1、2021安全事件响应观察报告2021 Annual Report on Cybersecurity Incident Observations2021 Annual Report on Cybersecurity Incident ObservationsObservationsCONTENTS2021 安全事件响应观察报告2关于绿盟科技绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000年 4 月，总部位于北京。公司于 2014 年 1 月 29 日在深圳证券交易所创业板上市， 证券代码：300369。 绿盟科技在国内设有50余个分支机构，为政府、金融、运营商、能源、交通、科教文卫

2、等行业用户与各类型企业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业的中国品牌。版权声明为避免合作伙伴及客户数据泄露 , 所有数据在进行分析前都已经 过匿名化处理 , 不会在中间环节出现泄露 , 任何与客户有关的具体信息，均不会出现在本报告中。CONTENTS01网络安全形势分析00102网络攻击行业特征明显0052.1关键信息基础设施是网络攻击重要目标0062.2金融行业事件连续 4 年占比第一0062.3勒索挖矿持续威胁运营商行业0082.4政府客户需防

3、范网站入侵和网页篡改威胁00903“实战化”是攻防大势所趋0103.1实战化攻防演练对抗卓有成效0113.2利益驱使下企业数据泄露风险大幅增加0143.3钓鱼仍然是主流的渗透手段0193.4勒索威胁升级0243.5在挖矿木马攻击中“突围”03104新兴技术带来新的安全挑战0344.1云相关安全事件逐年增长0354.2日益严峻的供应链安全形式0394.3人脸识别绕过带来金融风险0424.4车联网安全和其中的数据安全风险04405安全漏洞变化趋势0465.1安全漏洞趋势分析0475.2重要安全漏洞盘点0525.3法律法规落地规范漏洞管理05506安全事件专题0576.1钓鱼邮件专题0586.2黑链

4、案例专题0616.3挖矿事件案例0636.4REvil 勒索案例0676.5仿冒网站诈骗事件07107安全建议076附录一GBT20986-2007 信息安全事件分类分级指南079附录二绿盟科技事件分类方法08001网络安全形势分析2021 安全事件响应观察报告002【报告概述】绿盟科技 2021 年新增应急响应事件 438 起，总数比去年增加了 20 %。第一季度安全事件数量趋于正常水平；4 月份比 3 月份的事件数量增加了 286%；5 月份开始，事件数量恢复到正常水平，整体呈现平缓趋势。2021 年网络空间安全形势复杂多变，大规模、针对性的网络攻击行为持续增长，关键信息基础设施仍为重灾区

5、，数据泄露事件、产业供应链攻击事件频发。从攻击者的角度分析，网络攻击的“实战化趋势”更加突出，在利益的驱动下，数据窃取、勒索、挖矿等黑产活动持续肆虐，钓鱼攻击成为网络入侵的利器。大数据、物联网、人工智能、移动支付等新兴技术助力数字化业务转型升级的同时，也暴露出全新的安全风险。图 1.1近三年事件发生趋势绿盟科技在GBT20986-2007 信息安全事件分类分级指南的指导下，制定了信息安全事件分类方法。对处理的安全事件进行国标分类和详细分类统计。事件分布如下图：003网络安全形势分析图 1.2国标事件类型分布本年度事件按照细分子类型排序，TOP5 为钓鱼攻击事件、后门事件、勒索软件、虚拟挖矿和木

6、马程序。图 1.3事件类型分布图2021 安全事件响应观察报告004绿盟科技 IRT 团队 2021 年处理的应急响应事件遍布全国，覆盖了全国 32 个省级行政区。其中发生在北京、广东、上海的事件最多。图 1.4事件发生地区分布图【适用性】此报告适用于政府、运营商、金融、能源、交通、教育医疗、企业等行业客户。【局限性】此报告基于绿盟科技应急响应服务数据，具有一定局限性。【特别声明】本次报告中涉及的所有数据，均来源于绿盟科技的自有产品和合作伙伴的产品，所有数据在进行分析前都已经过脱敏处理，不会在中间环节出现泄露，且任何与客户有关的具体信息，也均不会出现在报告中。02网络攻击行业特征明显2021

7、安全事件响应观察报告0062.1关键信息基础设施是网络攻击重要目标根据 2021 年的安全事件记录，关键基础设施涉及的行业仍是网络攻击的重要目标，相关安全事件占比为 74%。公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等国家发展及民生相联系的关键信息基础设施相关行业，仍然持续、广泛的受到黑客攻击。关键信息基础设施承载或支撑着重要行业和领域的关键业务，并成为各行各业运行体系所依赖的关键节点，是网络安全的重中之重。任何形式的攻击行为都是对维护国家网络安全、网络空间主权、保障社会平稳有序发展、维护人民公共利益的损害。图 2.1关键基础设施行业事件分布图2.2金融行业事

