲诈勒索,主要是指攻击者利用勒索软件攻击政企机构的终端和服务器,进而实施勒索。此类攻击几乎全部是由境外攻击者发起,打击难度极大。
3.2、 攻击手段
不同的安全事件,攻击者所使用的攻击手段也有所不同。对 2023 年上半年的网络
安全应急响应事件分析发现,以恶意程序为主要手段的网络攻击最为常见,占比为 34.3%;其次是漏洞利用,占比为 31.9%;钓鱼邮件排第三,占比为 7.2%。此外,网络监听攻击、 网页篡改、Web 应用 CC 攻击、拒绝服务攻击等也比较常见。还有约 21.8%的安全事件,最终被判定为非攻击事件。也就是说,由于企业内部违规操作,意外事件等原因,即便 没有导致系统被入侵,但也同样触发了网络安全应急响应的事件也不在少数,值得警惕。
3.3、 恶意程序
应急事件分析显示:勒索病毒、挖矿木马、蠕虫病毒是攻击者使用最多的恶意程序类型,分别占到恶意程序攻击事件的 20.7%、12.0%和 7.2%。此外,网站木马、永恒之蓝下载器木马、DDOS 木马、APT 专用木马等也都是经常出现的恶意程序类型。还有 11.4%恶意程序攻击事件与比较常见的,针对普通网民的流行互联网木马有关。
表 1 给出了 2023 年上半年 95015 服务平台接报的网络安全应急响应事件中,出现频率最高的勒索软件排行榜 TOP10。可以看到,排名第一的是 Phobos 勒索软件,2023 年上半年触发大中型政企机构网络安全应急响应事件 12 次;其次是 LockBit 勒索软件 10次,Wannacry 勒索软件和 Makop 勒索软件各 6 次。这些流行的勒索病毒,十分值得警惕。
表 1 遭受攻击勒索软件类型 TOP10
| 勒索软件名称 | 应急次数 |
| Phobos 勒索软件 | 12 |
| LockBit 勒索软件 | 10 |
| Wannacry 勒索软件 | 6 |
| Makop 勒索软件 | 6 |
| Tellyouthepass 勒索软件 | 4 |
| Mallox 勒索软件 | 3 |
| BeijingCrypt 勒索软件 | 3 |
| Gottacry 勒索软件 | 2 |
| Devos 勒索软件 | 2 |
| Elbie 勒索软件 | 2 |
3.4、 漏洞利用
应急事件分析显示:弱口令是攻击者在 2023 年上半年最为经常利用的网络安全漏
洞,相关网络安全应急响应事件多达 133 起,占 95015 平台 2023 年上半年应急响应事件接报总数的 35.4%。其次是永恒之蓝漏洞,相关利用事件为 84 起,占比 22.3%。相比之下,其他单个类型的漏洞利用占比都要小很多,排名第三的钓鱼邮件仅有 19 起,占比 5.1%。
弱口令的大行其道,完全是安全意识淡薄、安全管理松懈的体现。而永恒之蓝漏洞自 2017 年 WannaCry 病毒爆发后,已经成为广为人知,必须修补的安全漏洞。时至今日仍然有大量的政企机构倒在永恒之蓝的枪口之下,说明这些政企机构严重缺乏最基本的网络安全基础设施建设,缺乏最基本的网络安全运营能力。预计在未来相当长的时间里,弱口令和永恒之蓝漏洞仍将是国内政企机构亟待解决的、基础性的网络安全问题。
四、 应急响应典型案例分析
2023 年上半年,95015 网络安全服务热线共接到全国各地网络安全应急响应求助 376 起,涉及全国 31 个省市(自治区、直辖市)、2 个特别行政区,覆盖政府部门、事业单位、金融、制造业、医疗卫生、交通运输等 20 余个行业。本章将结合 2023 年上半年的网络安全应急响应实
践,介绍 5 起典型案例,希望能够为政企机构网络安全建设与运营提供有价值的参考。
4.1、 某企业数据库服务器感染 Mallox 勒索病毒应急事件
事件概述
2023 年 1 月,奇安信安服应急响应团队接到某企业应急求助,该企业服务器被勒索,文件被加密,希望溯源入侵途径。
应急人员到达现场后,对受害数据库服务器(x.x.x.31)进行排查以及结合勒索信和加密后缀,确认该企业服务器感染 Mallox 勒索病毒,暂时无法解密。对受害数据库服务器(x.x.x.31)应用日志以及现场安全防护软件云端日志进行排查后发现,外网攻击者(92.63.196.x)对数据库服务器(x.x.x.31)有大量暴力破解行为,并成功入侵服务器(x.x.x.31)下载安装远程桌面工具 Anydesk,上传黑客工具 hrsword_v5.0.1.1.exe,关闭安全防护软件。应急人员对外网攻击者(92.63.196.x)进行威胁情报查询,显示该 ip 为恶意 C2 服务器,其常用手段为扫描暴破 1433 端口。应急人员与该企业员工沟通了解,为方便业务运营,数据库服务器(x.x.x.31)的 1433 端口对公网开放。随后,应急人员对服务器(x.x.x.31)最近访问文件和可疑程序进行排查发现,存在大量暴破字典,以及暴力破解工具 NLBrute1.2.exe。
