主要觀點:
政府部門、事業單位和金融業是2023年上半年網路安全應急響應事件最高發生的行業。這突顯了網路安全問題對於重要部門的資料安全構成了嚴重威脅。
絕大多數政企機構在網路安全基礎設施建設和營運能力方面存在嚴重不足。只有少數政企機構能夠透過安全巡檢提前發現問題,避免損失,而大多數機構只能在重大損失發生後或被第三方通報後才能發現安全問題。攻擊者利用弱密碼、常見漏洞等方式攻擊主機和伺服器的事件佔了相當比例。
內部員工違規操作觸發的緊急應變事件約佔總量的四分之一。缺乏安全意識導致公網外洩敏感資訊、高風險連接埠對公網開放、下載盜版軟體等行為導致內網伺服器受感染,進而引發勒索病毒蔓延、資料外洩甚至伺服器失陷事件。因此,大中型政企機構需要加強內部員工的網路安全防範意識。
實戰攻防演習活動可以幫助企業發現並識別潛在的安全漏洞,及早修復威脅,防止實際攻擊的發生,減少損失。在2023年上半年接收的安全事件中,部分來自政企機構內部的實戰攻防演習活動。
綜上所述,網路安全問題對於政府部門、事業單位和金融業等重要產業的資料安全構成了嚴重威脅。大多數政企機構在網路安全基礎建設和營運能力方面存在不足,內部員工的網路安全防範意識亟需提升。透過實戰攻防演習活動,企業可以更好地發現和修復潛在的安全漏洞,減少潛在的損失。
事件:
2023年上半年,95015服務平台共接到全國政企機構網路安全緊急事件376起。奇安信安服團隊投入3157.1小時(394.6人天)處置相關事件,平均時間8.4小時。
根據產業分佈,政府部門報告的事件最多,共70起;其次是事業單位,共51起;金融機構排名第三,共50起。此外,製造業、醫療機構、交通運輸等產業也是網路安全緊急應變事件高發產業。
47.6%的政企機構在系統出現明顯入侵跡象後才進行報案求助,33.8%的政企機構在被攻擊者勒索後撥打95015電話。只有12.7%的機構能夠透過安全運作巡檢提前發現問題。
事件影響範圍方面,63.6%的事件主要影響業務專網,36.4%的事件主要影響辦公室網。受影響的設備數量中,失陷伺服器為5481台,失陷辦公終端為3,817台。業務專網和伺服器是攻擊者的主要目標。
造成的損失方面,40.4%的事件造成生產效率低下,22.9%的事件造成資料遺失,11.4%的事件造成資料外洩。此外,還有22起聲譽影響事件和18起資料被竄改事件。
有98起網路安全事件是由內部人員為了方便工作等原因進行違規操作而觸發的,數量僅次於黑產活動(106起),超過了以竊取重要數據(71起)和敲詐勒索(68起)為目的的外部網路攻擊事件。
以惡意程式為主要手段的網路攻擊最為常見,佔比為34.3%,其次是漏洞利用(31.9%)和釣魚郵件(7.2%)。網路監聽攻擊、網頁竄改、網路應用CC攻擊和拒絕服務攻擊也較為常見。
在緊急應變事件處置的勒索軟體中,Phobos勒索軟體最為常見,觸發大中型政企機構網路安全緊急應變事件12次;其次是LockBit勒索軟體(10次)、Wannacry勒索軟體和Makop勒索軟體(各6次)。這些流行的勒索病毒需要引起警覺。
弱口令是攻擊者利用最多的網路安全漏洞,相關緊急事件達133起,佔35.4%。其次為永恆之藍漏洞,相關利用事件84起,佔22.3%。
一、 網路安全緊急應變情勢綜述
2023 年1~6 月,95015 服務平台共接到全國網路安全緊急應變事件376 起,奇安信安服團隊第一時間協助政企機關處置安全事故,確保了政企機構入口網站、資料庫和重要業務系統等的持續安全穩定運作。
綜合統計顯示,在2023 年上半年376 起網路安全緊急應變事件的處置中,奇
安信安服團隊累計投入工時為3157.1 小時,折合394.6 人天,處置一起緊急事件平均耗時8.4 小時。其中,1 月份,因春節假期期間,緊急應變處理量略有減少。
