奇安信安服团队 2022年7月 2022年上半年网络安全应急响应 分析报告 主要观点 2022年上半年,奇安信集团安服团队共接到应急服务需求479起。政府部门、医疗卫生行业和事业单位的业务专网是2022年上半年攻击者攻击的主要目标。 2022年上半年,仅有不到五分之一的政企机构通过安全运营巡检发现攻击事件。有77%的企业是在已经发生重大安全事故后才寻求应急响应,但此时往往已对机构造成了一定的影响和重大的损失。 2022年上半年,由于木马病毒攻击导致服务器、数据库失陷的应急响应事件近半,大中型政企机构应更清楚地认识到木马病毒对我们的服务器、数据库所造成的严重损害,加强内部网络安全建设,针对多变种勒索病毒、挖矿木马以及随时可能出现的新型病毒制定完善的应急方案和安全防护措施,将应急响应常态化。 2022年上半年应急响应安全事件中,除病毒攻击和木马攻击外,攻击者利用漏洞攻击主机、服务器的事件占比近三分之一。弱口令、永恒之蓝漏洞和服务器漏洞等常规漏洞成为攻击者攻击的主要突破口,这往往也最容易被大中型政企机构忽视。 2022年上半年,近五分之一的应急响应安全事件是由于企业内部违规操作导致的。员工为方便工作,使用弱口令、高危端口暴露公网等导致勒索病毒蔓延、数据泄露甚至服务器失陷的事件屡见不鲜。由此可见,大中型政企机构加大力度提升内部员工网络安全防范意识至关重要。 摘要 2022年上半年奇安信集团安服团队共参与和处置了全国范围内479起网络安全应急响应事件。 2022年上半年应急响应处置事件行业TOP3分别为:政府部门(103起)、医疗卫生行业(55起)以及事业单位(42起),事件处置数分别占应急处置所有行业的21.5%、11.5%、8.8%。 2022年上半年奇安信安服团队参与处置的所有大中型政企机构的网络安全应急响应事件中,由行业单位自行发现的安全攻击事件占95.4%,其中有43.6%的政企机构是在遭受勒索攻击后才发现系统被攻击;而另有4.6%的安全攻击事件则是由监管机构及第三方平台通报得知。 2022年上半年应急响应事件的影响范围主要集中在业务专网,占比63.5%;办公网占比36.5%。 2022年上半年应急响应事件中,攻击者对系统的攻击所产生的影响主要表现为生产效率低下、数据丢失、数据泄露。 2022年上半年应急响应事件中,黑产活动、敲诈勒索仍然是攻击者攻击大中型政企机构的主要原因。 2022年上半年大中型政企机构安全事件攻击类型,排名前三的类型分别是:恶意程序,占比42.2%;漏洞利用,占比30.7%;钓鱼邮件,占比6.1%。 2022年上半年应急响应事件中,弱口令、永恒之蓝漏洞仍是大中型政企机构被攻陷的重要原因。 本报告所有分析数据来源于奇安信安服上半年的479次应急响应数据整理,可能存在一定的局限性,报告结论和观点仅供用户参考。 关键词:应急响应、安全服务、弱口令、敲诈勒索、漏洞利用 目录 第一章2022年上半年应急1 第二章应急响应事件受害者分析2 一、行业现状分析2 二、事件发现分析2 三、影响范围分析3 四、攻击影响分析4 第三章应急响应事件攻击者分析5 一、攻击意图分析5 二、攻击类型分析5 三、恶意程序分析6 四、漏洞利用分析7 第四章应急响应典型案例分析9 一、交通运输行业某客户遭遇恶意邮件传播应急事件处置9 二、互联网行业某客户感染Hive勒索病毒应急事件处置10 三、某科研机构员工被社工攻击,致现场多台服务器失陷应急事件处置11四、政府单位某客户感染僵尸网络病毒应急事件处置12 五、运营商行业某客户恶意外连应急事件处置14 附录1奇安信集团安服团队16 第一章2022年上半年应急 2022年1-6月,奇安信集团安服团队共参与和处置了全国范围内479起网络安全应急响应事件,第一时间协助政企机构处理安全事故,确保了政企机构门户网站、数据库和重要业务系统的持续安全稳定运行。 