2020年网络安全应急响应分析报告奇安信安服团队2021年1月主要观点 2020年，奇安信集团安服团队共接到应急服务需求660起。政府部门、医疗卫生行业和事业单位的业务专网是2020年攻击者攻击的主要目标。 第三方通报已不是应急响应的主要原因。企业自主寻求应急响应支持已成应急响应工作的主流。 仍有77.6%的企业是在已经发生重大安全事故后才寻求应急响应的。能够通过自主巡检在重大事件发生之前及时组织的机构占比仅为17.1%。这说明，国内政企机构的日常安全运营建设水平仍有待大幅提高。特别地，有37.3%的机构是在被勒索后才寻求应急响应，但此时补救往往为时已晚。 2020年全年未发现大面积攻击事件，每月应急次数趋于平稳，说明行业专用网络或特殊网络的安全建设有明显进步。持续进行的实战攻防演习活动也是提升整个行业网络安全水平的重要原因。事实上，在过去几年间，每年都会发生数起甚至数十起大规模的网络安全事件引发的应急响应。受同一攻击者或同一病毒攻击的机构少则数家，多则数十家。这往往是由于相关企业通过某些专用或特殊网络相连，但对专网或特殊网络防护不足而引发的。 员工安全意识培养迫在眉睫。公网泄露敏感信息、高危端口外连、弱口令等由于安全意识淡薄而引发的内网服务器受感染导致勒索病毒蔓延、数据泄露甚至是服务器失陷事件比比皆是。摘 要 2020年全年奇安信集团安服团队共参与和处置了全国范围内660起网络安全应急响应事件。 2020年全年应急响应处置事件行业TOP3分别为：政府部门行业（146起）、医疗卫生行业（90起）以及事业单位（61起），事件处置数分别占应急处置所有行业的22.1%、13.6%、9.2%。 2020年全年奇安信安服团队参与处置的所有政府机构和企业的网络安全应急响应事件中，由行业单位自行发现的安全攻击事件占94.7%，其中有37.3%的政企机构是在遭受勒索攻击后才发现系统被攻击；而另有5.3%的安全攻击事件则是由监管机构及第三方平台通报得知。 2020年全年应急响应事件的影响范围主要集中在业务专网，占比71.4%；办公终端，占比28.6%。 2020年全年应急响应事件中，攻击者对系统的攻击所产生的影响主要表现为数据丢失、生产效率低下、系统/网络不可用。 2020年全年应急响应事件中，敲诈勒索、黑产活动仍然是攻击者攻击大中型政企机构的主要原因。 2020年全年大中型政企机构安全事件攻击类型，排名前三的类型分别是：恶意程序，占比54.5%；漏洞利用，占比27.7%；钓鱼邮件，占比4.8%。 2020年全年应急响应事件中，弱口令、永恒之蓝漏洞仍是大中型政企机构被攻陷的重要原因。该报告所有分析数据来源于奇安信安服全年的660次应急响应数据整理，可能存在一定的局限性，报告结论和观点仅供用户参考。关键词：应急响应、安全服务、弱口令、敲诈、勒索病毒目 录第一章2020年全年应急1第二章应急响应事件受害者分析2一、行业现状分析2二、事件发现分析2三、影响范围分析3四、攻击影响分析4第三章应急响应事件攻击者分析5一、攻击意图分析5二、攻击类型分析5三、恶意程序分析6四、漏洞利用分析7第四章应急响应典型案例分析9一、VPN账号上传GitHub致20余台服务器失陷9二、内网端口开放致系统被多国黑客入侵9三、私自下载破解软件致服务器感染勒索病毒10四、弱口令致服务器感染挖矿木马11五、弱口令空口令致23个内网系统被勒索加密11六、服务器漏洞致网页被篡改植入违法信息12七、机顶盒配置不当致堡垒机被攻陷13附录1 奇安信集团安服团队14附录2 应急响应工具箱介绍15第一章 2020年全年应急2020年112月，奇安信集团安服团队共参与和处置了全国范围内660起网络安全应急响应事件，第一时间协助用户处理安全事故，确保了用户门户网站、数据库和重要业务系统的持续安全稳定运行。