二、 緊急應變事件受害者分析
本章將從網路安全緊急應變事件受害者的視角出發,從產業分佈、事件發現方式、影響範圍、以及攻擊行為造成的影響等幾個方面,對95015 服務平台2023 年上半年接
報的376 起網路安全緊急應變事件展開分析。
2.1 行業分佈
從產業分佈來看,2023 年上半年,95015 服務平台接報的網路安全緊急應變事件中,政府部門報告的事件最多,為70 起,佔比18.6%;其次是事業單位,為51 起,佔比13.6%;金融機構排名第三,為50 起,佔13.3%。此外,製造業、醫療機構、交通運輸等產業也是網路安全緊急應變事件高發產業。
下圖給出了不同產業網路安全緊急應變事件報案數量的TOP10 排行。
2.2、 事件發現
從安全事件的發現方式來看,47.6%的政企機構,是在系統已經出現了非常明顯的入侵跡象後進行的報案求助;33.8%的政企機構,是在被攻擊者勒索之後,撥打的95015網絡安全服務熱線。這二者之和為81.4%。
也就是說,八成左右的大中型政企機構是在系統已經遭到了巨大損失,甚至是不可逆的破壞後,才向專業機構進行求助。而真正能夠通過安全運作巡檢,在損失發生前及時發現問題並呼救,避免損失發生的政企機構,佔比就僅為12.7%。
此外,還有約5.9%的政企機構是在得到了主管單位、監管機構及第三方平台的通報後啟動的緊急應變。這些機構不僅嚴重缺乏有效的網路安全運營,也嚴重缺乏必要的威
脅情報能力支撐,致使自己的主管單位或監管機構總是先於自己,發現自身的安全問題或被攻擊的現象。其中,某些通報可能也會使相關單位面臨法律責任及行政處罰。這些被通報的政企機構都是潛在的定時炸彈,隨時都有可能爆發。
2.3、 影響範圍
網路安全事件往往會對IT 及業務系統產生重大的影響。在2023 年上半年95015 服務平台接報處置的網路安全緊急應變事件中,63.6%的事件主要影響的是業務專網,而主要影響辦公網的事件佔比為36.4%。從受網路安全事件影響的設備數量來看,失陷伺服器為5,481 台,失陷辦公終端為3,817 台。
2023 年上半年大中型政企機構遭受網路攻擊事件的影響範圍如下圖所示。
在本報告中,辦公網是指企業員工使用的桌上型電腦、筆記型電腦、印表機等設備組成基本辦公網絡,而業務專網泛指機構整體運作與對外支撐所需的各種網路系統。
從影響範圍和受影響設備數量可以看出,大中型政企機構的業務專網、伺服器是網路攻擊者攻擊的主要目標。
大中型政企機構在對業務專網進行安全防護建設的同時,也應提高內部人員安全防範意識,加強對內網中辦公終端、重要伺服器的安全防護保障和資料安全管理。
2.4、 事件損失
網路安全事件通常都會引起政企機構不同程度、不同類型的損失。緊急處置現場狀況分析顯示,在95015 服務平台2023 年上半年接報的376 起報案中,有152 起事件,造成了相關機構的生產效率低下,佔比為40.4%,是排名第一的損失類型;其次是造成資料遺失的事件有86 起,佔比22.9%,排名第二;造成資料外洩的事件43 起,佔比
11.4%,排名第三;此外,造成政企機關聲譽影響的事件22 起,造成資料被竄改的事件
18 起。
特別說明,在上述統計中,同一事件只計算一次,我們只統計每起事件造成的最主要的損失類型。
造成生產效率低下的主要原因是挖礦、蠕蟲、木馬等攻擊手段使伺服器CPU 佔用率過高,造成生產效率降低。也有部分企業是因為勒索病毒攻擊造成了部分生產系統停產。
造成資料遺失的原因是多方面的,其中,因勒索病毒加密而導致資料無法恢復是首要原因。造成資料外洩的主要原因是駭客的入侵和內部人員的洩密。
三、 緊急應變事件攻擊者分析
本章將從網路安全緊急應變事件攻擊者的視角出發,從攻擊意圖、攻擊類型、惡意程式和漏洞利用等幾個方面,對95015 服務平台2023 年上半年接報的376 起網路安全緊急應變事件展開分析。
