声明
本文是学习网络安全应急响应典型案例集(2021). 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
数据泄露类事件典型案例
数据泄露指将机密信息、私人信息或其他敏感信息发布到不安全的环境中。数据泄露分为外部泄露和内部泄露两种,外部泄露典型如攻击者通过漏洞利用等方式获取了主机账号密码进行的数据窃取,内部泄露典型如员工安全意识薄弱将敏感信息上传至公网、使用带病毒的U盘或非正规的软件导致的数据泄露。数据泄露会导致敏感信息以及重要信息的外泄,一旦被不法分子所利用,造成的危害是非常严重的。
账号信息上传公网,致内网20多台机器受感染
事件概述
2020年2月,安服团队接到某运输公司应急请求,该公司通过天眼发现存在服务器失陷的危急告警。
应急人员通过分析天眼发现,该公司内部环境中20余台服务器出现失陷告警,其中两台重要服务器上发现被植入后门,服务器已沦陷,同时多台服务器上均发现Frp代理、CobaltStrike上线脚本与漏洞利用工具使用痕迹,攻击者正在通过Frp代理对内网服务器进行SQL注入漏洞攻击。
通过人工排查,发现该公司内部某员工上传敏感信息到GitHub中,导致敏感数据泄露,攻击者利用该员工账号登录VPN对该公司某重要服务器发起攻击,并利用Redis未授权访问漏洞获得权限,上传Frp代理工具、MS17-010等漏洞利用工具,进行内网横向渗透,成功攻下内网服务器、主机20余台,并利用已攻陷机器在内网中进行横向攻击。
防护建议
- 定期进行内部人员安全意识培养,禁止将敏感信息私自暴露至公网,禁止点击来源不明的邮件附件等;
- 为Redis服务添加密码验证,为Redis服务创建单独的user和home目录,并且配置禁止登录,低权限运行Redis服务;
- 加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查,及时修复漏洞(如MS17-010漏洞等)、安装补丁,将信息安全工作常态化;
- 建议配置VPN登录的双因素认证,如增加手机短信验证码认证等,严格控制用户登录,防止账号信息被盗用。
系统漏洞造成数据泄露
事件概述
2020年3月,安服应急响应团队接到某市医药公司应急请求,公司DMZ服务器区出口地址存在外连行为。
应急人员排查分析,发现对外攻击的IP为该公司内网某系统的出口地址,因该系统供应商要求对系统进行远程维护,特将服务器的3389端口映射到出口地址的3389端口。通过对IPS、负载均衡、防火墙以及服务器系统日志进行分析排查,发现内网某系统存在多个地区和国家的IP通过3389端口远程登录记录和木马文件。对该服务器系统部署文件进行排查,发现此服务器存在任意文件写入漏洞,并且发现两个Webshell后门。
经分析研判最终确定,攻击者通过内网某系统映射在公网的3389端口进行远程登录,并上传Webshell后门1,用于执行系统命令;利用该系统任意文件写入漏洞,上传Webshell后门2,用于上传任意文件,写入恶意木马文件,对外网发起异常连接,进行数据传输。
防护建议
- 加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查,及时修复漏洞、安装补丁,将信息安全工作常态化;
- 加强设备权限管理,对敏感目录进行权限设置,限制上传目录的脚本执行权限,不允许配置执行权限等;
- 建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防暴破功能、禁用或限用危险端口(如3389、445、139、135等)、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵;
- 禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制;
- 建议安装相应的防病毒软件,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器上的病毒清除能力。
僵尸网络类事件典型案例
僵尸网络是指采用一种或多种传播手段,将大量主机感染病毒,从而控制被感染主机,形成可一对多控制的僵尸网络。近几年的应急中,也不乏合法网站被僵尸网络侵害的案例。攻击者通常利用漏洞攻击、口令暴破或邮件病毒等方式发起攻击,在内网中进行窃取信息、发起DDOS攻击或僵尸网络挖矿等行为,使网络安全受到严重威胁,危害巨大。
安全设备弱口令致内网被僵尸网络控制
事件概述
2019年4月,安服应急响应团队接到某大学僵尸网络事件的应急请求,现场多台终端发现疑似黑客活动迹象,重要网站系统遭到黑客攻击,无法正常运行。
应急响应人员通过对重要网站系统进行排查分析,发现该业务系统存在大量IPC暴破登录行为,内网多台主机被多次登录成功,且存在数个僵尸网络远控IP登录行为,其中,某一控制端存在大量国外IP连接行为。同时,应急人员发现其网站运维管理审计系统暴露于公网,并存在弱口令现象,攻击者通过该系统可取得大量服务器的控制权限,且很多敏感安全设备均暴露在公网上,包括WEB应用防火墙、日志中心、漏洞扫描系统、超级终端等。攻击者通过暴露于公网的审计系统弱口令暴破登录进入内网,并以此为跳板,对内网多台服务器、主机进行暴破、投毒并进行横向扩散,组成僵尸网络。
防护建议
- 系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;
- 重要业务系统及核心数据库应设置独立的安全区域,做好区域边界的安全防御工作,严格限制重要区域的访问权限并关闭不必要、不安全的服务;
- 部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;
- 建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防暴破功能、禁用或限用危险端口、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵;
- 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患;
- 加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。
奇安信集团安服团队
奇安信是北京2022年冬奥会和冬残奥会官方网络安全服务和杀毒软件赞助商,作为中国领先的网络安全品牌,奇安信多次承担国家级的重大活动网络安全保障工作,创建了稳定可靠的网络安全服务体系——全维度管控、全网络防护、全天候运行、全领域覆盖、全兵种协同、全线索闭环。
奇安信安全服务以攻防技术为核心,聚焦威胁检测和响应,通过提供咨询规划、威胁检测、攻防演习、持续响应、预警通告、安全运营等一系列实战化的服务,在云端安全大数据的支撑下,为客户提供全周期的安全保障服务。
应急响应服务致力于成为“网络安全120”。自2016年以来,奇安信已积累了丰富的应急响应实践经验,应急响应业务覆盖了全国31个省(自治区、直辖市),2个特别行政区,处置政企机构网络安全应急响应事件超过三千起,累计投入工时37000多个小时,为全国超过两千家政企机构解决网络安全问题。
奇安信还推出了应急响应训练营服务,将一线积累的丰富应急响应实践经验面向广大政企机构进行网络安全培训和赋能,帮助政企机构的安全管理者、安全运营人员、工程师等不同层级的人群提高网络安全应急响应的能力和技术水平。奇安信正在用专业的技术能力保障着企业用户的网络安全,最大程度地减少了网络安全事件所带来的经济损失,并降低了网络安全事件造成的社会负面影响。
应急响应7×24小时热线电话:4009-727-120。
延伸阅读
更多内容 可以 网络安全应急响应典型案例集(2021). 进一步学习
联系我们
T-CBJ 3201—2019 工坊啤酒及其生产规范.pdf
版权归原作者 m0_74079109 所有, 如有侵权,请联系我们删除。