Die wichtigsten Punkte:
Ministerien, Institutionen und der Finanzsektor sind in der ersten Hälfte des Jahres 2023NetzwerksicherheitDer Sektor mit der höchsten Anzahl von Notfällen. Dies unterstreicht die Bedeutung von Cybersicherheitsfragen für kritische Sektoren derDatensicherheitstellt eine ernsthafte Bedrohung dar.
Die überwiegende Mehrheit der Regierungs- und Unternehmensorganisationen weist gravierende Mängel in ihrer Cybersicherheitsinfrastruktur und ihren operativen Fähigkeiten auf. Nur wenige Regierungs- und Unternehmensorganisationen sind in der Lage, Probleme im Vorfeld durch Sicherheitspatrouillen zu erkennen und Verluste zu vermeiden, während die meisten Organisationen Sicherheitsprobleme erst dann erkennen können, wenn bereits größere Verluste eingetreten sind oder sie von einer dritten Partei benachrichtigt worden sind. Ein erheblicher Teil der Vorfälle betrifft Angreifer, die schwache Passwörter und allgemeine Schwachstellen nutzen, um Hosts und Server anzugreifen.
Etwa ein Viertel der Vorfälle im Rahmen der Notfallmaßnahmen wurde durch Verstöße des internen Personals ausgelöst. Mangelndes Sicherheitsbewusstsein führt zur Preisgabe sensibler Informationen an das öffentliche Netz, zur Öffnung risikoreicher Ports für das öffentliche Netz, zum Herunterladen raubkopierter Software und zu anderen Verhaltensweisen, die zur Infektion von Intranet-Servern führen und damit die Verbreitung von Ransomware, Datenlecks und sogar Serverkompromittierungen auslösen. Daher müssen große und mittelgroße Regierungs- und Unternehmensorganisationen das Netzwerksicherheitsbewusstsein ihrer internen Mitarbeiter stärken.
Live-Angriffs- und Verteidigungsübungen können Unternehmen dabei helfen, potenzielle Sicherheitsschwachstellen zu entdecken und zu identifizieren, Bedrohungen frühzeitig zu beheben, tatsächliche Angriffe zu verhindern und Verluste zu verringern. Einige der in der ersten Hälfte des Jahres 2023 eingegangenen Sicherheitsvorfälle stammten aus Live-Angriffs- und Verteidigungsübungen in Behörden und Unternehmen.
Zusammenfassend lässt sich sagen, dass Cybersicherheitsprobleme eine ernsthafte Bedrohung für die Datensicherheit in wichtigen Branchen wie Regierungsbehörden, Institutionen und der Finanzindustrie darstellen. Die meisten Regierungs- und Unternehmensorganisationen haben Defizite beim Aufbau der Netzsicherheitsinfrastruktur und bei den operativen Fähigkeiten, und das Bewusstsein für die Netzsicherheitsprävention bei den internen Mitarbeitern muss dringend verbessert werden. Durch praktische Angriffs- und Verteidigungsübungen können Unternehmen potenzielle Sicherheitsschwachstellen besser erkennen und beheben und mögliche Verluste verringern.
Veranstaltungen:
In der ersten Hälfte des Jahres 2023 gingen auf der 95015-Serviceplattform insgesamt 376 Cybersecurity-Notfälle von nationalen Regierungs- und Unternehmensorganisationen ein. Das Team der Chianxin Security Services investierte 3.157,1 Stunden (394,6 Manntage) in die Beseitigung der entsprechenden Vorfälle, wobei die durchschnittliche Zeit 8,4 Stunden betrug.
Nach der Verteilung der Branchen meldeten Regierungsstellen mit insgesamt 70 die meisten Vorfälle, gefolgt von Institutionen mit insgesamt 51 und Finanzinstituten mit insgesamt 50. Darüber hinaus sind Branchen wie das verarbeitende Gewerbe, medizinische Einrichtungen und das Verkehrswesen ebenfalls stark von Cybersecurity-Notfällen betroffen.
47,6% der Regierungs- und Unternehmensorganisationen meldeten sich erst nach offensichtlichen Anzeichen eines Systemeinbruchs, und 33,8% der Regierungs- und Unternehmensorganisationen riefen 95015 an, nachdem sie von Angreifern erpresst wurden. Nur 12,7% der Organisationen waren in der Lage, Probleme im Voraus durch Sicherheitspatrouillen zu erkennen.
Was den Umfang der Auswirkungen des Vorfalls betrifft, so waren 63,61 TP3T des Vorfalls hauptsächlich auf das private Unternehmensnetzwerk und 36,41 TP3T des Vorfalls hauptsächlich auf das Büronetzwerk zurückzuführen. Von der Anzahl der betroffenen Geräte waren 5.481 Server und 3.817 Büroterminals betroffen. Private Unternehmensnetzwerke und Server waren die Hauptziele der Angreifer.
40,41 TP3T der Vorfälle führten zu Produktivitätseinbußen, 22,91 TP3T der Vorfälle zu Datenverlusten und 11,41 TP3T der Vorfälle zu Datenverlusten. Darüber hinaus gab es 22 Vorfälle mit Rufschädigung und 18 Vorfälle mit Datenmanipulationen.
Achtundneunzig Vorfälle im Bereich der Cybersicherheit wurden durch Verstöße von Insidern aus Gründen der Arbeitserleichterung ausgelöst, womit sie an zweiter Stelle nach Erpressungsaktivitäten (106) und vor externen Cyberangriffen mit dem Ziel des Diebstahls wichtiger Daten (71) und Erpressung (68) stehen.