8、件连续 4 年占比第一金融行业作为现代经济的核心领域， 推动着我国实体经济的发展， 信息化发展程度比较高。但由于金融行业自身体系庞大、业务类型繁杂，交易量大且并发性高，自身复杂度高，容易存在系统、流程上的安全纰漏，这给了以经济利益为目的的黑客可乘之机，金融行业也成为安全事件高发区域。2021 年绿盟科技共处理 108 件金融行业事件，占比为 25%，较过去三年的数据 2018（40%）、2019（30%）、2020（35%）有了显著的下降，但是仍然在全行业事件占比第一。007网络攻击行业特征明显图 2.2金融行业事件四年占比在金融行业事件中， 银行子行业的安全事件占比最高， 达到44%。 其次

9、是监管与行业机构、证券、基金、保险等。图 2.3金融安全事件子行业分布金融行业在攻防演练产生的应急事件较多，相关事件占比 30%。行业真实攻击的事件共73 起，占行业事件的 70%。真实事件中钓鱼攻击、蠕虫病毒和后门事件占比最高。钓鱼事件中多为仿冒金融机构网站、APP 对机构用户展开精准钓鱼和电信诈骗。2021 安全事件响应观察报告008 图 2.4金融行业事件类型分布（除攻防演练）2.3勒索挖矿持续威胁运营商行业运营商支撑着基础电信网络、重要互联网基础设施等电信行业网络设施，本身既是关键信息基础设施，同时又为其他行业的关键信息基础设施提供网络通信和信息服务。一旦遭到网络攻击和破坏，将会带来严

10、重的影响。2021 年运营商安全事件统计中，攻防演练事件占比 56%。其中钓鱼攻击是主要入侵手段，事件占比 62%。其次是后门事件、木马程序和漏洞攻击。图 2.5运营商行业事件类型分布（攻防演练）行业真实攻击的事件占行业事件的 44%。真实事件中勒索软件、虚拟挖矿、后门事件占比最高。009网络攻击行业特征明显图 2.6运营商行业事件类型分布（除攻防演练）2.4政府客户需防范网站入侵和网页篡改威胁政务系统的信息化令海量的业务数据、公民数据甚至大量政府部门非公开信息 , 以及核心涉密内容在政府信息系统和网络之间传输、在服务器与终端存储。因此，政府机构的网络对于世界范围内的情报部门和网络中恶意行动者

11、有很强的吸引力。在 2021 年绿盟科技处理的政府行业安全事件中，以虚拟挖矿（21%）、后门事件（19%）、网页篡改（9%）、勒索软件（9%）四类安全事件占比最多。相较往年增加了新的攻击手段，如针对性攻击、漏洞攻击等。图 2.7政府发生安全事件类型统计图03“实战化”是攻防大势所趋011“实战化”是攻防大势所趋3.1实战化攻防演练对抗卓有成效随着网络攻击愈发猖獗，近四年来应急事件数量保持持续增长。随着全场景、实战化、对抗化的攻防演练的举办从低频到常态的转变的持续进行，攻防演练事件应急总数占全年应急总数的比重逐年连续上升。 实战化攻防演练将一些潜藏的安全风险提前暴露出来并得到及时处置。图 3.1

12、攻防演练事件与全年应急事件占比趋势3.1.10day 漏洞利用在攻防中持续增加从攻击类型的角度来看， 由于各行业人员安全意识的提升以及攻防演练规模的不断扩大，在攻防演练中的应急响应中体现出基础漏洞和已公开漏洞的利用数量有所下降， 0day、1day 漏洞的利用则不断提升，漏洞利用门槛与攻击成本不断升高，同时对网络安全行业人员整体素质也有了更高的要求，也进一步提高了应急响应的取证分析难度。图 3.22021 年捕获到的在野 0Day 漏洞利用2021 安全事件响应观察报告0123.1.2参演单位木马潜伏时间远低于其他企业从应对攻击的角度来看，参与过攻防演练的相关企业在对抗中，其外部资产收敛、漏洞

13、修补效率、人员安全意识，应急处置效率等方面要明显强于未参加过攻防演练的企业。以木马潜伏时间为例，在攻防演练进行时，平均木马潜伏时间仅为 2.645 天，未参加过攻防演练的企业其木马潜伏时间为 16 天，且在非攻防演练时间段中，参与攻防演练的行业其木马潜伏时长也远低于未参与攻防演练的企业。图 3.3木马平均潜伏时间3.1.3网络钓鱼与身份认证成为突破点从攻击的入口点来看，存在一个向人性弱点如网络钓鱼等而非系统漏洞 ( 向 APT 进阶 )转变的攻击趋势。由于各监管部门对网络安全的重视，各行业对网络安全的投入不断加大，对已报出的漏洞能够做到迅速响应，同时新系统上线前也会经过多个厂商的安全测试，部署

14、防火墙、堡垒机等安全设备。当系统漏洞变得难以挖掘或利用成本显著提高时，攻击者往往另辟蹊径选择将系统安全的另一个薄弱点：人，作为攻击突破口，体现在攻击事件中最常见的就是钓鱼。这种针对人性弱点的攻击手法越发流行。从攻击路径特征来看，集权管理中心与身份验证中心依然是攻击者关注的资产重点和突破点，未来几年，SDP 等身份验证网关将进一步提高企业身份认证安全。但 EDR 等相关高权限集权管控中心的安全，仍是一个值得探讨的话题。013“实战化”是攻防大势所趋图 3.4网络钓鱼数量年份变化图从攻击的隐蔽程度分析， 以攻击入口常见的 WebShell 为例，攻防对抗中从原始的有文件落地的方式写入 Webshe

