黑客入侵医院网络应急演练脚本（2篇）.docxVIP

黑客入侵医院网络应急演练脚本（2篇）

演练脚本一：针对医院核心业务系统的定向入侵应急处置

演练时间：XX年XX月XX日9:00-12:00

参与角色：

-红队（模拟黑客）：3人，分别负责信息收集、渗透测试、权限维持

-蓝队（医院应急响应组）：8人，含网络管理员2名、系统管理员2名、数据管理员1名、临床业务联络员2名、应急总指挥1名

-观摩组：医院信息科负责人、医务科负责人、第三方安全服务商技术顾问

9:00-9:15红队初始动作：信息收集与外围打点

红队通过公开渠道收集医院公开信息：从医院官网获取到门诊系统、住院系统的入口域名，通过企查查确认医院信息系统运维外包公司名称，再利用搜索引擎抓取到该外包公司半年前泄露的一份运维人员简历，从中获取到一名运维工程师的姓名、常用邮箱前缀。随后，红队通过社工库匹配到该邮箱对应的弱密码“Yh@2023”，并利用该账号登录外包公司内部OA系统，下载到医院某分院的网络拓扑图草稿，其中标注了医院核心数据库服务器的内网IP段为192.168.10.0/24，且该网段与医保接口系统直接连通。

紧接着，红队针对医院门诊系统域名进行端口扫描，发现8080端口开放了一个未授权访问的后台管理界面，该界面为某开源挂号系统的默认后台。红队尝试使用常见弱密码组合，以“admin”账号、“Admin@123”密码成功登录后台，发现该后台存在文件上传漏洞，可上传经过篡改的JPG格式WebShell文件。红队将WebShell上传至服务器/web/upload目录下，通过浏览器访问该文件，成功获取门诊系统服务器的Web权限，当前用户为权限较低的apache用户。

9:15-9:30红队内网横向移动：获取数据库权限

红队通过WebShell执行命令，查看门诊系统服务器的内网信息，发现该服务器同时属于医院内网的“业务办公”VLAN和“临床系统”VLAN，可直接访问住院系统的应用服务器IP192.168.10.20。红队使用MSF生成针对Linux系统的木马程序，通过门诊系统服务器的文件共享功能，将木马上传至住院系统应用服务器的临时目录/tmp下，再利用门诊服务器的SSH信任关系，远程执行木马运行命令，成功获取住院系统应用服务器的root权限。

在住院系统应用服务器上，红队查看配置文件/application/config/db.php，获取到核心数据库服务器的账号“db_user”和密码“DB2024!@”，使用该账号远程登录数据库服务器（IP192.168.10.50）。登录后，红队发现数据库中存储了门诊患者的姓名、身份证号、就诊记录、缴费信息，以及住院患者的病历、手术记录、医保报销数据等敏感信息，其中仅医保数据就有近30万条记录。红队利用数据库的备份功能，将医保报销数据表导出为SQL文件，压缩后通过加密隧道传输至境外VPS服务器。

为了长期控制医院网络，红队在数据库服务器上创建了一个隐藏账户“backup$”，并将其添加至root用户组，同时设置了计划任务，每天凌晨3点从VPS下载最新的木马程序并执行，确保即使WebShell被清除，仍能维持对服务器的控制。

9:30-9:40蓝队初始告警与响应

医院部署的入侵检测系统（IDS）监测到门诊系统服务器向境外IP发起大量数据传输，触发“异常出站流量”告警，IDS系统将告警信息推送至应急响应组的统一监控平台。此时，网络管理员小张正在监控平台轮巡，发现告警后立即查看流量详情，确认传输数据为加密压缩包，且目标IP位于高风险地区。小张第一时间通过电话向应急总指挥汇报，并同步将告警信息转发至系统管理员小李。

小李立即登录门诊系统服务器查看系统日志，发现/web/upload目录下存在一个异常的JPG文件，文件创建时间为9:02，且文件内容包含PHP执行代码，确认该文件为WebShell。小李随即断开门诊系统服务器的外网连接，避免攻击者进一步向外传输数据，并在服务器上创建临时隔离目录，将WebShell文件及相关日志备份至该目录，同时使用抓包工具对服务器内网流量进行实时捕获。

9:40-10:20蓝队溯源分析：定位攻击路径

应急总指挥组织召开临时线上会议，明确分工：网络管理员负责梳理内网流量走向，系统管理员负责排查所有核心服务器的异常进程，数据管理员负责核查核心数据库的访问记录，临床业务联络员负责通知门诊、住院科室暂停非紧急业务操作。

系统管理员小李通过查看核心数据库的审计日志，发现9:12有一个来自192.168.10.20（住院系统应用服务器）的账号登录记录，登录用户为“db_user”，且在登录后执行了SELECTFROMmedical_insuranceINTOOUTFILE的导出命令，导出文件路径为/tmp/medical.sql。小李随即登