奇安信：2021应急响应典型案例集（62页）.pdf

《奇安信：2021应急响应典型案例集（62页）.pdf》由会员分享，可在线阅读，更多相关《奇安信：2021应急响应典型案例集（62页）.pdf（62页珍藏版）》请在三个皮匠报告上搜索。

1、第四章 蠕虫类事件典型案例蠕虫病毒也是一种常见的计算机病毒，具有较强独立性，可以不依赖宿主程序独立运行，具有传播更快更广以及更好的伪装和隐藏的特点，通常利用恶意链接、电子邮件附件、U 盘携带以及弱密码暴破的方式发起攻击，受害者一旦点击包含有被蠕虫感染的链接和邮件附件，蠕虫病毒会立刻被激活，并迅速感染其他主机，窃取重要信息，严重时会导致网络系统瘫痪，服务器系统资源遭到破坏。一、服务器弱口令导致感染蠕虫病毒(一)事件概述2016年，奇安信集团安服团队接到某银行应急响应请求，其发现内网有服务器出现工作异常，并发现网络中存在扫描行为，应急响应专家1小时内到达现场。应急响应专家通过现场进行检测分析，发现

2、大量来自A省分行的服务器可疑远程桌面暴破行为，进一步远程检测发现 A 省分行服务器上均存在恶意进程，正在批量扫描暴破内网 3389端口，其中B省某重要业务系统已被暴破成功，并对全国至少19家分行进行扫描。通过对样本进行分析，确认该银行内网中感染了Morto家族系的蠕虫的最新进化版本，主要实现远控目的。对A省被攻陷终端的日志分析，攻击者早在2015年就已进入到A省分行内部网络区域，对整个银行内部网络的暴破攻击长达1年以上。1) 所有服务器、终端应强行实施复杂密码策略，杜绝弱口令;2) 对服务器进行安全加固，关闭远程桌面功能、定期更换密码、禁止使用最高权限用户运行程序、使用HTTPS加密协议等;3

3、) 建立安全灾备预案，一旦核心系统遭受攻击，需要确保备份业务系统可以立即启用;4) 对服务器定期维护，内容包括但不限于：查看服务器操作系统是否存在可疑进程、计划任务中是否存在可疑项等;5) 在服务器上部署安全加固软件，通过限制异常登录行为、开启防暴破功能、禁用或限用危险端口、防范漏洞利用等方式，提高系统安全基线，防范黑客入侵;6) 安装杀毒软件、终端安全管理软件并及时更新病毒库。二、浏览恶意链接感染蠕虫病毒(一)事件概述2018年11 月，奇安信集团安服团队接到某部委蠕虫病毒事件应急响应请求，其发现内网多台终端外连恶意域名并下载恶意软件。应急人员到达现场后，对内网服务器文件、服务器账号、网络连

4、接、日志等多方面进行分析，发现内网主机用户浏览带有恶意链接的Web页面，并于内嵌链接中触发对该异常域名的访问，导致服务器被感染飞客蠕虫病毒，并外连下载恶意软件。该病毒会对随机生成的IP地址发起攻击，攻击成功后会下载一个木马病毒，通过修改注册表键值来使某免费安全工具功能失效。病毒会修改hosts文件，使用户无法正常访问安全厂商网站及服务器。1) 配置并开启操作系统、关键应用等自动更新功能，对最新系统、应用安全补丁进行订阅、更新。避免攻击者通过相关系统、应用安全漏洞对系统实施攻击，或在获取系统访问权限后，对系统用户权限进行提升;2) 限制服务器及其他业务服务网可进行访问的网络、主机范围。有效加强访

5、问控制 ACL策略，细化策略粒度，按区域按业务严格限制各个网络区域以及服务器之间的访问，采用白名单机制只允许开放特定的业务必要端口，其他端口一律禁止访问，仅管理员IP 可对管理端口进行访问，如 FTP、数据库服务、远程桌面等管理端口，限制公网主机对139、445端口等访问;3) 部署高级威胁监测设备，及时发现恶意网络流量，同时可进一步加强追踪溯源能力，对安全事件发生时可提供可靠的追溯依据;4) 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作，主动发现目前系统、应用存在的安全隐患;5) 加强日常安全巡检制度，定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查

6、，常态化信息安全工作;6) 服务器上部署安全加固软件，通过限制异常登录行为、开启防暴破功能、禁用或限用危险端口、防范漏洞利用等方式，提高系统安全基线，防范黑客入侵;7) 加强人员安全意识培养，不要点击来源不明的邮件附件，不从不明网站下载软件。对来源不明的文件包括邮件附件、上传文件等要先杀毒处理。工业安全应急响应中心人员到达现场后，经对现场情况的了解及设备的检测，发现当前设备、系统、网络中存在的主要问题是由于U盘的不合理使用使得TDM系统中感染了“Conficker” 蠕虫、矢