15、ll，逐步发展到以无文件落地的方式进行 MemShell 的添加与执行，如常见的哥斯拉、蚁剑、冰蝎等工具均支持通过内存马进行连接。采用无文件落地的木马可以有效地躲避传统安全软件的检测，并且因为其无文件落地的特点，攻击者在执行恶意命令后不会留下任何痕迹，在应急响应过程中难以被检测和清除。因此随着演练的进行，无文件落地的内存马越来越受攻击队青睐。通过上述分析可以发现，随着攻防演练的发展和完善，对安全从业者有了更高的要求，同时在不断演变的对抗中，由于短板效应的存在，在防护技术和各类安全设备的加固与更新迭代下，当软件和硬件上的漏洞减少时，人的短板就凸显出来。攻击者倾向于攻击整个系统的薄弱环节，由此引发

16、了针对人的定向攻击。而在频繁的攻防演练锻炼下，防守方也不再仅仅局限于保护系统不被入侵，在防护力量盈余的情况下，防守方开始着重向溯源反制发展。在红蓝对抗的竞争环境下，我国的安全行业正在蓬勃发展。3.1.4实战化攻防演练仍需改进完善在攻防演练如火如荼的发展背景下，仍有许多方面值得去完善。首先，演练的成果还没有物尽其用，攻防演练成果大多注重最终结果，目标单一，演练处于在高纬度上进行考量，着重于保护系统中的关键节点的平稳运行不被侵害，不关注攻击过程中未能达到指定目标的成果，然而应急事件中常见的挖矿、勒索、蠕虫等事件的产生只2021 安全事件响应观察报告014需要极小的防护纰漏，却可能造成整个企业网络瘫

17、痪、信息泄漏、商誉受损。因此在攻防演练中应重视各类威胁，扩大行业覆盖面，在广和深两个维度同时进行扩展。其次， 企业员工安全意识有待进一步的加强。 企业往往过分重视软件和硬件的防护投入，认为投入了大量设备就能保证万事大吉。但人员安全意识培训的投入不足、投入运行的设备后期不注意维护和升级，在对抗不断加剧的今天所带来的劣势正在不断暴露。系统的安全不仅仅局限于安全设备和安全软件，本质还是在人。行业内应着重对人员的安全意识进行培训，并对其安全开发、安全运维、应急处置等相关能力进行提升，形成闭环安全；同时定期举行钓鱼演练、配合恰当的权限校验策略、访问控制策略和密码策略等，让安全意识更加深入人心。3.2利益

18、驱使下企业数据泄露风险大幅增加3.2.1电信诈骗导致个人信息数据泄露严重近年来，我国电信网络诈骗总体数量不断增加，呈现技术对抗性强、诈骗手法翻新快、诈骗目标年轻化等新特点新趋势，一定程度上影响着人民群众的生命财产安全。党中央、国务院对防范治理电信网络诈骗工作高度重视，多次作出重要指示、提出明确要求。电信诈骗的数据来源往往依赖于企业泄露，企业对用户个人相关信息保存不当，被攻击者以各种手段获取之后，进行出售，最终大部分数据流向了电信诈骗领域，同时，电信诈骗黑灰产的兴盛也助长了对企业数据窃取的攻击行为，形成恶性循环。图 3.5电信诈骗产业链最近几年，绿盟科技处理应急事件中涉及数据泄露的事件数量变化趋

19、势如下：015“实战化”是攻防大势所趋图 3.6数据泄露事件发生趋势可以看出，整体呈加速上升趋势。从泄露数据内容上看，主要包括如下几类： 个人信息，包括姓名、身份证、电话、出生地、学历等 订单信息，包括时间、物品信息、订单金额、快递单号等 投资信息，包括购买投资理财产品的时间、数量、收益率等 报考信息，包括岗位、单位等 其他个人信息，包括就医信息、社保信息、贷款记录、保险信息、车辆信息、银行账户信息、信用卡信息、购房信息等 商业信息，包括公司内部信息、业务合同、招投标信息、产品代码等商业机密这些信息占比如下如所示：图 3.7泄露数据类型统计2021 安全事件响应观察报告0163.2.2源代码泄

20、露成为企业数据泄露新威胁从泄露数据内容来看，近两年的一个变化趋势是：企业除了出现数据泄露，还出现了代码泄露的现象。例如 2021 年的代码平台 SonarQube 泄露事件，SonarQube 作为一款开源静态代码分析工具，在金融、互联网领域广泛应用，尽管其误漏报率和缺陷模式的更新，与商业工具相比具有一定差距，但其轻量级、与 Devops 快速集成、免费使用等特点受到了很多软件开发组织的青睐，仍然被很多用户选择其为研发安全的重要白盒检测工具。攻击者利用了 SonarQube 某些缺陷，进而控制了整个平台，并获取了其中的源代码，导致企业代码外泄。2021 年 10 月份，有黑客声称通过利用 So

