95015网络安全应急响应分析报告（2023上半年）

主要观点 政府部门、事业单位、金融行业是2023年上半年网络安全应急响应事件最为高发的行业。这也意味着网络安全问题对重要部门的数据安全仍然构成严重威胁。 当前国内绝大多数政企机构在网络安全基础设施建设和网络安全运营能力方面存在严重不足。一方面，仅有12.7%的政企机构能够通过安全巡检提前发现问题，避免损失，而绝大多数政企机构只能在重大损失发生之后，或被第三方机构通报后才能发现安全问题；另一方面，攻击者利用弱密码、永恒之蓝等常规漏洞攻击主机、服务器的事件占比近三分之一。 由内部人员违规操作触发的应急响应事件约占2023年上半年95015服务平台接报事件总量的四分之一。公网泄露敏感信息、高危端口对公网开放、下载盗版软件等由于安全意识淡薄而引发的内网服务器受感染导致勒索病毒蔓延、数据泄露甚至是服务器失陷事件层出不穷。由此可见，大中型政企机构加大力度提升内部员工网络安全防范意识迫在眉睫。 2023年上半年接收的安全事件中有小部分来自政企机构内部实战攻防演习活动，通过实际的攻击模拟和防御演练，企业可以更好地发现和识别可能存在的安全漏洞，能够尽早发现并修复潜在的威胁，防止实际攻击的发生，减少潜在的损失。 摘要 2023年上半年，95015服务平台共接到全国政企机构网络安全应急事件376起。奇安信安服团队处置相关事件累计投入工时3157.1小时，折合394.6人天，处置一起应急事件平均用时8.4小时。 从行业分布来看，2023年上半年，95015服务平台接报的网络安全应急响应事件中，政府部门报告的事件最多，为70起；其次是事业单位51起；金融机构排第三，为50起。此外，制造业、医疗机构、交通运输等行业也是网络安全应急响应事件高发行业。 47.6%的政企机构，是在系统已经出现了非常明显的入侵迹象后进行的报案求助；33.8%的政企机构，是在被攻击者勒索之后，拨打的95015。而真正能够通过安全运营巡检，提前发现问题的仅占比12.7%。 从网络安全事件的影响范围来看，63.6%的事件主要影响业务专网，主要影响办公网的事件占比为36.4%。而从受影响的设备数量来看，失陷服务器为5481台，失陷办公终端为3817台。业务专网、服务器是网络攻击者攻击的主要目标。 从网络安全事件造成的损失来看，造成生产效率低下的事件152起，占比为40.4%；造成数据丢失的事件86起，占比22.9%；造成数据泄漏的事件43起，占比11.4%；此外，造成声誉影响的事件22起，造成数据被篡改的事件18起。 内部人员为了方便工作等原因进行违规操作，进而触发应急响应的网络安全事件多达98起。这一数量仅次于黑产活动（106起），超过了以窃取重要数据（71起）和敲诈勒索（68起）等为目的的外部网络攻击事件的数量。 以恶意程序为主要手段的网络攻击最为常见，占比为34.3%，其次是漏洞利用，占比为31.9%；钓鱼邮件排第三，占比为7.2%。网络监听攻击、网页篡改、Web应用CC攻击和拒绝服务攻击等也比较常见。 应急事件分析显示，勒索病毒、挖矿木马、蠕虫病毒是攻击者使用最多的恶意程序类型，分别占到恶意程序攻击事件的20.7%、12.0%和7.2%。此外，网站木马、永恒之蓝下载器木马、DDOS木马、APT专用木马等也都是经常出现的恶意程序类型。 在应急响应事件处置的勒索软件中，排名第一的是Phobos勒索软件，2023年上半年触发大中型政企机构网络安全应急响应事件12次；其次是LockBit勒索软件10次，Wannacry勒索软件和Makop勒索软件6次。这些流行的勒索病毒，十分值得警惕。 弱口令是攻击者在2023年上半年利用最多的网络安全漏洞，相关应急事件多达133起，占比35.4%。其次是永恒之蓝漏洞，相关利用事件为84起，占比22.3%。 