2022年上半年应急响应服务月度统计情况具体如下: 2022年上半年,奇安信安服共处置应急响应事件479起,投入工时为3844.6小时, 折合480.6人天。 第二章应急响应事件受害者分析 为进一步提高大中型政企机构对突发安全事件的认识和处置能力,增强政企机构安全防护意识,对2022年上半年处置的所有应急响应事件从被攻击角度、受害者行业分布、攻击事件发现方式、影响范围以及攻击行为造成的影响几方面进行统计分析,呈现上半年政企机构内部网络安全现状。 一、行业现状分析 2022年上半年应急响应处置事件TOP3的行业分别为,政府部门(103起)、医疗卫生行业(55起)、事业单位(42起),事件处置数分别占2022年上半年应急处置事件的21.5%、11.5%、8.8%。 大中型政企机构应急响应行业分布TOP10详见下图: 从行业排名可知,2022年上半年攻击者的攻击对象主要分布于政府部门、医疗卫生行业和事业单位。 二、事件发现分析 2022年上半年奇安信安服团队参与处置的所有政企机构网络安全应急响应事件中,由行业单位自行发现的攻击事件占95.4%,其中被攻击者勒索后发现的攻击占43.6%,发现入侵迹象的事件占比33.4%,安全运营巡检发现的事件占比18.4%。另有4.6%的攻击事件政企机构是在得到了监管机构及第三方平台的通报后,才得知自己已被攻击。 三、影响范围分析 2022年上半年应急响应事件的影响范围主要集中在业务专网,占比63.5%;其次为办公网,占比36.5%。根据受影响区域分布对受影响设备数量进行了统计,2022年上半年失陷的设备中,6579台服务器受到影响,2235台办公终端被攻陷。2022年上半年大中型政企机构遭受攻击影响范围如下图所示。 本文中办公网指企业员工使用的台式机/笔记本电脑、打印机等设备,而业务专网泛指机构整体运行与对外支撑所需要的各种网络系统。 从影响范围和受影响设备数量可以看出,大中型政企机构的业务专网、服务器为攻击者攻击的主要目标。 大中型政企机构在对业务专网进行安全防护建设的同时,还应提高内部人员安全防 范意识,加强对内网中办公终端、重要服务器的安全防护保障和数据安全管理。 四、攻击影响分析 2022年上半年,从大中型政企机构遭受攻击产生的影响来看,攻击者对系统的攻击所产生的影响主要表现为生产效率低下、数据丢失、数据泄露等。下图为大中型政企机构遭受攻击后的影响分布。 在上述数据中,有227起应急响应事件导致生产效率低下,占比47.4%,攻击者主要通过挖矿、蠕虫、木马等攻击手段使服务器CPU占用率异常高,造成生产效率降低。 有119起应急响应事件导致数据丢失,占比24.8%,攻击者通过对大中型政企机构重要服务器及数据库进行攻击,导致数据被破坏或丢失。 33起应急响应事件导致数据泄露,占比6.9%,泄露途径主要是攻击者入侵政企内部系统获取企业敏感信息或通过企业内自身系统泄露,对企业可能造成巨大的经济损失。同时,数据篡改和声誉影响等也是政企机构被攻击后产生的结果,同样会造成非常严重的后果。 第三章应急响应事件攻击者分析 应急响应事件攻击者分析以2022年上半年大中型政企机构所有应急数据为支撑,从攻击者角度对攻击者攻击意图、攻击类型、攻击者常用恶意程序以及常见漏洞利用方式进行分析,为各政企机构建立安全防护体系、制定应急响应处置方案提供参考依据。 一、攻击意图分析 在2022年上半年的应急响应事件中,攻击者攻击意图主要为黑产活动、敲诈勒索、内部违规、窃取重要数据和宣泄不满等。 在2022年上半年应急响应事件中,127起事件的攻击原因为黑产活动,占比26.5%,攻击者通过黑词黑链、钓鱼页面、挖矿程序等攻击手段开展黑产活动牟取暴利。 122起事件的攻击原因为敲诈勒索,占比25.5%,攻击者利用勒索病毒感染政府机构、大中型企业终端、服务器,对其实施敲诈勒索。对于大部分攻击者而言,其进行攻击的主要原因是为获取暴利,获取自身利益。 