2020年应急响应服务月度统计情况具体如下。2020年，奇安信安服应急响应事件共处置660起，投入工时为8544.0小时，折合1068.0人天。2019年全年应急响应事件共处置1029起，相较于2019年，2020年应急响应事件数下降55.9%， 2020年每月应急次数趋于平稳。2019年3月，“永恒之蓝下载器”木马安全事件全面爆发，由于2019年下半年遏制效果较好，2020年暂无感染性较强的木马病毒或大面积攻击事件。同时，2020年全国各行业省份组织了各类实战攻防演习，显著推动了大中型政企机构的网络安全建设。2021年，奇安信将以更大的努力减少安全事件对政府机构、大中型企业的门户网站和业务系统造成的损失与对公众的不良影响，努力为政府机构、大中型企业建立完善的应急响应体系提供技术支持，推进政府机构、大中型企业逐步实现信息化系统的实战化、体系化和常态化。第二章 应急响应事件受害者分析为进一步提高大中型政企机构对突发安全事件的认识和处置能力，增强政企机构安全防护意识，对2020年全年处置的所有应急响应事件从政企机构被攻击角度、受害者行业分布、攻击事件发现方式、影响范围以及攻击行为造成的现象几方面进行统计分析，直观呈现全年政企机构内部网络安全情况。一、 行业现状分析2020年应急响应处置事件行业TOP3分别为：政府部门（146起）、医疗卫生行业(90起)以及事业单位（61起），事件处置数分别占全年应急处置事件的22.1%、13.6%、9.2%。大中型政企机构应急响应行业分布TOP10详见下图。从行业排名可知，2020年全年攻击者的攻击对象主要分布于政府机构、医疗卫生以及事业单位，全年接近半数的应急响应事件发生于上述三个行业。二、 事件发现分析2020年奇安信安服团队参与处置的所有政府机构和企业的网络安全应急响应事件中，由行业单位自行发现的安全攻击事件占94.7%，其中被攻击者勒索后发现的攻击占37.3%，另有5.3%的安全攻击事件政府机构和企业是在得到了监管机构及第三方平台的通报后，才得知自己已被攻击。三、 影响范围分析2020年应急响应事件的影响范围主要集中在业务专网，占比71.4%；其次为办公终端，占比28.6%。根据受影响区域分布对受影响设备数量进行了统计，全年失陷的设备中，9588台服务器受到影响，7643台办公终端被攻陷，如下图所示。本文中办公终端指企业员工使用的台式机/笔记本电脑、打印机等设备，而业务专网泛指机构整体运行与对外支撑所需要的各种网络系统。从影响范围和受影响设备数量可以看出，大中型政企机构的业务专网、服务器为攻击者攻击的主要攻击目标。大中型政企机构应在强化对业务专网的安全防护建设的同时，应提高内部人员安全防范意识，加强对内网中办公终端、重要服务器的安全防护保障和数据安全管理。四、 攻击影响分析2020年,从大中型政企机构遭受攻击产生的影响显示，攻击者对系统的攻击所产生的影响主要表现为数据丢失、生产效率降低、系统/网络不可用等。下图为大中型政企机构遭受攻击后的影响分布。在上述数据中，有164起应急响应事件导致数据丢失，占比24.8%，攻击者通过对大中型政企机构重要服务器及数据库进行攻击，导致数据被破坏或丢失。有142起应急响应事件导致生产效率低下，占比21.5%，攻击者主要通过挖矿、蠕虫、木马等攻击手段使服务器CPU占用率异常高，造成生产效率降低。还有141起应急响应事件导致系统/网络不可用占比21.4%，主要表现为攻击者通过对系统持续性攻击，直接造成业务系统宕机，网络不可用。同时，数据被篡改、声誉影响、数据泄露等也是政企机构被攻击后产生的现象，造成的后果也是非常严重的。