Netzwerkangriffe mit Schadprogrammen als Hauptmittel waren mit 34,31 TP3T am häufigsten, gefolgt von der Ausnutzung von Sicherheitslücken (31,91 TP3T) und Phishing-E-Mails (7,21 TP3T). Auch Lauschangriffe auf Netzwerke, Manipulationen von Webseiten, CC-Angriffe auf Webanwendungen und Denial-of-Service-Angriffe kamen häufiger vor.
Unter den Ransomware-Viren, die im Rahmen von Notfallmaßnahmen beseitigt wurden, war Phobos Ransomware die häufigste und löste 12 Cybersecurity-Notfallmaßnahmen in großen und mittleren Regierungs- und Unternehmensorganisationen aus, gefolgt von LockBit Ransomware (10 Mal), Wannacry Ransomware und Makop Ransomware (jeweils 6 Mal). Diese beliebten Ransomware-Viren erfordern Wachsamkeit.
Schwache Passwörter sind die am häufigsten von Angreifern ausgenutzte Schwachstelle im Bereich der Cybersicherheit, mit 133 entsprechenden Notfällen, die 35,41 TP3T ausmachen, gefolgt von der Schwachstelle Eternal Blue mit 84 entsprechenden Exploits, die 22,31 TP3T ausmachen.
I. Überblick über die Notfallsituation im Bereich der Cybersicherheit
Von Januar bis Juni 2023 gingen auf der Serviceplattform 95015 insgesamt 376 landesweite Cybersecurity-Notfälle ein. Das Team von Chianxin Security Services unterstützte Regierungs- und Unternehmensorganisationen dabei, die Sicherheitsvorfälle in erster Instanz zu beseitigen und den sicheren und stabilen Betrieb der Portale, Datenbanken und wichtigen Geschäftssysteme von Regierungs- und Unternehmensorganisationen zu gewährleisten.
Umfassende Statistiken zeigen, dass von den 376 Cybersecurity-Notfällen, die in der ersten Hälfte des Jahres 2023 bearbeitet wurden, die Chi-Chi
Das Axiomtek-Team investierte insgesamt 3.157,1 Stunden bzw. 394,6 Manntage und benötigte durchschnittlich 8,4 Stunden, um einen Notfall zu bearbeiten. Im Januar war das Volumen der Notfalleinsätze aufgrund des chinesischen Neujahrsfestes leicht reduziert.
II. die Analyse der Opfer von Katastrophenschutzereignissen
Dieses Kapitel wird aus der Perspektive der Opfer von Cybersecurity Notfallmaßnahmen Vorfälle, aus der Verteilung der Branchen, die Art und Weise des Vorfalls Entdeckung, den Umfang des Einflusses, und die Auswirkungen, die durch den Angriff, usw., die 95015 Service-Plattform in der ersten Hälfte des Jahres 2023 zu erhalten, die
Die 376 gemeldeten Notfälle im Bereich der Cybersicherheit wurden ausgewertet.
2.1 Verteilung der Industrie
Was die Branchenverteilung betrifft, so wurden in der ersten Hälfte des Jahres 2023 die meisten Cybersecurity-Notfallvorfälle, die der 95015-Serviceplattform gemeldet wurden, von Regierungsbehörden gemeldet (70 Vorfälle, 18,6%), gefolgt von Institutionen (51 Vorfälle, 13,6%) und Finanzinstituten (50 Vorfälle, 13,3%), Darüber hinaus gibt es in Branchen wie dem verarbeitenden Gewerbe, medizinischen Einrichtungen und dem Verkehrswesen eine hohe Zahl von Vorfällen, die auf Cybersicherheitsnotfälle zurückzuführen sind.
Das folgende Diagramm zeigt die Top-10-Rangliste der Anzahl der gemeldeten Cybersecurity-Notfälle in den verschiedenen Branchen.
2.2 Entdeckung von Vorfällen
In Bezug auf die Art und Weise, wie die Sicherheitsvorfälle entdeckt wurden, meldeten sich 47,6% der Regierungs- und Unternehmensorganisationen, nachdem das System bereits sehr offensichtliche Anzeichen eines Eindringens gezeigt hatte; 33,8% der Regierungs- und Unternehmensorganisationen riefen das 95015-Netz an, nachdem sie von dem Angreifer erpresst wurdenSicherheitsdienstHotline. Die Summe dieser beiden beträgt 81,41 TP3T.
Das heißt, etwa 80 % der großen und mittleren Regierungs- und Unternehmensorganisationen suchen erst dann Hilfe bei professionellen Organisationen, wenn ihre Systeme bereits große Verluste oder sogar irreversible Schäden erlitten haben. Der Anteil der Regierungs- und Unternehmensorganisationen, die Probleme wirklich erkennen und Hilfe anfordern können, bevor Schäden durch Sicherheitsinspektionen auftreten, um Verluste zu vermeiden, beträgt nur 12,7%.
Darüber hinaus haben etwa 5,9% der Regierungs- und Unternehmensorganisationen ihre Notfallmaßnahmen eingeleitet, nachdem sie von ihren zuständigen Stellen, Regulierungsbehörden und Drittplattformen benachrichtigt wurden. Diesen Organisationen mangelt es nicht nur an wirksamen Cybersicherheitsmaßnahmen, sondern auch an den notwendigen
(c) Einsatz von Zwangsmitteln zur Unterstützung der Tatsache, dass ihre eigenen zuständigen Stellen oder Aufsichtsorgane immer vor ihnen von ihren Sicherheitsproblemen oder Angriffen erfahren. Einige dieser Meldungen können auch dazu führen, dass die betreffenden Stellen rechtlich haftbar gemacht und mit Verwaltungsstrafen belegt werden. Diese gemeldeten Regierungs- und Unternehmensorganisationen sind potenzielle Zeitbomben, die jederzeit explodieren können.