21、narQube 零日漏洞对多家企业进行了入侵，窃取政府和企业源代码。2021 年 7 月以来，来自互联网、金融、零售等领域的 50 多家知名公司内部软件源代码泄露，包括微软、Adobe、联想、AMD、高通、摩托罗拉、华为海思、联发科技、GE 家电、任天堂、Roblox、迪士尼、江森自控等知名公司，泄露其内部源代码。图 3.8有黑客声称通过利用 SonarQube 获取了多家公司内部源代码3.2.3勒索软件的发展加剧了企业数据泄露从今年处置的针对大型企业 APT 类型勒索事件来看，勒索行为已经不再局限于单纯加密文件，而且带有数据窃取行为。例如 2021 年 7 月份处理的某大型企业内网加密勒索事

22、件，攻击者在内网主机上安装了 TntDrive 客户端，并将云存储对象挂载到本地磁盘，然后对该磁盘进行内网共享，再利用 psexec 工具分发文件拷贝脚本：017“实战化”是攻防大势所趋图 3.9用于收集指定后缀文件并上传至网络共享磁盘的 ps 脚本而另一起勒索病毒事件中， 在捕获的恶意样本中携带有数据库连接工具sqlyog， 通过分析，攻击者利用该工具连接内网数据库，并对数据进行导出、上传，达到窃取数据的目的。图 3.10数据库连接工具 sqlyog 出现在恶意样本中3.2.4网站篡改类攻势缓和网站篡改（包括直接散布不量信息、挂马、挂暗链等）一直都是信息篡改攻击的主要形式之一。直接对主页进行

23、篡改的攻击往往带有明确的诉求（不限于政治诉求），而挂黑链、暗链则是为了追求经济利益（往往是有偿为博彩、色情等网站提供广告或 SEO 优化业务）。2021 年，网站篡改类攻击事件有所减少，这与信息安全行业的发展、安全意识的提高、Web 安全性的提升是分不开的。我们分析了最近 3 年信息篡改类事件，整体趋势如下：图 3.11最近三年信息篡改类事件趋势2021 安全事件响应观察报告018可以看到，今年此类事件数量已经回落到 2019 年水平。在我们的分析中，此类攻击的主要对象为高价值的金融机构、政府机关、医疗教育等行业目标。同时，追求经济上的利益是此类攻击的主要目的：图 3.12信息篡改事件目的分布

24、 图 3.13黑链暗链应急事件目标行业分布但随着国家在这些行业安全上的投入、人员安全意识的培训与加强，使得对这些目标攻击的难度大幅增加。同时，勒索与挖矿等经济利益更加突出的黑灰产行业吸引了更多的从业者，使得此类攻击的数量有所下降。虽然网站篡改类攻击有所下降，但仍然不可掉以轻心。在今年所遇到的涉及暗链的应急事件中，我们发现，使用复杂 js 加密混淆手段成为了一种新趋势，甚至增加了反控制台调试、反格式化等新特性，如下图所示（截取部分代码）：019“实战化”是攻防大势所趋图 3.14高度混淆加密的 js 代码这使得事件分析难度提升，开展应急工作的阻力大幅增加。网站篡改类攻击依然需要我们高度重视。 我

25、们建议加强主站、 主页的检测与防护， 从严制定访问策略， 排除边界安全隐患，有效防御篡改行为。3.3钓鱼仍然是主流的渗透手段由于人性的弱点的存在，人在安全防护中总是最薄弱的一环；对于攻击者来说，人就是防线最好突破的环节。绿盟科技 2021 年处理的四百多起应急事件中，钓鱼事件（钓鱼攻击、钓鱼网站、钓鱼邮件等）占了四分之一以上。图 3.15 钓鱼攻击事件占比图2021 安全事件响应观察报告020尽管人们对于钓鱼的防范意识逐渐增强，但是钓鱼攻击成功的案例还是不在少数。显然，钓鱼的手段也会与时俱进。从今年的一些案例中可以发现，钓鱼攻击依然防不胜防。3.3.1钓鱼成为电信诈骗常用手法向消费者发送短信钓

26、鱼链接是电信诈骗的常用手法之一。2021 年短信钓鱼诈骗在全国范围密集出现，攻击目标和行为特征相对一致，受骗对象多为风险防范意识较弱、对手机银行或网上银行登录操作不熟悉的人群。银行卡过期、ETC 卡失效认证、营业执照、接单系统更新。这些短信，除了有一个足够吸引你注意力的事由之外，里面都会附上网址链接，诱导你点击。点进去后就会被要求填写姓名、手机号、身份证号、银行卡号、验证码等信息，而一旦按要求操作，银行卡上的钱随后就会被盗刷。我们把这类短信叫做“钓鱼短信”，把盗刷的行为叫做“钓鱼短信类”诈骗。除短信钓鱼外，“杀猪盘”诈骗也常通过伪造网站、APP 的方式进行钓鱼。表 3.3.1钓鱼诈骗产业角色产