第三章 应急响应事件攻击者分析应急响应事件攻击者分析以2020年大中型政企机构所有应急数据为支撑，从攻击者角度对攻击者攻击意图、攻击类型攻击者常用恶意程序以及常见漏洞利用方式进行分析，为各政企机构安全防护、制定应急响应处置方案提供参考依据。一、 攻击意图分析在2020年的应急响应事件中，攻击者攻击意图主要为敲诈勒索、黑产活动、窃取重要数据和内部违规操作。在2020年应急响应事件中，244起事件的攻击原因为敲诈勒索，占比37.0%，攻击者利用勒索病毒感染政府机构、大中型企业终端、服务器，对其实施敲诈勒索。对于大部分攻击者而言，其进行攻击的主要原因是为获取暴利，实现自身最大利益。152起事件的攻击原因为黑产活动，占比23.0%，攻击者通过黑词暗链、钓鱼页面、挖矿程序等攻击手段开展黑产活动牟取暴利；另外还有112起应急响应事件会导致重要数据被窃取，占全年应急响应事件的17.0%。在58起内部违规事件中，内部人员为了方便工作或出于其他原因将内部业务端口映射至外网的违规操作需要引起大中型企业的重视。政企机构在完善整体安全防护体系建设时，应将内部员工网络安全意识作为重要模块进行培训，可以通过网络安全培训、定期举办攻防演习、应急演练等方式加强内部人员的网络安全意识。二、 攻击类型分析通过对2020年全年大中型政企机构安全事件攻击类型进行分析，排名前三的类型分别是：恶意程序占比54.5%；漏洞利用占比27.7%；钓鱼邮件占比4.8%。在恶意程序中，蠕虫病毒攻击占比59.4%，木马攻击（非蠕虫病毒）攻击占比40.6%。蠕虫病毒和木马，由于传播速度快、感染性强等特征成为最受攻击者青睐的攻击手段，攻击者利用病毒、木马对办公系统进行攻击，通常会产生大范围感染，造成系统不可用、数据损坏或丢失等现象。漏洞利用则是攻击者利用政企机构网络安全建设不完善的弊端，使用常见系统漏洞、Web漏洞等，对服务器进行的破坏性攻击，通常会导致重要数据丢失、泄露、内部投毒、敲诈勒索等严重后果。除此之外，钓鱼邮件、网页篡改、网络监听攻击等也是较为常见的攻击类型。因此，大中型政企机构应做好日常安全防范工作，定期巡检，及时发现威胁并有效遏制。三、 恶意程序分析在2020年大中型政企机构安全事件遭受攻击恶意程序中，占比较多的木马病毒分别为勒索病毒总占比35.9%，挖矿木马占比14.7%，以及一般木马占比7.4%。2020年最常见的勒索病毒是GlobeImposter勒索病毒、WannaCry勒索病毒、Crysis勒索病毒、Satan勒索病毒以及相关变种病毒。大中型政企机构应更清楚地认识到木马病毒对我们的服务器、数据库所造成的严重损害，加强内部网络安全建设，针对多变种勒索病毒、挖矿木马以及随时可能出现的新型病毒制定完善的应急方案和安全防护措施，将应急相应常态化。四、 漏洞利用分析在2020年应急响应事件攻击类型中，对漏洞利用部分进行统计分析，发现弱口令、永恒之蓝漏洞是大中型政企机构被攻陷的重要原因；其次，服务器配置不当、Web漏洞也经常作为攻击者日常利用的攻击手段（其中，在单起网络安全事件中，存在多个弱点的情况）。弱口令、永恒之蓝漏洞需要引起政企机构关注，全面的安全管理策略、内部漏洞检测和日常修复动作不容忽视。除弱口令、永恒之蓝漏洞以及Web漏洞外，服务器漏洞也是攻击者最常利用的漏洞，攻击者通过利用某一漏洞入侵系统，传播病毒，获取重要数据以达到敲诈勒索、牟取暴利等意图。政企机构应加大内部巡检力度，定期对设备、终端进行漏洞扫描、修复。定期更换服务器、终端登录密码、加大密码复杂度，不给攻击者任何可乘之机。 奇安信集团 第 8 页，共 15 页 第四章 应急响应