2.3 Umfang der Auswirkungen
Cybersicherheitsvorfälle haben oft erhebliche Auswirkungen auf IT- und Geschäftssysteme. Von den Cybersecurity-Notfallvorfällen, die der Serviceplattform 95015 in der ersten Hälfte des Jahres 2023 gemeldet und von ihr beseitigt wurden, betrafen 63,6% der Vorfälle hauptsächlich das Unternehmensnetzwerk, während der Anteil der Vorfälle, die hauptsächlich das Büronetzwerk betrafen, 36,4% betrug. Was die Anzahl der von den Cybersecurity-Vorfällen betroffenen Geräte betrifft, so wurden 5.481 Server und 3.817 Büroterminals kompromittiert.
Das Ausmaß der Cyberangriffe auf mittlere und große Regierungs- und Unternehmensorganisationen in der ersten Hälfte des Jahres 2023 ist in der folgenden Grafik dargestellt.
In diesem Bericht bezieht sich das Büronetz auf das grundlegende Büronetz, das aus Desktops, Laptops, Druckern und anderen Geräten besteht, die von den Mitarbeitern eines Unternehmens verwendet werden, während sich das Geschäftsnetz auf alle Arten von Netzsystemen bezieht, die für den Gesamtbetrieb der Organisation und die externe Unterstützung erforderlich sind.
Aus dem Ausmaß der Auswirkungen und der Anzahl der betroffenen Geräte geht hervor, dass die geschäftsspezifischen Netzwerke und Server großer und mittlerer Regierungs- und Unternehmensorganisationen die Hauptziele von Cyber-Angreifern sind.
Große und mittelgroße Regierungs- und Unternehmensorganisationen sollten auch das Sicherheitsbewusstsein des internen Personals verbessern und den Sicherheitsschutz von Büroterminals und wichtigen Servern im Intranet sowie das Datensicherheitsmanagement verstärken, während sie den Aufbau des Sicherheitsschutzes des Unternehmensnetzes durchführen.
2.4 Verluste durch Zwischenfälle
Cybersicherheitsvorfälle verursachen in der Regel in unterschiedlichem Maße und auf unterschiedliche Weise Verluste in Behörden und Unternehmen. Die Analyse der Situation auf der Notfallreaktionsseite zeigt, dass von den 376 Meldungen, die in der ersten Hälfte des Jahres 2023 bei der Serviceplattform 95015 eingegangen sind, 152 Vorfälle eine niedrige Produktivität der betreffenden Organisationen verursachten, was 40,41 TP3T ausmacht und damit die ranghöchste Schadensart ist, gefolgt von 86 Vorfällen, die einen Datenverlust verursachten, was 22,91 TP3T ausmacht und damit an zweiter Stelle steht, und 43 Vorfällen, die ein Datenleck verursachten, was 43 TP3T ausmacht und damit an zweiter Stelle steht, wobei die Art des Datenlecks an zweiter Stelle steht. 43 Vorfälle, die für
11,4% und damit an dritter Stelle; darüber hinaus gab es 22 Vorfälle, die den Ruf von Regierungs- und Unternehmensorganisationen schädigten, und 22 Vorfälle, die zu Datenmanipulationen führten.
18 oben.
Ein besonderer Hinweis: In der obigen Statistik wird ein und derselbe Vorfall nur einmal gezählt, und es wird nur die wichtigste Art von Schaden gezählt, die durch jeden Vorfall verursacht wurde.
Der Hauptgrund für die niedrige Produktivität ist, dass Mining, Würmer, Trojaner und andere Angriffsmittel die CPU-Auslastung des Servers zu hoch werden lassen, was zu einer geringeren Produktivität führt. Es gibt auch einige Unternehmen, in denen Ransomware-Angriffe dazu geführt haben, dass einige Produktionssysteme abgeschaltet wurden.
Es gibt verschiedene Gründe für Datenverluste, von denen nicht wiederherstellbare Daten aufgrund von Ransomware-Verschlüsselung der Hauptgrund sind. Die Hauptursachen für Datenverluste sindHacker (Informatik) (Lehnwort)des Eindringens und des Durchsickerns von Informationen durch Insider.
III. die Analyse der Angreifer von Katastrophenschutzereignissen
In diesem Kapitel werden 376 Cybersecurity-Notfallvorfälle, die im ersten Halbjahr 2023 an die Serviceplattform 95015 gemeldet wurden, aus der Perspektive des Angreifers der Cybersecurity-Notfallvorfälle analysiert, und zwar im Hinblick auf die Absicht des Angriffs, die Art des Angriffs, das Schadprogramm und die Ausnutzung von Schwachstellen.
3.1 Absicht zum Angriff
Zu welchem Zweck haben die Angreifer die Cyberangriffe durchgeführt? Bei der rückblickenden Analyse von Cybersicherheitsvorfällen stellten die Notfallhelfer fest, dass in der ersten Hälfte des Jahres 2023 ganze 98 Cybersicherheitsvorfälle von Insidern ausgelöst wurden, die aus Gründen der Arbeitserleichterung irreguläre Operationen durchführten, die wiederum zu Systemausfällen oder Einbrüchen führten, die eine Notfallreaktion auslösten. Diese Zahl ist die zweithöchste nach Erpressungsaktivitäten (106) und übersteigt die Zahl der externen Cyberangriffe, die auf den Diebstahl wichtiger Daten (71) und Erpressung (68) abzielen.
Hier wird die Schwarzarbeit von einheimischen Banden dominiert, die sich hauptsächlich auf die Schwarzarbeit beziehen, um mit schwarzen Wörtern und schwarzen Ketten, Phishing-Seiten, Mining-Programmen und anderen Angriffsmitteln Profit zu machen.