至此,应急人员推断,由于服务器(x.x.x.31)对外开放 1433 端口,且该服务器账号存在弱口令,被攻击者利用,成功获取该服务器(x.x.x.31)权限,随后以服务器(x.x.x.31)为跳板,对内网其他主机进行暴破,成功后投放 Mallox 勒索病毒,加密主机文件。
防护建议
1) 系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;
2) 配置必要的防火墙并开启防火墙策略,防止暴露不必要的服务为黑客提供利用条件;
3) 建议部署全流量监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;
4) 有效加强访问控制 ACL 策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员 IP 可对管理端口进行访问,如 FTP、数据库服务、远程桌面等管理端口。
4.2、 某单位官网被挂黑链事件应急处置
事件概述
2023 年 2 月,奇安信应急团队接到某单位应急求助,该单位接到补天通报,官网被攻击者挂黑链接,希望对此事件进行分析排查并溯源入侵途径。
应急人员到达现场,通过验证确认该单位官网确实存在被挂黑链的情况。随后对被挂黑链服务器(x.x.x.117)的 Web 日志进行排查发现,存在上传 Webshell 后门文件 123123123.aspx以及大量访问该后门文件的记录,通过文件查找成功在 templates 目录下定位到该文件 12312 3123.aspx。应急人员对上传点 https://x.x.edu.cn/xx/admin/settings/ttemplet_file_edi t.aspx 进行测试发现,该位置存在任意文件上传漏洞。
查看服务器(x.x.x.117)用户情况发现,Guest 用户被克隆提权为管理员用户,并且有多次可疑登录情况。查看服务器(x.x.x.117)的 iis 配置文件后发现,存在含有搜索引擎 seo 相关字符和相关跳转代码的可疑 dll 文件。
至此应急人员确认,由于该单位官网存在任意文件上传漏洞,攻击者利用该漏洞获得服务器权限,通过克隆提权 Guest 用户,篡改 iis 配置加载恶意 dll 文件植入黑链的方式在该单位官网挂黑链。
防护建议
1) 配置必要的防火墙并开启防火墙策略,防止暴露不必要的服务为黑客提供利用条件;
2) 加强权限管理,对敏感目录进行权限设置,限制上传目录的脚本执行权限,不允许配置执行权限等;
3) 将站点纳入边界 WAF 防护范围内,HTTPS 类的站点需要加载证书;
4) 开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患;
5) 加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。
4.3、 某运营商用户路由器劫持应急事件处置
事件概述
2023 年 3 月,奇安信应急响应团队接到某运营商应急求助,因用户在使用运营商宽带正常看电视时出现页面被劫持的情况,导致该运营商被用户投诉。该运营商希望能查明此次事件的原因。
应急人员到达现场对被劫持页面进行排查发现,只有访问特定页面时才会出现劫持现象,并且用户页面被劫持跳转时首先会跳转到 106.14.x.x、139.196.x.x 两个地址。应急人员通过构造请求访问这两个地址发现,访问时会自动加载一个包含大量的广告、色情地址以及跳转代码的恶意js 文件。随后,应急人员对同型号的电视盒子进行测试,并未发现相关劫持情况,猜测可能是路由器的问题。
应急人员在用户同意后尝试从攻击者角度对路由设备进行测试发现,该款路由器存在命令执行漏洞,可以通过它直接获取到路由器系统权限。应急人员拿到路由器系统权限后,对路由器系统进程、文件等进行排查发现,存在的 nginx 进程运行时会在设备的 8080 端口启动监听。随后,对 nginx 进程的配置文件进行排查发现,在 nginx.conf 文件中被植入劫持代码。
由于该路由器为家用路由器,且用户接入运营商网络时不会分配公网地址,攻击者无法直接访问到该路由器。因此应急人员推测,用户购入该路由器时已经存在劫持代码,由于路由器厂商官网无法访问,应急人员无法拿到官方固件,无法确定该路由器使用的固件是否为官方版本。目前,应急人员建议该运营商在用户网络出口上对相关恶意地址进行封堵,应急结束。
防护建议
1) 建议运营商在用户网络出口上对相关恶意地址进行封堵;
2) 在购买产品时,务必确保从官方渠道进行购买,避免从非官方或可疑的第三方渠道购买,以防止遭遇假冒、盗版或低质量产品的风险。
4.4、 某企业感染 WatchDogs 挖矿病毒应急事件
事件概述