27、业角色范围信息贩子出售用户信息诈骗团伙实施“杀猪盘”诈骗，负责引鱼上钩代理商诈骗人员上级，诈骗钓鱼网站后台用户运营商钓鱼网站运营人员，购买域名、服务器，维护网站运营洗钱渠道商通过直播、游戏充值、虚拟币等方式洗钱2021 年 07 月，某女士在“朋友”介绍下，通过微信发给她了一个投资平台的二维码。二维码扫描后是一个“投资平台”的 APP 下载页面，该 APP 仿冒了某信托 APP。图 3.16仿冒信托 APP 页面021“实战化”是攻防大势所趋针对钓鱼网站进行漏洞挖掘，发现一个后台弱口令账号，根据网站功能判断，该账号疑似为“代理商”的帐号。“后台 报表管理 个人报表”功能中发现疑似流水信息。图

28、3.17钓鱼网站后台某些钓鱼网站甚至有在线客服。图 3.18钓鱼网站在线客服2021 安全事件响应观察报告0223.3.2 “供应链”式钓鱼针对公司客户随着钓鱼黑产的发展，攻击者们不再满足于骗取个人的财富，而是瞄向财力雄厚的大型企业。投资公司、企业服务类公司等类型企业服务的客户众多，且这些客户往往经营良好、往来资金较多，因此成为了攻击者的重点目标。在绿盟科技 2021 年的钓鱼事件中有 7 起类似的案例。攻击者通常先通过精准钓鱼、暴力破解、购买数据泄露的账号密码等方式攻击投资公司、企业服务类公司，获取客户经理、管理人员、客户运营人员的邮箱权限。拿到权限后，攻击者会收集客户信息，筛选相关邮件，以

29、回复邮件信息的方式发送钓鱼邮件到客户。而钓鱼邮件中包含了伪造的企业官网链接、含恶意代码的附件或者虚假的付款方式。收到钓鱼邮件的客户看到邮件的内容属于对正常邮件的回复，极易受骗打款或中招钓鱼。图 3.19“供应链”钓鱼攻击流程图3.3.3免交互漏洞钓鱼更加隐蔽今年 9 月份，MSRC 发布了关于 MSHTML 组件漏洞的通告，这个漏洞利用了 word 加载ActiveX 控件实现 RCE。从利用的漏洞点看，这一类的漏洞利用主要以社会工程学手段为主，投递一个带有利用 payload 的 word 样本。这种手段和投递 office 宏病毒样本在表面上看是一样的，但是在Microsoft offic

30、e 打开带有宏的文档时，会提醒是带有宏的文档。由于宏这种特性用得相对较少，所以缺乏相关安全意识的人发现带有宏的 office 文档时不会关联到黑客攻击。而利用这个漏洞的样本这意味着除了触发加载控件的那一部分，整个文档看起来和正常的并没有区别。尽管 word 还是会提醒用户是否启用编辑。然而 word 对正常的文023“实战化”是攻防大势所趋档也会发出这样的提醒，在这种情况下，大多数人对这种提醒已经不敏感了，因此也更容易中招。该漏洞甚至可以利用 Windows 资源管理器中的“预览窗格”触发，这对于安全人员来说，也是个不小的挑战。2021 年 4 月，TSRC 发布了关于旧版本的微信 RCE 漏

31、洞的通告，这个漏洞出现在微信使用的 JavaScript 引擎上，只要点击了一个精心构造的恶意网页，就可以实现 RCE。这个漏洞的利用方式和之前一些 Chrome、IE 等 JavaScript 引擎漏洞的利用方式并没有什么区别。只不过在今天，由于软件的快速迭代更新，以及 Windows 的保护机制下，漏洞利用更加不容易，所以大家逐渐忽略了这种攻击手段，这种类型的钓鱼也往往更容易得手。利用漏洞的钓鱼手段基本上都是使用的 0day 漏洞。代码执行的手段通常较为新颖。对于大多数人，很难做到在收到钓鱼样本时识别这种钓鱼，需要时常更新软件至最新版本，以及平时多关注关于最新漏洞的消息，尽量避免被钓鱼。3

32、.3.4安全研究人员成为钓鱼的对象之一2021 年 1 月，谷歌威胁分析小组发现并确定了一个持续针对网络和漏洞安全研究人员的攻击活动。和以往的钓鱼不同，这次钓鱼表面上是和安全研究人员进行合作安全研究，实际上给安全研究人员发送 POC。这份 POC 是一个 Visual Studio 项目，只要编译运行，就会执行其中的恶意代码。12021 年 11 月，ESET 在 twitter 称发现了带后门的 IDA Pro 安装程序，并指出了其中的win_fw.dll 和 idahelper.dll 是被替换掉的带后门的动态链接库。在投递的样本上看，这两次钓鱼投递的样本并不能说很有特点，与以往收到的 P

33、E 钓鱼样本相差不大。但是这两次钓鱼又能发现到一些共同点：首先，这两次钓鱼显然都是针对安全研究人员的；其次，用 IOC 信息上看，这两次钓鱼都指向了攻击者就是 Lazarus APT 组织；而且，两次钓鱼投递样本的手段都是相似的：先通过在各种社交平台创建安全研究人员的账号，然后提高知名度，提升这些账号的可信度。然后就开始联系一些安全研究人员向他们发送恶意样本。1 https:/blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/2021 安全事件响应观察报告024显然，针对安全研究人员的钓鱼