Angriffe, die darauf abzielen, wichtige Daten zu stehlen, werden im Allgemeinen in zwei Arten eingeteilt: Zum einen das illegale Eindringen privater Hacker in die internen Systeme von Regierungs- und Unternehmensorganisationen, um sensible und wichtige Daten wie persönliche Informationen und Kontopasswörter zu stehlen; zum anderen Wirtschaftsspionage oder APT-Aktivitäten. In der Praxis ist die erste Situation häufiger anzutreffen, während die zweite Situation gelegentlich auftritt.
Erpressung bezieht sich in erster Linie auf die Verwendung von Ransomware durch Angreifer, um die Terminals und Server von politischen und wirtschaftlichen Organisationen anzugreifen und dann Erpressung zu betreiben. Solche Angriffe werden fast ausschließlich von Angreifern aus dem Ausland durchgeführt und sind äußerst schwer zu bekämpfen.
3.2 Mittel des Angriffs
Die von Angreifern verwendeten Angriffsmethoden variieren von einem Sicherheitsereignis zum anderen. In der ersten Hälfte des Jahres 2023 werden die Cyber
Die Analyse der Sicherheitsnotfälle ergab, dass Netzwerkangriffe mit bösartigen Programmen als Hauptmittel mit 34,3% am häufigsten vorkamen, gefolgt von der Ausnutzung von Sicherheitslücken mit 31,9% und Phishing-E-Mails mit 7,2% an dritter Stelle. Außerdem gab es etwa 21,8% Sicherheitsereignisse, die letztendlich als Nicht-Angriffsereignisse eingestuft wurden. Mit anderen Worten: Selbst wenn das System nicht aufgrund interner Unregelmäßigkeiten oder Unfälle angegriffen wurde, gab es dennoch einige Vorfälle, die eine Notfallmaßnahme für die Netzsicherheit auslösten, die es wert ist, aufmerksam verfolgt zu werden.
3.3 Bösartige Programme
Die Analyse der Notfälle zeigte, dass Ransomware, Mining-Trojaner und Würmer die von den Angreifern am häufigsten verwendeten Arten von Schadprogrammen waren, die 20,7%, 12,0% bzw. 7,2% der Angriffe mit Schadprogrammen ausmachten. Darüber hinaus waren Website-Trojaner, Eternal Blue Downloader-Trojaner, DDOS-Trojaner und APT-spezifische Trojaner ebenfalls häufig anzutreffende Arten von Schadprogrammen. Die 11,4% Malware-Angriffe stehen im Zusammenhang mit den häufigeren und beliebteren Internet-Trojanern, die auf normale Internetnutzer abzielen.
Tabelle 1 zeigt die Top-10-Ransomware mit der höchsten Häufigkeit unter den Cybersecurity-Notfallvorfällen, die der 95015-Serviceplattform im ersten Halbjahr 2023 gemeldet wurden, und es ist ersichtlich, dass die Top-Ransomware Phobos-Ransomware ist, die 12 Cybersecurity-Notfallvorfälle von großen und mittleren Regierungs- und Unternehmensorganisationen im ersten Halbjahr 2023 auslöste, gefolgt von LockBit-Ransomware mit 10 Vorfällen und Wannacry-Ransomware und Makop-Ransomware mit jeweils 6 Vorfällen. Wannacry Ransomware und Makop Ransomware jeweils 6 Mal. Diese beliebten Ransomware-Viren sind ein großer Grund zur Sorge.
Tabelle 1 Die 10 wichtigsten Ransomware-Typen, die angegriffen wurden
| Name der Ransomware | Anzahl der Notfälle |
| Erpressersoftware Phobos | 12 |
| LockBit Erpressersoftware | 10 |
| Erpressersoftware Wannacry | 6 |
| Erpressersoftware Makop | 6 |
| Erpressersoftware Tellyouthepass | 4 |
| Mallox-Erpressersoftware | 3 |
| Erpressersoftware BeijingCrypt | 3 |
| Gottacry-Erpressersoftware | 2 |
| Devos Ransomware | 2 |
| Elbie Erpressersoftware | 2 |
3.4 Ausnutzung von Schwachstellen
Schwache Passwörter sind die am häufigsten von Angreifern ausgenutzte Sicherheitslücke in der ersten Hälfte des Jahres 2023, wie eine Analyse der Sicherheitsvorkehrungen zeigt
An zweiter Stelle steht die Eternal Blue-Schwachstelle mit 84 Ausnutzungsereignissen, die 22,31 TP3T ausmachen. Im Gegensatz dazu entfällt auf andere einzelne Arten von Schwachstellen ein wesentlich geringerer Anteil an Ausnutzungen, wobei Phishing-E-Mails mit nur 19 Ereignissen, die 5,11 TP3T ausmachen, an dritter Stelle stehen. Phishing-E-Mails lagen mit nur 19 Fällen (5,11 TP3T) an dritter Stelle.
Die Verbreitung von schwachen Passwörtern ist eine vollständige Widerspiegelung des schwachen Sicherheitsbewusstseins und des laxen Sicherheitsmanagements. Seit dem Ausbruch des WannaCry-Virus im Jahr 2017 ist die Eternal Blue-Schwachstelle zu einer weithin bekannten Sicherheitslücke geworden, die gepatcht werden muss. Bis heute gibt es immer noch eine große Anzahl von Regierungs- und Unternehmensorganisationen, die von Eternal Blue betroffen sind, was darauf hindeutet, dass es diesen Regierungs- und Unternehmensorganisationen ernsthaft an der grundlegendsten Netzwerksicherheitsinfrastruktur und den grundlegendsten Netzwerksicherheitsfähigkeiten fehlt. Es ist zu erwarten, dass schwache Passwörter und Eternal Blue-Schwachstellen noch lange Zeit ein grundlegendes Netzwerksicherheitsproblem für inländische Regierungs- und Unternehmensorganisationen bleiben werden.
