2024网络信息安全应急响应案例介绍

应急响应培训案例介绍（上）PA

R

T tw

o勒索病

毒0

1勒索病毒勒索病毒勒索病毒事件流程案例：某公司勒索病毒事件勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX应急要求，称某公司(简称”XXXX”)的内网两台电脑感染勒索病毒，要求我方对此进行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX应急要求，称某公司(简称”XXXX”)的内网两台电脑感染勒索病毒，要求我方对此进行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX应急要求，称某公司(简称”XXXX”)的内网两台电脑感染勒索病毒，要求我方对此进行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX应急要求，称某公司(简称”XXXX”)的内网两台电脑感染勒索病毒，要求我方对此进行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX应急要求，称某公司(简称”XXXX”)的内网两台电脑感染勒索病毒，要求我方对此进行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX应急要求，称某公司(简称”XXXX”)的内网两台电脑感染勒索病毒，要求我方对此进行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX应急要求，称某公司(简称”XXXX”)的内网两台电脑感染勒索病毒，要求我方对此进行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX应急要求，称某公司(简称”XXXX”)的内网两台电脑感染勒索病毒，要求我方对此进行溯源分析。。勒索病毒事件流程案例：某公司勒索病毒事件2020年10月22日下午18:00我方接到XXXX应急要求，称某公司(简称”XXXX”)的内网两台电脑感染勒索病毒，要求我方对此进行溯源分析。应急结论：攻击者通过IP:58

(上海电信）、IP:54(北京阿里云）于2020-10-17

15:26左右，使用系统账户VA_03通过互联网远程登录用友U8系统服务器，并开始进行上传和释放勒索病毒程序。随后用友U8系统服务器于2020-10-1719:29

和22:29分使用管理员账户通过局域网登录个人办公电脑，该电脑部分文件于2020-10-17

22:37左右被进行病毒感染和完成文件加密。后续：协助客户报警处置，应急报告提交公安机关。协助可以重装电脑，并加固操作系统。PA

R

T Tw

o挖矿病

毒0

2挖矿木马挖矿木马案例：某校园服务器感染挖矿病毒事件挖矿病毒应急响应流程案例：某校园服务器感染挖矿病毒事件校园网防火墙显示其所属机房内一网段6台服务器频繁攻击校园网内其他服务器，怀疑被入侵。挖矿病毒应急响应流程案例：某校园服务器感染挖矿病毒事件校园网防火墙显示其所属机房内一网段6台服务器频繁攻击校园网内其他服务器，怀疑被入侵。挖矿病毒应急响应流程案例：某校园服务器感染挖矿病毒事件校园网防火墙显示其所属机房内一网段6台服务器频繁攻击校园网内其他服务器，怀疑被入侵。挖矿病毒应急响应流程案例：某校园服务器感染挖矿病毒事件校园网防火墙显示其所属机房内一网段6台服务器频繁攻击校园网内其他服务器，怀疑被入侵。挖矿病毒应急响应流程案例：某校园服务器感染挖矿病毒事件校园网防火墙显示其所属机房内一网段6台服务器频繁攻击校园网内其他服务器，怀疑被入侵。综合上述特征比较，确认该木马程序为linux挖矿木马systemdMiner，该木马通过bash命令下载执行多个功能模块，通过SSH暴力破解、SSH免密登录利用、Hadoop

Yarn未授权访问漏洞和自动化运维工具内网扩散，且该木马的文件下载均利用暗网代理，感染后会清除主机上的其他挖矿木马，以达到资源独占的目的，该病毒行为特征图如下：挖矿病毒应急响应流程案例：某校园服务器感染挖矿病毒事件校园网防火墙显示其所属机房内一网段6台服务器频繁攻击校园网内其他服务器，怀疑被入侵。挖矿病毒应急响应流程案例：某校园服务器感染挖矿病毒事件校园网防火墙显示其所属机房内一网段6台服务器频繁攻击校园网内其他服务器，怀疑被入侵。挖矿病毒应急响应流程案例：某校园服务器感染挖矿病毒事件校园网防火墙显示其所属机房内一网段6台服务器频繁攻击校园网内其他服务器，怀疑被入侵。应急结论：被通报的校园网攻击事件应为由挖矿木马程序在尝试进行内网扩散时扫描攻击产生，该木马的下载定时任务、进程由账户yuanfa创建和运行，判断该挖矿木马可能为通过Hadoop