关键词：95015、应急响应、安全服务、弱口令、内部违规、敲诈勒索、漏洞利用 目录 第一章网络安全应急响应形势综述1 第二章应急响应事件受害者分析2 一、行业分布2 二、事件发现2 三、影响范围3 四、事件损失4 第三章应急响应事件攻击者分析5 一、攻击意图5 二、攻击手段5 三、恶意程序6 四、漏洞利用7 第四章应急响应典型案例分析9 一、某企业数据库服务器感染Mallox勒索病毒应急事件9 (一)事件概述9 (二)防护建议10 二、某单位官网被挂黑链事件应急处置10 (一)事件概述10 (二)防护建议11 三、某运营商用户路由器劫持应急事件处置11 (一)事件概述11 (二)防护建议12 四、某企业感染WatchDogs挖矿病毒应急事件12 (一)事件概述12 (二)防护建议13 五、某企业50+台办公PC使用非官方KMS激活工具，致全部感染蠕虫病毒应急事件13 (一)事件概述13 (二)防护建议14 附录195015网络安全服务热线15 附录2奇安信集团安服团队16 附录3网络安全应急响应图书推荐17 第一章网络安全应急响应形势综述 2023年1~6月，95015服务平台共接到全国范围内网络安全应急响应事件376起，奇安信安服团队第一时间协助政企机构处置安全事故，确保了政企机构门户网站、数据库和重要业务系统等的持续安全稳定运行。 综合统计数据显示，在2023年上半年376起网络安全应急响应事件的处置中，奇 安信安服团队累计投入工时为3157.1小时，折合394.6人天，处置一起应急事件平均用时8.4小时。其中，1月份，因春节假期期间，应急响应处理量略有减少。 第二章应急响应事件受害者分析 本章将从网络安全应急响应事件受害者的视角出发，从行业分布、事件发现方式、影响范围、以及攻击行为造成的影响等几个方面，对95015服务平台2023年上半年接 报的376起网络安全应急响应事件展开分析。 一、行业分布 从行业分布来看，2023年上半年，95015服务平台接报的网络安全应急响应事件中，政府部门报告的事件最多，为70起，占比18.6%；其次是事业单位，为51起，占比13.6%；金融机构排第三，为50起，占比13.3%。此外，制造业、医疗机构、交通运输等行业也是网络安全应急响应事件高发行业。 下图给出了不同行业网络安全应急响应事件报案数量的TOP10排行。 二、事件发现 从安全事件的发现方式来看，47.6%的政企机构，是在系统已经出现了非常明显的入侵迹象后进行的报案求助；33.8%的政企机构，是在被攻击者勒索之后，拨打的95015网络安全服务热线。这二者之和为81.4%。 也就是说，八成左右的大中型政企机构是在系统已经遭到了巨大损失，甚至是不可逆的破坏后，才向专业机构进行求助。而真正能够通过安全运营巡检，在损失发生之前及时发现问题并呼救，避免损失发生的政企机构，占比就仅为12.7%。 此外，还有约5.9%的政企机构是在得到了主管单位、监管机构及第三方平台的通报后启动的应急响应。这些机构不仅严重缺乏有效的网络安全运营，也严重缺乏必要的威 胁情报能力支撑，致使自己的主管单位或监管机构总是先于自己，发现自身的安全问题或被攻击的现象。其中，某些通报可能还会使相关单位面临法律责任及行政处罚。这些被通报的政企机构都是潜在的定时炸弹，随时都有可能爆发。 三、影响范围 网络安全事件往往会对IT及业务系统产生重大的影响。在2023年上半年95015服务平台接报处置的网络安全应急响应事件中，63.6%的事件主要影响的是业务专网，而主要影响办公网的事件占比为36.4%。从受网络安全事件影响的设备数量来看，失陷服务器为5481台，失陷办公终端为3817台。 2023年上半年大中型政企机构遭受网络攻击事件的影响范围如下图所示。 在本报告中，办公网是指企业员工使用的台式机、笔记本电脑、打印机等设备组成基本办公网络，而业务专网泛指机构整体运行与对外支撑所需要的各种网络系统。 从影响范围和受影响设备数量可以看出，大中型政企机构的业务专网、服务器是网络攻击者攻击的主要目标。 