IV. Typische Fallstudien über Notfallmaßnahmen
In der ersten Hälfte des Jahres 2023 gingen bei der 95015 Cybersecurity Service Hotline insgesamt 376 Anfragen für Cybersecurity-Notfallmaßnahmen aus dem ganzen Land ein, die 31 Provinzen, Städte, autonome Regionen, Gemeinden, die direkt der Zentralregierung unterstehen, und zwei Sonderverwaltungsregionen betrafen und mehr als 20 Branchen wie Regierungsbehörden, öffentliche Einrichtungen, Finanzen, Fertigung, Gesundheitswesen und Verkehr abdeckten. In diesem Kapitel wird die Reaktion auf den Cybersecurity-Notfall in der ersten Hälfte des Jahres 2023 mit der aktuellen Situation kombiniert.
Wir stellen fünf typische Fälle vor, in der Hoffnung, dass sie wertvolle Hinweise für den Aufbau und den Betrieb der Netzsicherheit von Regierungs- und Unternehmensorganisationen liefern können.
4.1 Mallox-Ransomware-Infektion der Datenbankserver eines Unternehmens
Überblick über den Vorfall
Im Januar 2023 erhielt das Notfallteam der Chianson Security Services ein dringendes Hilfeersuchen von einem Unternehmen, dessen Server erpresst und dessen Dateien verschlüsselt worden waren und das den Weg des Eindringens zurückverfolgen wollte.
Bei ihrer Ankunft am Tatort überprüften die Einsatzkräfte den Datenbankserver des Opfers (x.x.x.31) und bestätigten, dass der Unternehmensserver mit dem Mallox-Ransomware-Virus infiziert war, der vorerst nicht entschlüsselt werden konnte, indem die Lösegeldforderung und die verschlüsselte Endung kombiniert wurden. Die Untersuchung der Anwendungsprotokolle des Datenbank-Servers des Opfers (x.x.x.31) sowie der Cloud-Protokolle der Sicherheitsschutzsoftware vor Ort ergab, dass der Angreifer aus dem externen Netzwerk (92.63.196.x) eine große Anzahl von Brute-Force-Knackversuchen auf dem Datenbank-Server (x.x.x.31) durchführte und sich erfolgreich in den Server (x.x.x.31) einhackte, um das Remote-Desktop-Tool Anydesk herunterzuladen und zu installieren, das Hacking-Tool hrsword_v5.0.1.1.exe hochgeladen und die Sicherheitsschutzsoftware deaktiviert. Das Notfallpersonal führte eine Bedrohungsabfrage über den Extranet-Angreifer (92.63.196.x) durch, die ergab, dass es sich bei der IP-Adresse um einen bösartigen C2-Server handelt, dessen übliches Mittel das Scannen und Brechen von Port 1433 ist. Die Einsatzkräfte sprachen mit den Mitarbeitern des Unternehmens und erfuhren, dass der Port 1433 des Datenbank-Servers (x.x.x.31) für das öffentliche Netz geöffnet ist, um den Geschäftsbetrieb zu erleichtern. Daraufhin untersuchten die Einsatzkräfte die kürzlich aufgerufenen Dateien und verdächtigen Programme des Servers (x.x.x.31) und stellten fest, dass sich dort eine große Anzahl von Brute-Force-Wörterbüchern und das Brute-Force-Cracking-Tool NLBrute1.2.exe befanden.
Zu diesem Zeitpunkt schlussfolgerte das Notfallpersonal, dass der Angreifer aufgrund des für die Außenwelt offenen Ports 1433 des Servers (x.x.x.31) und des schwachen Kennworts für das Serverkonto erfolgreich die Berechtigungen des Servers (x.x.x.31) erlangte und dann den Server (x.x.x.31) als Sprungbrett zu anderen Hosts im Intranet nutzte, um den Sturm zu brechen und dann erfolgreich den Mallox-Ransomware-Virus zur Verschlüsselung der Hosts platzierte. Dateien.
Schutzempfehlungen
1) System- und anwendungsbezogene Benutzer sollten keine schwachen Passwörter verwenden, sondern Passwörter mit hoher Komplexität und Stärke, und versuchen, gemischte Passwörter mit Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen usw. zu verwenden, um das Sicherheitsbewusstsein der Administratoren zu stärken und die Wiederverwendung von Passwörtern zu verhindern;
2) Konfigurieren Sie die erforderlichen Firewalls und aktivieren Sie Firewall-Richtlinien, um zu verhindern, dass Hacker unnötige Dienste ausnutzen können;
3) Es wird empfohlen, Geräte zur Überwachung des gesamten Datenflusses einzusetzen, um bösartigen Netzwerkverkehr rechtzeitig zu erkennen, und gleichzeitig die Fähigkeit zur Verfolgung und Rückverfolgung zu stärken, die eine zuverlässige Grundlage für die Rückverfolgung bei Sicherheitsvorfällen bieten kann;
4) Verstärken Sie die ACL-Zugangskontrollpolitik, verfeinern Sie die Granularität der Politik, schränken Sie den Zugang zu jedem Netzwerkbereich und zwischen den Servern je nach Region und Geschäft streng ein, setzen Sie den Whitelisting-Mechanismus ein, um nur die Öffnung bestimmter, für das Geschäft notwendiger Ports zuzulassen und den Zugang zu anderen Ports zu verbieten, so dass nur die IP des Administrators auf die Verwaltungsports zugreifen kann, wie z. B. die Verwaltungsports von FTP, Datenbankdiensten, Remote Desktop usw.
