2024《网络安全事件应急指南》.docx

录

数据泄露场景 01

背景简介 01

某用户重要业务数据在暗网论坛被售卖事件 01

某单位因敏感数据泄露被通报事件 04

勒索场景 06

背景简介 06

处置与溯源流程 07

phobos勒索家族通过RDP端口暴破入侵事件 09

mallox勒索家族通过Web应用漏洞入侵事件 11

mallox勒索家族通过MSSQL端口暴破入侵+内网横向事件 13

勒索软件的防御措施 16

主机病毒场景 18

背景简介 18

Linux系统主机病毒案例 18

PwnDNS挖矿家族：一度风靡的恶意软件 18

Mirai僵尸网络家族：活跃时间最长的网络威胁 22

Windows系统主机病毒案例 24

“麻辣香锅”病毒：劫持万千用户浏览器主页的病毒 24

主机病毒的应对策略 31

网页暗链场景 33

背景简介 33

处置与溯源流程 34

某服务行业用户因「IIS恶意模块+UA头部劫持」植入暗链被通报 36

某媒体行业用户因「Nginx配置文件劫持+ 38

静态html页面劫持」植入暗链被通报

网页暗链的防御措施 42

APT场景 43

背景简介 43

某单位遭遇海莲花恶意IP攻击被通报 43

某科研机构遭遇白象邮件钓鱼攻击 46

某单位遭遇境外NSA武器渗透攻击 48

Web入侵场景 51

背景简介 51

处置与溯源流程 54

某企业用户业务服务器内存马注入事件 56

某用户财务系统SQL注入事件 60

附录：2023-2024大型网络安全事件盘点 64

基础设施行业 64

能源、制造业 67

政府机构 69

金融行业

金融行业

71

科技行业

73

连锁服务行业

76

参考链接

77

01网络安全事件应急指南

01

网络安全事件应急指南

02网络安全事件应急指南

02

网络安全事件应急指南

背景简介

背景简介

数据泄露场景数据泄露是现代信息安全中一个重要且常见的问题，可能通过多种途径发生，包括Web攻击、个人行为、拍照、截图、U

数据泄露场景

本章节，我们将从Web方向分析数据泄露的可能性，以及如何利用现有的日志进行综合分析以应对数据泄露事件。在Web方向最经常遇到的数据泄露事件有两种：

一种是已知泄露数据源，类似下文案例分析中某样板数据被公布在了暗网或各大平台上，这时我们可以通过已知的线索作为定位点进行综合分析，利用数据产生的时间和事发时间进行定位出攻击时间范围进行精准溯源。另外一种情况是更加严重的，即收到监管单位通报说某个单位存在数据泄露情况，但给出的信息较少，不足以支撑后续定点分析（

一种是已知泄露数据源，类似下文案例分析中某样板数据被公布在了暗网或各大平台上，这时我们可以通过已知的线索作为定位点进行综合分析，利用数据产生的时间和事发时间进行定位出攻击时间范围进行精准溯源。

另外一种情况是更加严重的，即收到监管单位通报说某个单位存在数据泄露情况，但给出的信息较少，不足以支撑后续定点分析（例如提供了攻击者IP线索或数据包大小线索等）。

这些情况下，我们的处理思路为：通过对Web服务器日志、应用程序日志和网络流量日志的详细分析，识别到异常活动、追踪数据泄露的源头，并采取相应的补救措施。在实际应用中，这种方法不仅有助于理解数据泄露的过程，还能为未来的安全防护提供有价值的参考。

某用户重要业务数据在暗网论坛被售卖事件

某用户重要业务数据在暗网论坛被售卖事件

事件概要

某用户通过相关情报得知，自身重要业务数据被黑客在暗网论坛上售卖，应急响应中心应用户要求对本次事件进行深入分析。

事件溯源分析过程

事件溯源分析过程

根据黑客发布的信息以及连接中的数据初步判断该数据格式和某业务系统中的导出功能相似，由于该系统本身支持导出功能所以推测该系统被攻击的方式存在以下几种可能性：

Web

Web业务遭受攻击拿到Webshell权限，通过Webshell读取。

存在注入类型漏洞或未授权访问能够读取该列表。

弱密码，黑客通过弱密码登录业务系统进行数据下载。

前期得知该服务器曾被其他安全团队分析过，并未发现被攻击痕迹存在而且用户已将业务系统关闭并收敛到了内网，故公网无法得知相关情况。经沟通用户同意将服务器拷贝一份给到应急响应中心分析。

在分析开始前，应急响应中心对黑客公布的样本数据进行分析，发现该数据量较大，并且包含了10月9日的数据，这给安全分析人员提供了很大的便利。

事件分析方案

方案一希望用户提供数据导出的接口按钮功能连接，通过该连接搜索与之匹配的url，

方案一

希望用户提供数据导出的接口按钮功能连接，通过该连接搜索与之匹配的url，根据该线索对应IP地址是否为本国IP地址，如果不是则存在异常，可根据I