3.1、 攻擊意圖
攻擊者是出於何種目的而發動的網路攻擊呢?緊急應變人員在網路安全事件進行溯源分析過程中發現,2023 年上半年,內部人員為了方便工作等原因進行違規操作,進而導致系統出現故障或被入侵,觸發緊急應變的網路安全事件多達98 起。這一數量僅次於黑產活動(106 起)、超過了竊取重要數據(71 起)和敲詐勒索(68 起)等為目的的外部網路攻擊事件的數量。
在這裡,黑產活動以境內集團為主,主要指透過黑詞黑鏈、釣魚頁面、挖礦程序等攻擊手段進行黑產活動牟取暴利。
以竊取重要數據為目的的攻擊,一般分為兩種:一種是民間駭客非法入侵政企機構內部系統竊取敏感、重要數據,如個人資訊、帳號密碼等;另一種則是商業間諜活動或APT 活動。從實際情況來看,第一種情況更為普遍,第二種情況偶爾會發生。
敲詐勒索,主要指攻擊者利用勒索軟體攻擊政企機構的終端和伺服器,進而實施勒索。此類攻擊幾乎全部由境外攻擊者發起,打擊難度極高。
3.2、 攻擊手段
不同的安全事件,攻擊者所使用的攻擊手段也有所不同。對2023 年上半年的網絡
安全緊急應變事件分析發現,以惡意程式為主要手段的網路攻擊最為常見,佔比為34.3%;其次是漏洞利用,佔比為31.9%;釣魚郵件排第三,佔比為7.2%。此外,網路監聽攻擊、 網頁篡改、Web 應用CC 攻擊、拒絕服務攻擊等也較常見。還有約21.8%的安全事件,最後被判定為非攻擊事件。也就是說,由於企業內部違規操作,意外事件等原因,即便沒有導致系統被入侵,但也同樣觸發了網路安全緊急應變的事件也不在少數,值得警惕。
3.3、 惡意程序
緊急事件分析顯示:勒索病毒、挖礦木馬、蠕蟲病毒是攻擊者使用最多的惡意程式類型,分別占到惡意程式攻擊事件的20.7%、12.0%和7.2%。此外,網站木馬、永恆之藍下載器木馬、DDOS 木馬、APT 專用木馬等也都是經常出現的惡意程式類型。還有11.4%惡意程式攻擊事件與比較常見的,針對一般網民的流行網路木馬有關。
表1 給出了2023 年上半年95015 年服務平台接報的網路安全緊急應變事件中,出現頻率最高的勒索軟體排行榜TOP10。可以看到,排名第一的是Phobos 勒索軟體,2023 年上半年觸發大中型政企機構網路安全緊急應變事件12 次;其次是LockBit 勒索軟體10次,Wannacry 勒索軟體和Makop 勒索軟體各6 次。這些流行的勒索病毒,十分值得警惕。
表1 遭受攻擊勒索軟體類型TOP10
勒索軟體名稱 | 緊急次數 |
Phobos 勒索軟體 | 12 |
LockBit 勒索軟體 | 10 |
Wannacry 勒索軟體 | 6 |
Makop 勒索軟體 | 6 |
Tellyouthepass 勒索軟體 | 4 |
Mallox 勒索軟體 | 3 |
BeijingCrypt 勒索軟體 | 3 |
Gottacry 勒索軟體 | 2 |
Devos 勒索軟體 | 2 |
Elbie 勒索軟體 | 2 |
3.4、 漏洞利用
緊急事件分析顯示:弱口令是攻擊者在2023 年上半年最為經常利用的網路安全漏
洞,相關網路安全緊急應變事件多達133 起,佔95015 平台2023 年上半年緊急應變事件接報總數的35.4%。其次為永恆之藍漏洞,相關利用事件為84 起,佔22.3%。相較之下,其他單一類型的漏洞佔比都要小得多,排名第三的釣魚郵件僅有19 起,佔比5.1%。
弱口令的大行其道,完全是安全意識淡薄、安全管理鬆懈的體現。而永恆之藍漏洞自2017 年WannaCry 病毒爆發後,已成為廣為人知,必須修補的安全漏洞。時至今日仍有大量的政企機構倒在永恆之藍的槍口之下,說明這些政企機構嚴重缺乏最基本的網路安全基礎設施建設,缺乏最基本的網路安全營運能力。預計在未來相當長的時間裡,弱口令和永恆之藍漏洞仍將是國內政企機構亟待解決的、基礎性的網路安全問題。