4.2 Notfallreaktion auf den Vorfall, dass die offizielle Website einer Einheit mit einer schwarzen Kette verbunden ist.
Überblick über den Vorfall
Im Februar 2023 erhielt das Notfallteam von Chian-Shen ein Hilfeersuchen von einer Einheit, die von Patchday benachrichtigt wurde, dass ihre offizielle Website von Angreifern gehackt worden war, und die den Vorfall analysieren und untersuchen sowie den Weg des Eindringens zurückverfolgen wollte.
Die Einsatzkräfte trafen am Tatort ein und bestätigten durch Überprüfung, dass die offizielle Website der Organisation tatsächlich mit schwarzen Ketten behängt worden war. Anschließend wurden die Webprotokolle des Servers (x.x.x.117) überprüft und festgestellt, dass es Aufzeichnungen über das Hochladen der Webshell-Backdoor-Datei 123123123.aspx sowie eine große Anzahl von Zugriffen auf die Backdoor-Datei gab, und die Datei 12312 3123.aspx wurde durch Dateisuche im Vorlagenverzeichnis gefunden. Die Einsatzkräfte führten Tests am Upload-Punkt t.aspx durch und stellten fest, dass an diesem Ort eine beliebige Dateiupload-Schwachstelle besteht. Die Einsatzkräfte testeten den Upload-Punkt https://x.x.edu.cn/xx/admin/settings/ttemplet_file_edi t.aspx und stellten fest, dass an dieser Stelle eine Sicherheitslücke für den Upload beliebiger Dateien besteht.
Die Überprüfung des Benutzerprofils des Servers (x.x.x.117) zeigt, dass der Gast-Benutzer geklont und als Administrator privilegiert wurde, und dass es mehrere verdächtige Anmeldungen gibt. Die Überprüfung der iis-Konfigurationsdatei des Servers (x.x.x.117) ergibt, dass es eine verdächtige dll-Datei gibt, die Zeichen im Zusammenhang mit der Suchmaschine seo und damit verbundene Sprungcodes enthält.
Bisher bestätigten die Einsatzkräfte, dass der Angreifer aufgrund der Schwachstelle für den Upload beliebiger Dateien auf der offiziellen Website des Unternehmens die Schwachstelle ausnutzte, um sich Serverrechte zu verschaffen, indem er die privilegierten Gastbenutzer klonte, die IIS-Konfiguration manipulierte, um bösartige DLL-Dateien zu laden und die schwarze Kette auf der offiziellen Website des Unternehmens aufzuhängen.
Schutzempfehlungen
1) Konfigurieren Sie die erforderlichen Firewalls und aktivieren Sie Firewall-Richtlinien, um zu verhindern, dass Hacker unnötige Dienste ausnutzen können;
2) Stärkung der Rechteverwaltung, Festlegen von Rechten für sensible Verzeichnisse, Einschränkung der Skriptausführungsrechte für hochgeladene Verzeichnisse, Nichtzulassen der Konfiguration von Ausführungsrechten usw;
3) Nehmen Sie die Website in den WAF-Grenzschutz auf, HTTPS-Sites müssen das Zertifikat laden;
4) Durchführung von Sicherheitsbewertungen, Penetrationstests und Code-Audits auf System-, Anwendungs- und Netzebene zur proaktiven Ermittlung potenzieller Sicherheitsrisiken im aktuellen System und in der Anwendung;
5) Verstärkung des täglichen Sicherheitsinspektionssystems, regelmäßige Überprüfung der Systemkonfiguration, der Koordinierung der Netzausrüstung, der Sicherheitsprotokolle und der Umsetzung der Sicherheitsrichtlinien, NormalisierungInformationssicherheitArbeit.
4.3. die Beseitigung des Notfalls der Entführung von Routern durch die Teilnehmer eines Luftfahrtunternehmens
Überblick über den Vorfall
Im März 2023 erhielt das Chianson-Notfallteam ein dringendes Hilfeersuchen eines Betreibers, der Beschwerden von Abonnenten erhalten hatte, weil deren Seiten gekapert wurden, während sie die Breitbandverbindung des Betreibers für den normalen Fernsehkonsum nutzten. Der Betreiber wollte die Ursache für diesen Vorfall ermitteln.
Notfallpersonal an der Szene der gekaperten Seite Untersuchung festgestellt, dass die Entführung Phänomen nur beim Zugriff auf eine bestimmte Seite auftritt, und die Seite des Benutzers wird gekapert, wenn der erste Sprung zu 106.14.x.x, 139.196.x.x zwei Adressen. Durch die Konstruktion von Anfragen zum Besuch dieser beiden Adressen fanden die Einsatzkräfte heraus, dass der Besuch automatisch eine bösartige js-Datei lädt, die eine große Anzahl von Werbung, pornografischen Adressen und Sprungcode enthält. Anschließend testete das Notfallpersonal das gleiche Modell der TV-Box, fand nicht die Entführung Situation, die Vermutung, dass es ein Problem mit dem Router sein kann.
Die Einsatzkräfte versuchten, das Router-Gerät aus der Perspektive des Angreifers zu testen, nachdem der Benutzer seine Zustimmung gegeben hatte, und stellten fest, dass es eine Schwachstelle in der Befehlsausführung im Router gibt, durch die die Systemrechte des Routers direkt erlangt werden können. Notfall-Personal, um die Router-System-Berechtigungen zu erhalten, die Router-System-Prozesse, Dateien, etc. festgestellt, dass die Existenz des nginx-Prozesses wird in das Gerät laufen wird auf Port 8080 zu hören beginnen. Anschließend wurde die Konfigurationsdatei des nginx-Prozesses untersucht und festgestellt, dass der Hijacking-Code in der Datei nginx.conf implantiert wurde.