Yarn未授权访问漏洞或弱口令用户漏洞进行植入，疑似攻击源IP为。后续：疑似攻击源IP为交由客户继续跟进，事件结束。P

A

R

T

T

h

r

e

e入侵攻击事件0

3入侵攻击事件入侵攻击事件入侵事件应急响应流程案例：某公司内网项目文件被盗事件入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。入侵事件应急响应流程某公司内网项目文件被盗事件xxxx公司（简称“xxxx公司”）出现内网被入侵事件，其内网中发现项目数据被攻击者拷贝、压缩并下载。应急结论：初步判断xxxx公司的服务器（IP:00）最早于2019-5-7日已遭受攻击并获取管理员权限进入到公司内网，攻击者再随后的时间不定期的通过已建立的后门通道进行内网访问其它服务器的文件目录。攻击者在2020-9-4重新进入内网并执行本地密码读取工具，获得域控管理员权限，访问多台内网其它服务器，并最后在2020-9-25日再次进入xxxx公司内网并开始执行拷贝项目相关文档的操作。PA

R

T Tw

o数据泄露事件0

4数据泄露事件数据泄露事件数据泄露事件案例：某学校数据泄露事件数据泄露事件某学校数据泄露事件称某学校（简称“某学校”）

存在Elasticsearch未授权访问漏洞，并遭IP:7未授权入侵且于2020/9/1019:31:54留下勒索信息，索要赎金。数据泄露事件某学校数据泄露事件称某学校（简称“某学校”）

存在Elasticsearch未授权访问漏洞，并遭IP:7未授权入侵且于2020/9/1019:31:54留下勒索信息，索要赎金。数据泄露事件某学校数据泄露事件称某学校（简称“某学校”）

存在Elasticsearch未授权访问漏洞，并遭IP:7未授权入侵且于2020/9/1019:31:54留下勒索信息，索要赎金。数据泄露事件某学校数据泄露事件称某学校（简称“某学校”）

存在Elasticsearch未授权访问漏洞，并遭IP:7未授权入侵且于2020/9/1019:31:54留下勒索信息，索要赎金。数据泄露事件某学校数据泄露事件称某学校（简称“某学校”）

存在Elasticsearch未授权访问漏洞，并遭IP:7未授权入侵且于2020/9/1019:31:54留下勒索信息，索要赎金。数据泄露事件某学校数据泄露事件称某学校（简称“某学校”）

存在Elasticsearch未授权访问漏洞，并遭IP:7未授权入侵且于2020/9/1019:31:54留下勒索信息，索要赎金。数据泄露事件某学校数据泄露事件称某学校（简称“某学校”）

存在Elasticsearch未授权访问漏洞，并遭IP:7未授权入侵且于2020/9/1019:31:54留下勒索信息，索要赎金。应急结论：某学校Elasticsearch服务存在未授权访问漏洞，该服务存储某学校业务软件运行的异常记录。在2020年4月和9月有多个境外IP(附表)异常连接该Elasticsearch服务器，存在数据传输情况。Thanks应急响应培训案例分析（下）PA

R

T tw

o网页篡

改0

5网页篡改事件网页篡改事件网页篡改事件案例：某公司网站业务篡改事件网页篡改事件案例：某公司网站业务篡改事件2019年9月19日XXX公司所发现恶意修改网站主页“反X标语”事件进行进一步排查。网页篡改事件案例：某公司网站业务篡改事件2019年9月19日XXX公司所发现恶意修改网站主页“反X标语”事件进行进一步排查。网页篡改事件案例：某公司网站业务篡改事件2019年9月19日XXX公司所发现恶意修改网站主页“反X标语”事件进行进一步排查。网页篡改事件案例：某公司网站业务篡改事件2019年9月19日XXX公司所发现恶意修改网站主页“反X标语”事件进行进一步排查。网页篡改事件案例：某公司勒索病毒事件2019年9月19日XXX公司所发现恶意修改网站主页“反X标语”事件进行进一步排查。网页篡改事件案例：某公司网站业务篡改事件2019年9月19日XXX公司所发现恶意修改网站主页“反X标语”事件进行进一步排查。网页篡改事件案例：某公司网站业务篡改事件2019年9月19日XXX公司所发现恶意修改网站主页“反X标语”事件进行进一步排查。网页篡改事件案例：某公司网站业务篡改事件2019年9月19日XXX公司所发现恶意修改网站主页“反X标语”事件进行进一步排查。网页篡改事件案例：某公司网站业务篡改事件2019年9月19日XXX公司所发现恶意修改网站主页“反X标语”事件进行进一步排查。应急结论：结合技术分析研判，初步判定此次事件主要原因是XXX公司后台商户管理系统存在weblogic反序列化漏洞，漏洞被黑客攻击者利用上传恶意图片文件。PA