四、 緊急應變典型案例分析
2023 年上半年,95015 網路安全服務專線共接獲全國各地網路安全緊急應變求助376 起,涉及全國31 個省市(自治區、直轄市)、2 個特別行政區,涵蓋政府部門、事業單位、金融、製造業業、醫療衛生、交通運輸等20 餘個行業。本章將結合2023 年上半年的網路安全緊急應變實
踐,介紹5 起典型案例,希望能為政企機構網路安全建置與營運提供有價值的參考。
4.1、 某企業資料庫伺服器感染Mallox 勒索病毒緊急事件
事件概述
2023 年1 月,奇安信安服緊急應變團隊接獲某企業緊急求助,企業伺服器被勒索,文件加密,希望溯源入侵路徑。
緊急人員到達現場後,對受害資料庫伺服器(xxx31)進行排查以及結合勒索信和加密後綴,確認該企業伺服器感染Mallox 勒索病毒,暫時無法解密。對受害資料庫伺服器(xxx31)應用程式日誌以及現場安全防護軟體雲端日誌進行檢查後發現,外網攻擊者(92.63.196.x)對資料庫伺服器(xxx31)有大量暴力破解行為,並成功入侵伺服器(xxx31 )下載安裝遠端桌面工具Anydesk,上傳駭客工具hrsword_v5.0.1.1.exe,關閉安全防護軟體。緊急應變人員對外網攻擊者(92.63.196.x)進行威脅情報查詢,顯示該ip 為惡意C2 伺服器,其常用手段為掃描暴破1433 連接埠。應急人員與該企業員工溝通了解,為方便業務運營,資料庫伺服器(xxx31)的1433 連接埠對公網開放。隨後,緊急應變人員對伺服器(xxx31)最近存取檔案和可疑程式進行排查發現,存在大量暴破字典,以及暴力破解工具NLBrute1.2.exe。
至此,應急人員推斷,由於伺服器(xxx31)對外開放1433 端口,且該伺服器帳號存在弱口令,被攻擊者利用,成功獲取該伺服器(xxx31)權限,隨後以伺服器(xxx31)為跳板,對內網其他主機進行暴破,成功後投放Mallox 勒索病毒,加密主機檔案。
防護建議
1) 系統、應用相關使用者杜絕使用弱口令,應使用高複雜強度的密碼,盡量包含大小寫字母、數字、特殊符號等的混合密碼,加強管理者安全意識,禁止密碼重用的情況出現;
2) 配置必要的防火牆並開啟防火牆策略,防止暴露不必要的服務為駭客提供利用條件;
3) 建議部署全流量監測設備,及時發現惡意網路流量,同時可進一步加強追蹤溯源能力,對安全事件發生時可提供可靠的追溯依據;
4) 有效加強訪問控制ACL 策略,細化策略粒度,按區域按業務嚴格限制各個網絡區域以及服務器之間的訪問,採用白名單機制只允許開放特定的業務必要端口,其他端口一律禁止訪問,僅管理員IP 可對管理連接埠進行訪問,如FTP、資料庫服務、遠端桌面等管理連接埠。
4.2、 某單位官網被掛黑鏈事件緊急處置
事件概述
2023 年2 月,奇安信應急團隊接到某單位應急求助,該單位接到補天通報,官網被攻擊者掛黑鏈接,希望對此事件進行分析排查並溯源入侵途徑。
緊急應變人員到達現場,透過驗證確認該單位官網確實存在被掛黑鏈的情況。隨後對被掛黑鏈伺服器(xxx117)的Web 日誌進行排查發現,存在上傳Webshell 後門檔案123123123.aspx以及大量存取該後門檔案的記錄,透過檔案查找成功在templates 目錄下定位到該檔案12312 3123.aspx 。緊急應變人員對上傳點https://xxedu.cn/xx/admin/settings/ttemplet_file_edi t.aspx 進行測試發現,該位置有任意檔案上傳漏洞。