Da es sich bei dem Router um einen Heimrouter handelt und dem Benutzer beim Zugriff auf das Netz des Betreibers keine öffentliche Adresse zugewiesen wird, kann der Angreifer nicht direkt auf den Router zugreifen. Daher vermuteten die Einsatzkräfte, dass der Hijacking-Code bereits vorhanden war, als der Benutzer den Router kaufte. Da die offizielle Website des Routerherstellers nicht zugänglich ist, konnten die Einsatzkräfte die offizielle Firmware nicht abrufen und nicht feststellen, ob die vom Router verwendete Firmware die offizielle Version ist. Das Notfallpersonal empfahl dem Betreiber, die betreffende bösartige Adresse am Netzwerkanschluss des Benutzers zu sperren, und beendete den Notfall.
Schutzempfehlungen
1) Den Betreibern wird empfohlen, die entsprechenden bösartigen Adressen am Netzausgang des Benutzers zu sperren;
2) Achten Sie beim Kauf von Produkten immer darauf, dass Sie über offizielle Kanäle kaufen und vermeiden Sie den Kauf über inoffizielle oder dubiose Drittanbieterkanäle, um das Risiko zu vermeiden, dass Sie auf gefälschte, raubkopierte oder minderwertige Produkte stoßen.
4.4 Notfallsituation in einem Unternehmen, das mit dem Mining-Virus WatchDogs infiziert ist
Überblick über den Vorfall
Im Mai 2023 erhielt das Notfallteam von Chianson ein dringendes Hilfeersuchen von einem Unternehmen, das auf mehreren Servern in seinem Intranet mit einem Mining-Virus infiziert war, der die Systemressourcen stark beanspruchte und den normalen Geschäftsbetrieb beeinträchtigte, und hoffte, die betroffenen Server zu untersuchen und den Eindringungspfad zurückzuverfolgen.
Nach dem Eintreffen am Tatort analysierten die Einsatzkräfte den von den Betriebs- und Wartungsmitarbeitern des Unternehmens angegebenen bösartigen Mining-Domainnamen und stellten fest, dass der Server mit dem Mining-Virus WatchDogs infiziert war. Die Systemprozesse und geplanten Aufgaben des Opferservers (x.x.x.80) wurden untersucht, und es wurden bösartige Prozesse und bösartige geplante Aufgaben gefunden, die den Merkmalen des WatchDogs-Mining-Virus entsprechen. Nachdem das Notfallpersonal die bösartigen geplanten Tasks gelöscht und die bösartigen Prozesse mit Befehlen beendet hatte, kehrte die Auslastung der Prozessorressourcen des Servers (x.x.x.80) in den Normalzustand zurück.
Daraufhin untersuchten die Einsatzkräfte die Protokolle des Opferservers (x.x.x.80) und stellten fest, dass eine große Anzahl von Servern aus Intranets
(x.x.x.81), (x.x.x.22), (x.x.x.82) und (x.x.x.187) ssh-Sprengverhalten, nachdem die vier Serverprotokolle für die Untersuchung, festgestellt, dass der Angriff ist der früheste aus dem Unternehmen untergeordnete Einheit Server (x.x.x.81). Notfallpersonal auf dem Server
(x.x.x.81) für die Untersuchung, festgestellt, dass der Server Java-Anwendungen eingesetzt, mit Shiro-Komponenten, und die Website Traffic-Monitoring-Ausrüstung besteht in den Server von der IP (x.x.x.69) von Shiro Deserialisierung Schwachstelle Angriff in den Alarm gelungen, nachdem die Bedrohung Intelligenz Abfrage IP (x.x.x.69) für bösartige IP.
Da der Server (x.x.x.81) der untergeordneten Einheit des Unternehmens nicht mit dem Patch für die Shiro-Deserialisierungsschwachstelle aktualisiert worden war, der Angreifer den Server erfolgreich ausgenutzt hatte, um sich Zugang zu den Serverberechtigungen zu verschaffen, und die Intranetserver des Unternehmens das gleiche Kennwort mit geringerer Stärke verwendeten, nutzte der Angreifer den Server (x.x.x.81), um sich durch eine Batch-Kennwortverletzung erfolgreich Zugang zu einer großen Anzahl von Servern im Intranet des Unternehmens zu verschaffen. Der Angreifer nutzte den Server (x.x.x.81), um sich durch eine Batch-Kennwortverletzung Zugang zu einer großen Anzahl von Servern im Intranet des Unternehmens zu verschaffen und den Mining-Virus WatchDogs zu starten.
Das Notfallpersonal schrieb dann Python-Skripte und führte sie aus, um das Unternehmen dabei zu unterstützen, bösartige geplante Aufgaben zu löschen, bösartige Prozesse zu beenden und eine große Anzahl von Opferservern im Intranet wieder in den Normalzustand zu versetzen, woraufhin die Notfallmaßnahmen beendet wurden.