R

T tw

o钓鱼邮

件0

6钓鱼事件应急处置目的：邮件取样、事件溯源、协助止损、邮件取样：邮件样本、邮件附件；、事件溯源：分析邮件（钓鱼、勒索、挖矿）、入侵排查；、协助止损：跟踪溯源，安全自查。钓鱼事件案例：某公司邮箱钓鱼事件某公司受到钓鱼邮件攻击，我方工程师第一时间到达（xxx地方）现场进行应急响应，通过事件情报了解到以下信息：1.境外APT组织向某公司（yhma@）发送钓鱼邮件。2.邮件主题包括“关于新冠肺炎的一切”“您需要了解有关冠状病毒流行的知识”“瘟疫中的千金良方”等肺炎疫情相关热点话题。钓鱼事件案例：某公司邮箱钓鱼事件某公司受到钓鱼邮件攻击，我方工程师第一时间到达（xxx地方）现场进行应急响应，通过事件情报了解到以下信息：1.境外APT组织向某公司（yhma@）发送钓鱼邮件。2.邮件主题包括“关于新冠肺炎的一切”“您需要了解有关冠状病毒流行的知识”“瘟疫中的千金良方”等肺炎疫情相关热点话题。钓鱼事件案例：某公司邮箱钓鱼事件某公司受到钓鱼邮件攻击，我方工程师第一时间到达（xxx地方）现场进行应急响应，通过事件情报了解到以下信息：1.境外APT组织向某公司（yhma@）发送钓鱼邮件。2.邮件主题包括“关于新冠肺炎的一切”“您需要了解有关冠状病毒流行的知识”“瘟疫中的千金良方”等肺炎疫情相关热点话题。钓鱼事件案例：某公司邮箱钓鱼事件某公司受到钓鱼邮件攻击，我方工程师第一时间到达（xxx地方）现场进行应急响应，通过事件情报了解到以下信息：1.境外APT组织向某公司（yhma@）发送钓鱼邮件。2.邮件主题包括“关于新冠肺炎的一切”“您需要了解有关冠状病毒流行的知识”“瘟疫中的千金良方”等肺炎疫情相关热点话题。钓鱼事件案例：某公司邮箱钓鱼事件某公司受到钓鱼邮件攻击，我方工程师第一时间到达（xxx地方）现场进行应急响应，通过事件情报了解到以下信息：1.境外APT组织向某公司（yhma@）发送钓鱼邮件。2.邮件主题包括“关于新冠肺炎的一切”“您需要了解有关冠状病毒流行的知识”“瘟疫中的千金良方”等肺炎疫情相关热点话题。钓鱼事件案例：某公司邮箱钓鱼事件某公司受到钓鱼邮件攻击，我方工程师第一时间到达（xxx地方）现场进行应急响应，通过事件情报了解到以下信息：1.境外APT组织向某公司（yhma@）发送钓鱼邮件。2.邮件主题包括“关于新冠肺炎的一切”“您需要了解有关冠状病毒流行的知识”“瘟疫中的千金良方”等肺炎疫情相关热点话题。钓鱼事件案例：某公司邮箱钓鱼事件某公司受到钓鱼邮件攻击，我方工程师第一时间到达（xxx地方）现场进行应急响应，通过事件情报了解到以下信息：1.境外APT组织向某公司（yhma@）发送钓鱼邮件。2.邮件主题包括“关于新冠肺炎的一切”“您需要了解有关冠状病毒流行的知识”“瘟疫中的千金良方”等肺炎疫情相关热点话题。钓鱼事件案例：某公司邮箱钓鱼事件某公司受到钓鱼邮件攻击，我方工程师第一时间到达（xxx地方）现场进行应急响应，通过事件情报了解到以下信息：1.境外APT组织向某公司（yhma@）发送钓鱼邮件。2.邮件主题包括“关于新冠肺炎的一切”“您需要了解有关冠状病毒流行的知识”“瘟疫中的千金良方”等肺炎疫情相关热点话题。钓鱼事件案例：某公司邮箱钓鱼事件某公司受到钓鱼邮件攻击，我方工程师第一时间到达（xxx地方）现场进行应急响应，通过事件情报了解到以下信息：1.境外APT组织向某公司（yhma@）发送钓鱼邮件。2.邮件主题包括“关于新冠肺炎的一切”“您需要了解有关冠状病毒流行的知识”“瘟疫中的千金良方”等肺炎疫情相关热点话题。钓鱼事件案例：某公司邮箱钓鱼事件某公司受到钓鱼邮件攻击，我方工程师第一时间到达（xxx地方）现场进行应急响应，通过事件情报了解到以下信息：1.境外APT组织向某公司（yhma@）发送钓鱼邮件。2.邮件主题包括“关于新冠肺炎的一切”“您需要了解有关冠状病毒流行的知识”“瘟疫中的千金良方”等肺炎疫情相关热点话题。应急结论：1、经邮件服务器梭子鱼网关搜索，只匹配到“关于新冠肺炎的一切”邮件信息，有9个邮箱收到该邮件（3个人员邮箱收到并未查看邮件信息，2个人员邮箱查看了邮件内容并未打开邮件正文的附件链接，4个人员邮箱为离职人员（邮箱已不使用）），发件人均为“info_center@yeah.net”，邮件发送时间为2020年2月10日9点51分至10点03分，发送内容相同，搜索其他关键字并未发现其他相关的邮件。2、分析发件人（info_center@）邮箱，该邮箱为“广州网易计算机系统有限公司”邮箱，信息包括：邮箱地址、IP地址、归属地3、通过分析邮件内容，发现该邮件附件内容为超链接（http://*********./），超链接已无法访问，未能提取出附件内容。4、某公司医疗已在邮箱管理处配置相关安全策略，暂未发现存在安全风险。P

