2025年度网络安全应急响应总结报告

摘要2025年整体安全态势概述31.2025年应急响应态势概述32.主要攻击类型与手法分析42.1.恶意程序感染与远控木马42.2.数据泄露事件52.3.钓鱼邮件攻击52.4,漏洞利用与eb攻击62.5.供应链与第三方风险62.6.勒索软件与破坏性攻击63.攻击影响分析….64.行业分布情况分析71.某能源企业勒索事件分析91.1事件概述…91.2防护建议…102,某能源企业数据泄露事件分析2.1事件概述…112.2防护建议…123.某水利单位供应链漏洞事件分析……133.1事件概述…133.2防护建议…144,某电力公司钓鱼邮件事件分析154.1事件概述…154.2防护建议…16综合防御建议与未来工作重点3.提升全员安全素养18结语摘要与应急响应工作提供方向性建议。从受攻击行业来看:2025年应急处置事件最多的行业TOP3分别为:政府单位、教育行业以及医部门、教育和医疗行业由于其信息系统的重要性、涉及数据的敏感性以及对社会从攻击类型及现象来看:泄露、主机失陷、系统资源被占用及业务中断。主要攻击手段以恶意程序投递(如或被利用发起DDOS攻击;数据泄露(8.2%)、配置错误(6.4%)和漏洞利用2025年整体安全态势概述1.2025年应急响应态势概述图1-12025年应急事件数量趋势控制和供应链攻击演进。攻击者善于利用"人"的弱点(安全意识不足)与"系统"2.主要攻击类型与手法分析图1-22025年应急事件类型分布该攻击类型占比41.5%,是全年最高频的事件类型。攻击者BlackMoon、xtremeRAT、GhostRAT、Farfli、银狐、蔓灵花(APT)等。感染Mirai)发起DDOS攻击。2.2.数据泄露事件的数据泄露事件占比58%,Elasticsearch、数据库等服务公网开放且未授权访问Actuator未授权访问、任意文件下载、webshell上传等漏洞,直接窃取业务数图1-3导致数据泄露事件的攻击类型2.4.漏洞利用与web攻击马、代理工具进行持久化控制。该攻击类型占比9.8%,多起事件暴露了因第三方运维人员设备接入、使用非3.攻击影响分析图1-4攻击导致的影响类型4.行业分布情况分析2025年应急处置事件最多的行业TOP3分别为:政府单位、教育行业以及医应急行业分布如下图:图1-5应急事件所属行业分布情况府部门涉及的信息系统众多、数据量大以及对社会公共服务的重要程度有关。政较为突出。处于高位。典型事件分析1.某能源企业勒索事件分析1.1事件概述攻击手法:攻击者利用VPN设备高危漏洞(CVE-2024-21762等)获取初始攻击者(外部威胁行为者)VPN设备高危漏洞利用CVE-2024-21762FortiOSSSL-VPN越界写RCE(CVSS9.6)动态IP代理池暴力破解域账号住宅代理轮换出口IP,规避频率限制与账号锁定横向移动与域权限提升Pass-the-Hash/kerberoasting/DCSync获取DA勒索软件批量投递GPO/PsExec全网推送(LockBit3.0/BackCat)文件加密+存储链路破坏加密.vmdk/.bak,删VSS副本,断NAS/SAN挂载业务中断,投放勒索信READMEDECRYPT.txt1.2防护建议具体操作为:2.某能源企业数据泄露事件分析2.1事件概述攻击者(外部)springActuator未授权访问/actuator/env./actuator/beans./actuator/info默认无鉴权暴露/actuator/heapdump内存转储下载JVM堆文件,提取数据库连接串/JWT密钥/sessionToken管理员账号篡改与权限接管登录后台,新增超级账号/禁用原管理员/签发APIToken敏感数据批量窃取巡检报告PDF.飞行视频MP4.GPs轨迹.设备拓扑.人员信息持久化植入与痕迹清除植入后门账号/定时任务,删除访问日志,修数据泄露.平台长期被控暴露端点/actuator/env/actuator/mappings分析工具JDumpspiderMAT/strings操作方式修改角色权限绕过访问控制飞行轨迹记录设备IP/拓扑持久化手段反弹she定时任务植入图2-2攻击链还原图攻击特点:利用公开的、已知的组件漏洞直接获取系统最高权限。暴露了测2.2防护建议临时隔离、封禁IP、修复漏洞是标准动作。根本建议在于对Druid、actuator具体操作为:杜绝未授权访问类漏洞带入生产环境。3.某水利单位供应链漏洞事件分析3.1事件概述攻击手法:攻击源于钓鱼邮件。攻击者利用某行业专有交换系统"上传攻击者(外部威胁行为者)钓鱼邮件投递伪造发件人恶意附件/链接MIME类型伪造解压路径穿越JSP伪造发件人恶意附件/链接MIME类型伪造解压路径穿越JSP/PHP/ASPX内存马(无文件)流量隧道加密多跳代理转发端口扫描/爆破省级/市级节点跨区域失陷专有交换系统RAR上传漏洞利用文件类型校验缺陷,上传含恶意脚本的RAR压缩包webshe植入,建立初始控制RAR解压后落地.jsp/.php后门,获取服务器命令执行权限上传木马与代理工具(Stowaway)以webshe为跳板,上传远控木马与多级代理,穿透内网内网大规模横向移动扫描内网存活主机,利用漏洞或凭证横移省市级服务器多台省市级服务器失陷长期驻留,持续控制,数据窃取或破坏关键基础设施长期被控.数据泄露图2-3攻击链还原图3.2防护建议具体操作为:录或启动服务的权限。4.某电力公司钓鱼邮件事件分析4.1事件概述裂变循环攻击者(外部威胁行为者)初始投递:针对员工个人终端阶段通过公网渠道(搜索引擎推广/网盘/社媒)投递"银狐"木马员工个人终端失陷阶段"银狐"木马驻留,远控上线,收集账号/通讯录/在线状态接管企业内部通讯软件账号阶段盗取登录态cookie/Token,以受害者身份操控工作群聊阶段群发伪装钓鱼文件阶段以员工身份在工作群发送"工资补贴申领通知"恶意文件阶段大规模二次传播阶段同事信任熟人消息,大量员工点击执行,终端批量失陷阶段内网渗透与数据窃取阶段以失陷终端为跳板,收集内网资产,窃取业务数据与凭证企业终端批量失陷.内网数据泄露投递载体伪装安装包SEO投毒页面驻留手段注册表自启动DLL侧载劫持劫持方式cookie窃取Session复用伪装手法双后缀欺骗同事身份背书传播特点熟人信任背书群聊裂变扩散窃取目标VPN凭证业务系统账号图2-4攻击链还原图此攻击链的核心特征:社会工程X信任链劫持4.2防护建议制所有办公终端安装杀毒软件、禁止通讯软件自动登录与下载、并开展专项反钓凭密码即可登录并发送恶意消息。脚本及带宏的office文档等高风险文件类型。综合防御建议与未来工作重点防御体系:1.强化技术防护纵深升级防御能力:在出口防火墙开启AF、防病毒、入侵防御等模块。部署终端检测与响应(E