34、事件逐渐增多。作为安全研究人员，除了要有基本的安全意识和安全素质以外，对“网友”和各类攻击工具也要有所防范。3.4勒索威胁升级3.4.1勒索攻击手段趋于多样化复杂化根据 2021 年绿盟科技处理应急事件中样本的勒索病毒家族识别数据，Phobos、GlobeImposter、Dharma、 BeijingCrypt 等勒索病毒家族较为流行。另外 Revil 勒索家族尽管事件数量相对不多， 但攻击针对性强。 而Magniber等新在国内流行的病毒入侵手段更加创新。图 3.20勒索软件事件家族分布勒索软件技战术中包含了凭证访问、横向移动、探测、持久化、防御规避等，其中需要注意的是 49% 的勒索软件

35、攻击有防御规避的迹象以及 32% 的勒索软件攻击都有持久性TTP，可以推测的是如今的勒索攻击不仅仅局限于简单的扫描爆破然后加密，还使用了更为复杂的手段在隐蔽自身的同时进行战果扩大化。这一观点可以被 Conti 泄漏的勒索攻击手册佐证，同时也能从由勒索攻击团伙可能出于谈判策略或者其他原因提供的“勒索攻击报告”得到论证。025“实战化”是攻防大势所趋图 3.21勒索软件攻击技战术Conti 勒索软件的运作是以勒索软件即服务（RaaS）的方式进行的，核心团队负责管理恶意软件和 Tor 站点，而招募的附属机构负责进行网络破坏和加密设备。8 月，一位 Conti 勒索软件附属机构成员泄露了该勒索团伙的勒

36、索实施攻击的相关信息，包括 C2 服务器的 IP 地址和一个 113MB 的档案，其中包含许多工具和进行勒索软件攻击的培训材料。图 3.22Conti 攻击手册目录2021 安全事件响应观察报告026材料内容包含：内网扫描，提权，接管域控制器，配置和使用 Cobalt Strike，通过配置 Rclone 与 MEGA 进行数据泄露，AnyDesk 配置，隧道使用，密码转储，禁用 Windows Defender 等。除此之外还附有较为详细的入侵步骤手册。图 3.23Conti 入侵教程手册中还详细教学了如何上传数据、选取哪些数据上传。下面是 Conti 官方推荐附属机构搜集的数据关键词：02

37、7“实战化”是攻防大势所趋图 3.24Conti搜索关键词3.4.2新发布漏洞利用频繁图 3.25勒索软件传播方式变化趋势今年，在勒索攻击中出现了更频繁的漏洞利用。仅是在初始入侵攻击方式中，漏洞利用的攻击方式已呈稳定上升趋势。7 月，监测到 Magniber 利用 PrintNightmare 漏洞（CVE-2021-34527）。eCh0raix 被发现针对 QNAP 和 Synology NAS 设备（CVE-2021-28799）。2021 安全事件响应观察报告0288 月，有安全研究人员的个人蜜罐项目捕获到 LockFile 利用 ProxyShell 漏洞（CVE-2021-3447

38、3, CVE-2021-34523, CVE-2021-31207）。即在入侵网络时，首先会利用 ProxyShell漏洞访问内部的微软 Exchange 服务器。完成初步权限维持后，LockFile 团伙就会使用PetitPotam 漏洞来接管域控制器，从而接管 Windows 域。9 月初，Conti 勒索软件针对微软 Exchange 服务器，利用 ProxyShell 漏洞攻破企业网络。10 月，ProxyShell 漏洞再次被勒索软件利用，勒索软件为 Babuk。9 月 7 日，Microsoft 发布了针对 CVE-2021-40444 的安全公告。1图 3.26CVE-2021-

39、40444 利用情况Microsoft 监测到自公开披露以来，已有多个威胁行为者，包括勒索软件即服务的附属公司，在他们的工具包中采用了公开披露的概念验证代码。9 月中旬，Sophos 的应急调查中表明 Atom Silo 勒索软件利用 CVE-2021-26084 进行初始入侵。3.4.3公共基础设施持续遭受勒索攻击预计世界各国将应对持续不断的勒索攻击，这些攻击暴露了全球关键基础设施存在重大安全漏洞。自今年年初以来 ( 截止 2021 年 11 月 13 日 )，勒索软件攻击已经影响了美国大约 1000 所大学、学院。2021 年 10 月 30 日，加拿大纽芬兰省和拉布拉多省遭受了勒索攻击，

40、导致地区卫生系统关闭网络，取消了成千上万的医疗预约；影响了中央卫生局、东部卫生局、西部卫生局和拉布拉多 - 格伦费尔地区卫生局的卫生系统。加拿大的公共服务已经数次成为勒索软件的攻击目标，2020 年 10 月，蒙特利尔的 STM 公共交通系统被1 https:/ 攻击；2020 年 12 月，温哥华的地铁运营商 TransLink 在一次 Egregor 攻击后面临严重的 IT 问题。此外，已有勒索软件团伙明确表示对公共基础设施的攻击并非仅出于经济因素。“Why not?They always keep our private data open. You, me and anyone els

41、e go to hospitals, give them our passports, share our health problems etc. and they dont even try to protect our data. They have billions of government money. Do they steal that money?USA president gave big amount to protect government networks and where is their protection? Where is our protection?