A

R

T

S

e

v

e

nD

D

O

S

流量攻击0

7DDOS流量攻击应急处置目的：攻击溯源、提供解决方案、协助止损等；、事件溯源：分析防护日志（IP地址判定）、协助止损：跟踪溯源，提供解决方案；DDOS流量攻击案例：某企业被DDOS攻击事件初步了解为XX公司的电视机顶盒被进行DDOS攻击，XX公司的机顶盒客户无法正常使用宽带和电视服务。DDOS流量攻击某企业被DDOS攻击事件初步了解为XX公司的电视机顶盒被进行DDOS攻击，XX公司的机顶盒客户无法正常使用宽带和电视服务。DDOS流量攻击某企业被DDOS攻击事件初步了解为XX公司的电视机顶盒被进行DDOS攻击，XX公司的机顶盒客户无法正常使用宽带和电视服务。DDOS流量攻击某企业被DDOS攻击事件初步了解为XX公司的电视机顶盒被进行DDOS攻击，XX公司的机顶盒客户无法正常使用宽带和电视服务。被攻击IP响应并返回字节长度为78的ICMP回包响应攻击者IP，由于攻击者IP为通过攻击工具伪造的SNMP请求，该ICMP回包报错：目的端口无法到达。DDOS流量攻击某企业被DDOS攻击事件初步了解为XX公司的电视机顶盒被进行DDOS攻击，XX公司的机顶盒客户无法正常使用宽带和电视服务。应急结论：攻击者通过互联网使用snmp

public扫描开放snmp协议的设备，使用境外服务器IP对设备进行SNMP协议的拒绝服务攻击。针对攻击时的流量数据包分析，未发现有明显放大攻击的迹象，同时由于流量数据包只有数据包包头内容，缺失数据包内容，无法深入分析更多攻击详情。后续：机顶盒软件问题，处置SNMP包存在bug，导致崩溃。DDOS流量攻击某企业被DDOS攻击事件深圳某企业网络科技有限公司（下称“某企业”）的域名www.xxxxx.com（IP：120.76.xxxx.xxxx），于2020年7月16日早上11点左右遭受DDOS攻击目前阿里云已将IP:74进行流量屏蔽，再对垃圾数据进行清洗，网站暂时无法访问。DDOS流量攻击某企业被DDOS攻击事件深圳某企业网络科技有限公司（下称“某企业”）的域名www.xxxxx.com（IP：120.76.xxxx.xxxx），于2020年7月16日早上11点左右遭受DDOS攻击目前阿里云已将IP:74进行流量屏蔽，再对垃圾数据进行清洗，网站暂时无法访问。DDOS流量攻击某企业被DDOS攻击事件深圳某企业网络科技有限公司（下称“某企业”）的域名www.xxxxx.com（IP：120.76.xxxx.xxxx），于2020年7月1