Schutzempfehlungen
1) System- und anwendungsbezogene Benutzer sollten keine schwachen Passwörter verwenden, sondern Passwörter mit hoher Komplexität und Stärke, und versuchen, gemischte Passwörter mit Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen usw. zu verwenden, um das Sicherheitsbewusstsein der Administratoren zu stärken und die Wiederverwendung von Passwörtern zu verhindern;
2) Regelmäßige Wartung der Server, Einsatz von Server-Sicherheitsschutzsystemen, Behebung von Schwachstellen in Systemanwendungen, Middleware, Komponenten, Plug-ins und anderen damit verbundenen Schwachstellen zur Gewährleistung der Serversicherheit;
3) Es wird empfohlen, Antiviren-Software zu installieren, die Virendatenbanken rechtzeitig zu aktualisieren und regelmäßig umfassende Scans durchzuführen, um die Fähigkeiten des Servers zur Vorbeugung, Unterdrückung und Entfernung von Viren zu verbessern;
4) Verbieten Sie Servern, externe Verbindungsanfragen zu initiieren. Wer gemeinsam genutzte Daten an externe Server weiterleiten muss, sollte Whitelisting verwenden und der Egress-Firewall entsprechende Richtlinien hinzufügen, um den IP-Bereich der aktiven Verbindungen einzuschränken.
4.5 Ein Unternehmen verwendete auf mehr als 50 Büro-PCs ein inoffizielles KMS-Aktivierungstool, wodurch alle PCs mit einem Wurm infiziert wurden.
Überblick über den Vorfall
Im Mai 2023 erhielt das Notfallteam von Chianson Security Services ein Hilfeersuchen von einem Unternehmen, das von einer Aufsichtsbehörde darüber informiert worden war, dass mehr als 50 Büro-PCs in seinem Intranet mit einem Wurm infiziert worden waren, und das den Pfad des Eindringens zu diesem Vorfall untersuchen und zurückverfolgen wollte.
Als die Einsatzkräfte am Tatort eintrafen, stellten sie fest, dass die Büro-PCs am Tatort keine Verbindung zum Internet herstellen konnten und kein Sicherheitswarngerät vorhanden war. Sie untersuchten sofort die gemeldeten PCs und stellten fest, dass sich im Windows-Verzeichnis aller gemeldeten PCs auf dem Datenträger C dieselbe Virenmusterdatei tasksche.exe befand. Anschließend analysierten sie das Virenmuster tasksche.exe und bestätigten, dass es sich bei dem Muster um den Eternal Blue Worm handelte.
Die Einsatzkräfte untersuchten das Verzeichnis, in dem sich die Virenmusterdateien befanden, und stellten fest, dass auf allen gemeldeten PCs Restdateien des KMS-Aktivierungstools vorhanden waren. Die Notfalleinsatzkräfte sprachen mit den Mitarbeitern des Unternehmens und erfuhren, dass alle gemeldeten PCs am Standort von den Mitarbeitern mit dem KMS-Aktivierungstool aktiviert worden waren, das von einer Website eines Drittanbieters heruntergeladen worden war.
Die Einsatzkräfte überprüften die Informationen auf dem Host-System am Tatort und fanden keine verdächtigen Konten. Eine Überprüfung des Patching-Status des Host-Computers ergab das Vorhandensein des Patches für die Sicherheitslücke MS17010, aber es war nicht möglich festzustellen, wann der Patch installiert wurde.
Auf der Grundlage der oben genannten Informationen gingen die Einsatzkräfte zunächst davon aus, dass die Virenproben von dem KMS-Aktivierungstool übertragen wurden, das aufgrund des mangelnden Sicherheitsbewusstseins der Mitarbeiter des Unternehmens von einer Website eines Drittanbieters heruntergeladen wurde, was zu diesem Sicherheitsvorfall führte. Da einige der Protokolle am Tatort fehlen, ist es unmöglich, die Einzelheiten des Angriffs nachzuvollziehen. Derzeit haben die Einsatzkräfte das Unternehmen bei der Beseitigung der Virenmuster unterstützt und Vorschläge zum Schutz der Sicherheit gemacht; die Notfallmaßnahmen sind abgeschlossen.
Schutzempfehlungen
1) Stärkung des Sicherheitsbewusstseins der Mitarbeiter, Betonung der Bedeutung der Netzwerksicherheit und Verbot des Herunterladens von Anwendungssoftware über inoffizielle Kanäle. Dateien unbekannter Herkunft, einschließlich E-Mail-Anhänge und hochgeladene Dateien, sollten zunächst einer Antivirenbehandlung unterzogen werden;
2) Es wird empfohlen, Antiviren-Software zu installieren, die Virendatenbank rechtzeitig zu aktualisieren und regelmäßig umfassende Scans durchzuführen, um die Fähigkeiten des Servers zur Vorbeugung, Unterdrückung und Entfernung von Viren zu stärken;
3) Einsatz fortschrittlicher Geräte zur Überwachung von Bedrohungen, um bösartigen Netzverkehr rechtzeitig zu erkennen und gleichzeitig die Rückverfolgbarkeit weiter zu verbessern und eine zuverlässige Grundlage für die Verfolgung von Sicherheitsvorfällen zu schaffen;
4) Konfigurieren und öffnen Sie die wichtigsten System- und Anwendungsprotokolle und archivieren Sie die Systemprotokolle regelmäßig außerhalb des Standorts und erstellen Sie Sicherungskopien, um zu vermeiden, dass die Angriffspfade und das Verhalten bei einem Angriff nicht zurückverfolgt werden können, und um die Rückverfolgbarkeit der Sicherheit zu verbessern;
5) Verstärkung des täglichen Sicherheitskontrollsystems, regelmäßige Überprüfung der Systemkonfiguration, der Koordinierung der Netzausrüstung, der Sicherheitsprotokolle und der Umsetzung der Sicherheitsrichtlinien sowie Normalisierung der Informationssicherheitsarbeit.
Originalartikel von Chianson, bei Vervielfältigung bitte angeben: https://cncso.com/de/bericht-uber-die-analyse-der-netzsicherheit-in-der-ersten-halfte-des-jahres-2023-html