大中型政企机构在对业务专网进行安全防护建设的同时，还应提高内部人员安全防范意识，加强对内网中办公终端、重要服务器的安全防护保障和数据安全管理。 四、事件损失 网络安全事件通常都会引起政企机构不同程度、不同类型的损失。应急处置现场情况分析显示，在95015服务平台2023年上半年接报的376起报案中，有152起事件，造成了相关机构的生产效率低下，占比为40.4%，是排名第一的损失类型；其次是造成数据丢失的事件有86起，占比22.9%，排名第二；造成数据泄漏的事件43起，占比 11.4%，排名第三；此外，造成政企机构声誉影响的事件22起，造成数据被篡改的事件 18起。 特别说明，在上述统计中，同一事件只计算一次，我们只统计每起事件造成的最主要的损失类型。 造成生产效率低下的主要原因是挖矿、蠕虫、木马等攻击手段使服务器CPU占用率过高，造成生产效率降低。也有部分企业是因为勒索病毒攻击造成了部分生产系统停产。 造成数据丢失的原因是多方面的，其中，因勒索病毒加密而导致数据无法恢复是首要原因。造成数据泄露的主要原因是黑客的入侵和内部人员的泄密。 第三章应急响应事件攻击者分析 本章将从网络安全应急响应事件攻击者的视角出发，从攻击意图、攻击类型、恶意程序和漏洞利用等几个方面，对95015服务平台2023年上半年接报的376起网络安全应急响应事件展开分析。 一、攻击意图 攻击者是出于何种目的发起的网络攻击呢？应急人员在对网络安全事件进行溯源分析过程中发现，2023年上半年，内部人员为了方便工作等原因进行违规操作，进而导致系统出现故障或被入侵，触发应急响应的网络安全事件多达98起。这一数量仅次于黑产活动（106起）、超过了窃取重要数据（71起）和敲诈勒索（68起）等为目的的外部网络攻击事件的数量。 在这里，黑产活动以境内团伙为主，主要是指通过黑词黑链、钓鱼页面、挖矿程序等攻击手段开展黑产活动牟取暴利。 以窃取重要数据为目的的攻击，一般分为两种：一种是民间黑客非法入侵政企机构内部系统盗取敏感、重要数据，如个人信息、账号密码等；另一种则是商业间谍活动或APT活动。从实际情况来看，第一种情况更为普遍，第二种情况偶尔会发生。 敲诈勒索，主要是指攻击者利用勒索软件攻击政企机构的终端和服务器，进而实施勒索。此类攻击几乎全部是由境外攻击者发起，打击难度极大。 二、攻击手段 不同的安全事件，攻击者所使用的攻击手段也有所不同。对2023年上半年的网络 安全应急响应事件分析发现，以恶意程序为主要手段的网络攻击最为常见，占比为34.3%；其次是漏洞利用，占比为31.9%；钓鱼邮件排第三，占比为7.2%。此外，网络监听攻击、网页篡改、Web应用CC攻击、拒绝服务攻击等也比较常见。还有约21.8%的安全事件，最终被判定为非攻击事件。也就是说，由于企业内部违规操作，意外事件等原因，即便没有导致系统被入侵，但也同样触发了网络安全应急响应的事件也不在少数，值得警惕。 三、恶意程序 应急事件分析显示：勒索病毒、挖矿木马、蠕虫病毒是攻击者使用最多的恶意程序类型，分别占到恶意程序攻击事件的20.7%、12.0%和7.2%。此外，网站木马、永恒之蓝下载器木马、DDOS木马、APT专用木马等也都是经常出现的恶意程序类型。还有11.4%恶意程序攻击事件与比较常见的，针对普通网民的流行互联网木马有关。 表1给出了2023年上半年95015服务平台接报的网络安全应急响应事件中，出现频率最高的勒索软件排行榜TOP10。可以看到，排名第一的是Phobos勒索软件，2023年上半年触发大中型政企机构网络安全应急响应事件12次；其次是LockBit勒索软件10次，Wannacry勒索软件和Makop勒索软件各6次。这些流行的勒索病毒，十分值得警惕。 表1遭受攻击勒索软件类型TOP10 勒索软件名称 应急次数 Phobos勒索软件12 LockBit勒索软件 10 Wannacry勒索软