42、If IT department dont want to do their job we will do ours and we dont care if it hospital or university.” - Vice Society ransomware.不仅有上述针对基础设施的勒索攻击，也存在因基础设施缺乏安全防护意识导致的勒索事件。例如今年国内某医院员工发现内网部分服务器被勒索病毒加密了服务器上的文件，造成业务中断。经排查确认为典型的对脆弱的网络设施进行勒索攻击的方式。攻击者通过 RDP爆破获取到入口服务器的密码，并利用该服务器作为跳板，继续以暴力破解的方式，在内网中横向移动。当

43、获取到一定数量的服务器权限后，拷贝勒索软件到内网服务器上运行，实施勒索。攻击者在主机上残留了大量黑客工具，进行了部分痕迹清理但并不完整。由上可知攻击者可能为 RaaS 附属机构或非专业勒索攻击黑客。图 3.27勒索攻击流程2021 安全事件响应观察报告0303.4.4各国政府严厉打击勒索软件自勒索攻击流行以来，已经发生多起针对国家政府的勒索攻击，最引人注目的莫过于美国最大的燃料管道公司ColonialPipeline 勒索事件。2021 年 5 月 7 日，ColonialPipeline 公司在遭受 DarkSide 勒索软件攻击后被迫暂停运营，该公司在墨西哥湾沿岸的炼油厂和美国南部和东部的

44、市场之间运输精炼石油产品，每天通过5500英里的管道运输250万桶石油，并供给东海岸总燃料消耗量的45%，除此之外还供应美国军方。在勒索软件攻击之后，美国交通部的联邦汽车运输安全管理局(FMCSA)决定关闭其基础设施作为预防措施，随后宣布17个州和哥伦比亚特区进入紧急状态。如果运营持续暂停，美国可能很快出现汽油、柴油和喷气燃料的现货短缺，严重威胁到美国国家经济安全。1图 3.28DarkSide 勒索页面2021 年 10 月，来自 31 个国家和欧盟的高级官员发表联合声明，他们的政府将采取行动，破坏勒索软件团伙用于资助其行动的加密货币支付渠道。例如美国财政部于 9 月宣布了对一家加密货币交易

45、所的首次制裁，该交易所为勒索软件团伙的赎金交易提供便利并帮助他们逃避制裁。另斯托克秘书长在国际刑警组织勒索软件高级别论坛（7 月 12 日）上提到，为应对勒索软件在更广泛的网络犯罪生态系统中的呈指数式增长，以及犯罪分子普遍将其商业模式转向提供勒索软件即服务的情况，呼吁加强合作打击勒索软件。1 http:/ 2020 年 7 月公布草案一审稿之后，在不足一年的时间内完成三次审议并正式颁布，于自 2021 年 9 月 1 日起施行。而根据网络安全的定义（网络安全法第 76 条），保障网络数据的机密性 (Confidentiality)、完整性 (Integrity)、可用性 (Availabili

46、ty) 的能力是网络安全的重要组成部分。 勒索软件主要破坏数据的可用性与机密性，即使数据无法继续使用，或是让本应保密的数据公之于众。且近年来，随着“一案双查”制度的落实，在网络安全事件发生后，公安部门不仅会去追查发动攻击的黑客，同时会对企业履行网络安全义务的情况进行检测，视检测结果，企业可能被追责，相关负责人甚至可能需要承担个人责任。3.5在挖矿木马攻击中“突围”在今年新冠疫情持续影响全球生产生活发展的背景下，虚拟经济逆势走高，虚拟币价值空前高涨。高额的挖矿收益刺激着挖矿木马团伙不断更新攻击手段，加入主机资源的竞争之中。2021 年，绿盟科技 CERT 共处理挖矿事件 47 起，其中使用门罗币

47、进行挖矿的事件占据绝大部分，高达 87%；已处理的挖矿事件中攻击手段也多种多样，其中，利用弱口令漏洞的事件 16 起、利用 MS17-010 漏洞在内网传播挖矿事件 15 起、中间件漏洞利用 9 起、未授权访问入侵挖矿事件 2 起、综合漏洞利用事件 6 起；在 所 有 挖 矿 事 件 中， 涉 及 的 病 毒 及 挖 矿 工 具：Coinminer 家 族、Wannnamine、givememiner、 8220miner 、powerghost、workminer 等。目前主流的恶意挖矿病毒为WannaMine、8220miner 等。图 3.29挖矿事件利用漏洞2021 安全事件响应观察报

48、告032根据对绿盟科技 2021 年安全应急事件分析，本年度挖矿病毒仍主要采取 Redis/SSH/SQL Server/RDP 等弱口令爆破的方式进行入侵，相关安全事件相较去年增长 125%。弱密码在互联网广泛存在。而暴力破解利用门槛低，成为挖矿木马重要的传播方式。安全意识薄弱造成的隐患依然不容小觑。3.5.1去中心化金融平台失窃，挖矿团伙“后院失火”在挖矿团伙们处心积虑的攻击他人为自己盈利的时候， 有一批黑客盯上了他们的 “钱包” 。目前为止，去中心化金融（DeFi）系统受到的黑客攻击占 2021 年全球所有主要黑客攻击的近 76%。DeFi 攻击事件频发。挖矿生态圈的安全逐渐受到重视。1