2023 年 5 月,奇安信应急响应团队接到某企业应急求助,该企业内网多台服务器感染挖矿病毒,服务器系统资源占用较高,影响业务正常运行,希望能对受害服务器进行排查,并溯源入侵途径。
应急人员到达现场后,对该企业运维人员提供的外联恶意挖矿域名进行分析,确定该服务器感染 WatchDogs 挖矿病毒。对受害服务器(x.x.x.80)系统进程和计划任务进行排查,发现符合 WatchDogs 挖矿病毒特征的恶意进程以及恶意计划任务。应急人员利用命令删除恶意计划任务、结束恶意进程后,服务器(x.x.x.80)处理器资源占用率恢复到正常状态。
随后,应急人员对受害服务器(x.x.x.80)日志进行排查,发现大量来自内网服务器
(x.x.x.81)、(x.x.x.22)、(x.x.x.82)和(x.x.x.187)的 ssh 爆破行为,经过对这四台服务器日志进行排查,发现攻击最早来自该企业下属单位服务器(x.x.x.81)。应急人员对服务器
(x.x.x.81)进行排查,发现该服务器部署 java 应用,使用 shiro 组件,并且现场流量监控设备存在该服务器被 IP(x.x.x.69)利用 shiro 反序列化漏洞攻击成功的告警,经威胁情报查询IP(x.x.x.69)为恶意 IP。
因此应急人员判定由于该企业下属单位服务器(x.x.x.81)未更新 shiro 反序列化漏洞补丁,被攻击者成功利用获取到该服务器权限,且该企业内网服务器均使用相同口令且强度较低,攻击者利用服务器(x.x.x.81)通过批量口令暴破方式成功获取该企业内网大量服务器权限,投放 WatchDogs 挖矿病毒。
随后应急人员编写并执行 python 脚本,帮助该企业删除恶意计划任务、结束恶意进程,将内网大量受害服务器恢复正常后,应急结束。
防护建议
1) 系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;
2) 服务器定期维护,部署服务器安全防护系统,修复系统应用漏洞、中间件漏洞、组件、插件等相关漏洞,保障服务器安全;
3) 建议安装防病毒软件,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器病毒预防、抑制及清除能力;
4) 禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接 IP 范围进行限制。
4.5、 某企业 50+台办公 PC 使用非官方 KMS 激活工具,致全部感染蠕虫病毒应急事件
事件概述
2023 年 5 月,奇安信安服应急团队接到某企业应急求助,该企业被监管单位通报,内网 50+台办公 PC 均感染蠕虫病毒,希望对此事件进行排查,并溯源入侵途径。
应急人员到达现场,了解到现场办公 PC 均不能连接互联网,也无安全告警设备。立即对被通报 PC 进行排查发现,在所有被通报 PC 的 C 盘 Windows 目录下存在相同病毒样本文件 tasksche.exe。随后对病毒样本 tasksche.exe 进行分析,确认该样本为永恒之蓝蠕虫病毒。
应急人员对病毒样本文件所在目录进行排查发现,所有被通报 PC 中均存在 KMS 激活工具残留文件。应急人员与该企业员工沟通了解到,现场所有被通报 PC 均是由工作人员统一使用从第三方网站下载的 KMS 激活工具激活。
应急人员对现场主机系统信息进行排查,未发现存在可疑账户。对主机补丁情况进行查看发现,存在 MS17010 漏洞补丁,但不能确定打补丁时间。
根据以上排查信息,应急人员初步推断病毒样本是 KMS 激活工具所携带,由于该企业员工安全意识不足,使用第三方网站下载的 KMS 激活工具,导致本次安全事件发生。因为现场部分日志缺失,致使无法溯源出详细的攻击细节,目前应急人员已协助该企业将病毒样本进行清除,并提出安全防护建议,应急结束。
防护建议
1) 加强人员安全意识培养,强调网络安全重要性,禁止通过非官方渠道下载应用软件。对来源不明的文件包括邮件附件、上传文件等要先杀毒处理;
2) 建议安装防病毒软件,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器病毒预防、抑制及清除能力;
3) 部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;
4) 配置并开启相关关键系统、应用日志,对系统日志进行定期异地归档、备份,避免在攻击行为发生时,导致无法对攻击途径、行为进行溯源等,加强安全溯源能力;
5) 加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。
原创文章,作者:奇安信,如若转载,请注明出处:https://www.cncso.com/network-security-analysis-report-the-first-half-of-2023.html