在119起内部违规事件中,内部人员为了方便工作或出于其他原因将内部业务端口映射至外网的违规操作需要引起大中型企业的重视。 二、攻击类型分析 通过对2022年上半年大中型政企机构安全事件攻击类型进行分析,排名前三的类型分别是:恶意程序占比42.2%;漏洞利用占比30.7%;钓鱼邮件占比6.1%。在恶意程序中,木马攻击(非蠕虫病毒)占比64.4%,蠕虫病毒攻击占比35.6%。 蠕虫病毒和木马,由于传播速度快、感染性强等特征成为最受攻击者青睐的攻击手段,攻击者利用病毒、木马对办公系统进行攻击,通常会产生大范围感染,造成系统不可用、数据损坏或丢失等现象。 漏洞利用则是攻击者利用政企机构网络安全建设不完善的弊端,使用常见系统漏洞、Web漏洞等,对服务器进行的破坏性攻击,通常会导致重要数据丢失、泄露、内部投毒、敲诈勒索等严重后果。 除此之外,钓鱼邮件、网页篡改、网络监听攻击等也是较为常见的攻击类型。因此,大中型政企机构应做好员工安全意识培训工作,定期内部巡检,及时发现威胁并有效遏制。 三、恶意程序分析 在2022年上半年,大中型政企机构遭受攻击恶意程序类型,占比较多的木马病毒分别为勒索病毒总占比29.4%,一般木马占比19.6%,以及挖矿木马占比19.4%。 表1遭受攻击勒索软件类型TOP10 勒索软件名称 应急次数 Phobos勒索软件26 Makop勒索软件 10 Buran勒索软件 8 Magniber勒索软件 6 Tellyouthepass勒索软件 5 LockBit勒索软件 5 Wannacry勒索软件 4 BeijingCrypt勒索软件 4 Hive勒索软件 2 Sodinokibi勒索软件 2 2022年上半年最常见的勒索病毒是Phobos勒索病毒、Makop勒索病毒、Buran勒索病毒、Magniber勒索病毒。大中型政企机构应更清楚地认识到木马病毒对我们的服务器、数据库所造成的严重损害,加强内部网络安全建设,针对多变种勒索病毒、挖矿木马以及随时可能出现的新型病毒制定完善的应急方案和安全防护措施,将应急响应常态化。 四、漏洞利用分析 在2022年上半年应急响应事件攻击类型中,对漏洞利用部分进行统计分析,发现弱口令、永恒之蓝漏洞是大中型政企机构被攻陷的重要原因;其次,服务器漏洞、任意文件上传和服务器配置不当也经常作为攻击者利用的方式(其中,在单起网络安全事件中,存在多个弱点的情况)。 弱口令、永恒之蓝漏洞需要引起政企机构关注,全面的安全管理策略、内部漏洞检测和日常修复动作不容忽视。除弱口令、永恒之蓝漏洞、服务器漏洞及任意文件上传外,服务器配置不当也是攻击者最常利用的漏洞,攻击者通过利用某一漏洞入侵系统,传播病毒,获取重要数据以达到敲诈勒索、牟取暴利等意图。 政企机构应加大内部巡检力度,定期对设备、终端进行漏洞扫描、修复。定期更换服务器、终端登录密码,加大密码复杂度。 第四章应急响应典型案例分析 2022年上半年奇安信安全服务团队共接到全国各地应急求助479起,涉及全国31个省(自治区、直辖市)、2个特别行政区,20余个行业,包括大中型政企机构、医疗卫生、事业单位等。发生的安全事件包括各种变种勒索病毒、挖矿木马、漏洞利用等不同事件类型,均不同程度地给大中型政企机构带来经济损失和恶性的社会影响。下面介绍5起2022年上半年典型的网络安全事件。 一、交通运输行业某客户遭遇恶意邮件传播应急事件处置 (一)事件概述 2022年1月,奇安信安服团队接到交通运输行业某客户应急响应求助,公司Exchange服务器出现发送恶意邮件行为,希望对该事件进行分析排查处理。 应急人员抵达现场后对部署在外网的Exchange服务器进行排查,根据发送失败的恶意邮件内容,成功定位攻击源IP(x.x.x.114),通过威胁情报查询确认IP(x.x.x.114)为恶意IP。 应急人员对Exchange服务器的II