查看伺服器(xxx117)用戶情況發現,Guest 使用者被複製提權為管理員用戶,並且有多次可疑登入情況。查看伺服器(xxx117)的iis 設定檔後發現,存在含有搜尋引擎seo 相關字元和相關跳轉代碼的可疑dll 檔案。
至此應急人員確認,由於該單位官網存在任意文件上傳漏洞,攻擊者利用該漏洞獲得伺服器權限,透過克隆提權Guest 用戶,篡改iis 配置加載惡意dll 文件植入黑鏈的方式在該單位官網掛黑鏈。
防護建議
1) 配置必要的防火牆並開啟防火牆策略,防止暴露不必要的服務為駭客提供利用條件;
2) 加強權限管理,對敏感目錄進行權限設置,限制上傳目錄的腳本執行權限,不允許配置執行權限等;
3) 將站點納入邊界WAF 防護範圍內,HTTPS 類別的站點需要載入證書;
4) 進行對系統、應用以及網路層面的安全評估、滲透測試以及代碼審計工作,主動發現目前系統、應用存在的安全隱患;
5) 加強日常安全巡檢制度,定期對系統配置、網路設備配合、安全日誌、安全策略落實進行檢查,常態化資訊安全工作。
4.3、 某運營商用戶路由器劫持緊急事件處置
事件概述
2023 年3 月,奇安信緊急應變團隊接獲某業者緊急求助,因用戶在使用電信商寬頻正常看電視時出現頁面被劫持的情況,導致該業者被用戶投訴。該運營商希望能查明此次事件的原因。
應急人員到達現場對被劫持頁面進行排查發現,只有訪問特定頁面時才會出現劫持現象,並且用戶頁面被劫持跳轉時首先會跳到106.14.xx、139.196.xx 兩個地址。緊急人員透過建構請求存取這兩個位址發現,存取時會自動載入一個包含大量的廣告、色情位址以及跳轉程式碼的惡意js 檔案。隨後,緊急應變人員對同型號的電視盒子進行測試,並未發現相關劫持情況,猜測可能是路由器的問題。
應急人員在使用者同意後嘗試從攻擊者角度對路由設備進行測試發現,該款路由器存在命令執行漏洞,可以透過它直接取得到路由器系統權限。應急人員拿到路由器系統權限後,對路由器系統進程、檔案等進行排查發現,存在的nginx 進程運行時會在設備的8080 連接埠啟動監聽。隨後,對nginx 程序的設定檔進行排查發現,在nginx.conf 檔案中被植入劫持程式碼。
由於該路由器為家用路由器,且用戶接入運營商網路時不會分配公網位址,攻擊者無法直接存取該路由器。因此緊急人員推測,用戶購入該路由器時已經存在劫持代碼,由於路由器廠商官網無法訪問,應急人員無法拿到官方固件,無法確定該路由器使用的固件是否為官方版本。目前,緊急應變人員建議該業者在用戶網路出口上對相關惡意位址進行封堵,應急結束。
防護建議
1) 建議業者在使用者網路出口上對相關惡意位址進行封鎖;
2) 在購買產品時,請務必確保從官方管道進行購買,避免從非官方或可疑的第三方管道購買,以防止遭遇假冒、盜版或低品質產品的風險。
4.4、 某企業感染WatchDogs 挖礦病毒緊急事件
事件概述
2023 年5 月,奇安信緊急應變團隊接獲某企業應急求助,該企業內網多台伺服器感染挖礦病毒,伺服器系統資源佔用較高,影響業務正常運行,希望能對受害伺服器進行排查,並溯源入侵途徑。
緊急應變人員到達現場後,對該企業維運人員提供的外聯惡意挖礦網域進行分析,確定該伺服器感染WatchDogs 挖礦病毒。對受害伺服器(xxx80)系統進程和排程任務進行排查,發現符合WatchDogs 挖礦病毒特徵的惡意進程以及惡意規劃任務。緊急人員利用指令刪除惡意排程任務、結束惡意進程後,伺服器(xxx80)處理器資源佔用率恢復正常狀態。
隨後,緊急應變人員對受害伺服器(xxx80)日誌進行排查,發現大量來自內部網路伺服器
(xxx81)、(xxx22)、(xxx82)和(xxx187)的ssh 爆破行為,經過對這四台伺服器日誌進行排查,發現攻擊最早來自該企業下屬單位伺服器(xxx81)。應急人員對伺服器
(xxx81)進行排查,發現該伺服器部署java 應用,使用shiro 元件,並且現場流量監控設備存在該伺服器被IP(xxx69)利用shiro 反序列化漏洞攻擊成功的告警,經威脅情報查詢IP(xxx69)為惡意IP。
因此緊急應變人員判定由於該企業下屬單位伺服器(xxx81)未更新shiro 反序列化漏洞補丁,被攻擊者成功利用獲取到該伺服器權限,且該企業內網伺服器均使用相同口令且強度較低,攻擊者利用伺服器(xxx81)透過大量口令暴破方式成功取得該企業內部網路大量伺服器權限,並投放WatchDogs 挖礦病毒。
隨後應急人員編寫並執行python 腳本,幫助該企業刪除惡意計畫任務、結束惡意進程,將內網大量受害伺服器恢復正常後,應急結束。
防護建議
1) 系統、應用相關使用者杜絕使用弱口令,應使用高複雜強度的密碼,盡量包含大小寫字母、數字、特殊符號等的混合密碼,加強管理者安全意識,禁止密碼重用的情況出現;
2) 伺服器定期維護,部署伺服器安全防護系統,修復系統應用漏洞、中介軟體漏洞、元件、插件等相關漏洞,保障伺服器安全;
3) 建議安裝防毒軟體,及時對病毒庫進行更新,並且定期進行全面掃描,加強伺服器病毒預防、抑制及清除能力;
4) 禁止伺服器主動發起外部連線請求,對於需要向外部伺服器推送共用資料的,應使用白名單的方式,在出口防火牆加入相關策略,對主動連線IP 範圍進行限制。
4.5、 某企業50+台辦公PC 使用非官方KMS 啟動工具,致全部感染蠕蟲病毒緊急事件
事件概述
2023 年5 月,奇安信安服應急團隊接到某企業應急求助,該企業被監管單位通報,內網50+台辦公PC 均感染蠕蟲病毒,希望對此事件進行排查,並溯源入侵途徑。
緊急應變人員到達現場,了解到現場辦公PC 均無法連接互聯網,也無安全警報設備。立即對被通報PC 進行排查發現,在所有被通報PC 的C 碟Windows 目錄下存在相同病毒樣本檔tasksche.exe。隨後對病毒樣本tasksche.exe 進行分析,確認樣本為永恆之藍蠕蟲病毒。
緊急應變人員對病毒樣本檔案所在目錄進行排查發現,所有被通報PC 中均存在KMS 啟動工具殘留檔案。緊急人員與該企業員工溝通了解到,現場所有被通報PC 均是由工作人員統一使用從第三方網站下載的KMS 啟動工具啟動。
應急人員對現場主機系統資訊進行排查,未發現有可疑帳戶。對主機補丁情況進行查看發現,存在MS17010 漏洞補丁,但不能確定打補丁時間。
根據以上排查訊息,應急人員初步推斷病毒樣本是KMS 激活工具所攜帶,由於該企業員工安全意識不足,使用第三方網站下載的KMS 激活工具,導致本次安全事件發生。因為現場部分日誌缺失,致使無法溯源出詳細的攻擊細節,目前應急人員已協助該企業將病毒樣本進行清除,並提出安全防護建議,應急結束。
防護建議
1) 加強人員安全意識培養,強調網路安全重要性,禁止透過非官方管道下載應用軟體。對來源不明的文件包括郵件附件、上傳文件等要先防毒處理;
2) 建議安裝防毒軟體,及時對病毒庫進行更新,並且定期進行全面掃描,加強伺服器病毒預防、抑制及清除能力;
3) 部署進階威脅監控設備,及時發現惡意網路流量,同時可進一步加強追蹤溯源能力,對安全事件發生時可提供可靠的追溯依據;
4) 設定並開啟相關關鍵系統、應用日誌,對系統日誌進行定期異地歸檔、備份,避免在攻擊行為發生時,導致無法對攻擊途徑、行為進行溯源等,加強安全溯源能力;
5) 加強日常安全巡檢制度,定期對系統配置、網路設備配合、安全日誌、安全策略落實進行檢查,常態化資訊安全工作。
原创文章,作者:奇安信,如若转载,请注明出处:https://cncso.com/tw/network-security-analysis-report-the-first-half-of-2023-html