49、今年 2 月，黑客透过 Cream Finance 所推出的零抵押跨协议贷款铁金库（Iron Bank）及Alpha Homora 的机制漏洞，共得手约 1 万 3244 枚以太坊，当时价值约 3750 万美元。今年 8 月，黑客利用了不同合约（smartcontract）间的协定产生的漏洞对 PolyNetwork平台发起攻击，包括 ETH、BSC 等价值约 6.11 亿美元的加密货币被“洗劫一空”。从黑客的角度来看，这些系统是匿名的，而且行业暂时缺乏技术监管，这使得网络犯罪分子可以通过攻击安全性较低的 DeFi 项目或实施地毯式诈骗来获取金钱收益。3.5.2云原生进程中容器安全受到挖矿木马

50、挑战容器已然成为云原生时代计算资源和配套设施的交付单元。而对于有恶意挖矿意图的攻击者他们可以通过发布带有挖矿木马的恶意镜像进行攻击或者通过一些未授权访问漏洞或使用者在认证上的不安全设置入侵容器并进行感染。早在去年 11 月，安全人员就发现在 LoggerMiner 挖矿木马 会尝试对当前主机上的 docker容器进行感染。到今年 3 月，在 Docker Hub 上发现了 30 个被植入挖矿木马的 Docker 镜像，这些镜像总计被下载了 2000 万次。攻击者利用此获利超过 20 万美元。2另一个基于容器技术的分布式集群管理系统 Kubernetes，今年开始也受到了黑客的攻击。2021年1

51、月， TeamTNT 通过 Kubelet 配置不当导致的身份认证安全问题攻破了 Kubernetes集群。通过 Kubelets 的命令 API，在这些容器中下载并执行恶意程序，最终植入了门罗币挖矿木马。1 https:/ http:/ 3.30Kubernetes 集群入侵方式由于容器存在天然的安全问题和缺陷，相关的安全问题也不断出现。相信随着容器技术本身和配套安全解决方案研究的不断深入，容器技术将迎来下一个春天。04新兴技术带来新的安全挑战035新兴技术带来新的安全挑战随着数字技术进入系统创新和智能引领的重大变革期，信息基础设施加速向高速率、全覆盖、智能化方向发展，相伴而生的非传统安全问

52、题愈发凸显，网络威胁与传统威胁的融合交织对国家安全产生深刻影响，网络空间安全风险正加速从虚拟空间向现实世界渗透扩散。大数据、物联网、人工智能、移动支付等新兴技术助力数字化业务转型升级的同时，也暴露出全新的安全风险。4.1云相关安全事件逐年增长随着云计算技术的发展，越来越多的企业将自身的业务逐渐迁移到云端，减少自身主机服务器的运维成本，企业只需关心云服务平台和配置的选择，实现服务器托管。2021 年新冠疫情的持续，也在一定程度上促使越来越多的企业选择将自身业务进行云迁移。近三年，云环境的安全事件数量在持续增长。图 4.1云主机安全事件趋势云服务在广度上不仅覆盖服务业、工业和农业，还从商业扩展到公

53、益和政府；深度上，从营销服务、生产研发到运营管理，渗透到组织内部的各个环节。云端架构由于配置不当或者自身存在安全缺陷，都会对攻击者暴露出新的攻击面，给入侵者造成可乘之机。其中为了避免公有云对于数据安全性的隐患，很多企业会选择公有云与私有云结合的“混合云”架构，但是这不能避免安全问题，反而会增高管理的耦合度，导致责任划分不明确。4.1.1挖矿和勒索是入侵云端环境最多的两类恶意软件通过对 2021 年事件的统计发现云端入侵产生的安全事件主要以挖矿软件、后门和勒索软件为主。2021 安全事件响应观察报告036图 4.2云主机安全事件类型分布图由于云主机具备弹性服务的特点，可以根据性能需求在一定范围内

54、实现性能的扩充，这个特性更符合需要持续高性能的软件。挖矿软件相比其他的入侵程序来讲要更加安静，一般只有人为发现系统异常，再经过排查才会发现。而对于勒索软件或者 DDOS 木马来讲它们产生的行为更容易被外部设备监控，所以挖矿程序的潜伏期也会稍长于其他类型的入侵程序。云主机勒索病毒家族主要有 Revil，phobos，lockbit 等家族。由于云主机与传统服务的差异，导致一旦云主机数据被勒索加密，那么相对于传统主机少了磁盘数据恢复的可能。所以使用云服务需要具备数据保护意识，及时对关键数据进行备份。目前已有一些病毒家族使用 docker 进行容器化攻击，从而更好的实现云端执行，例如 XOR DDo

55、S，Groundhog，Tsunami。也有一些恶意程序通过 golang 这类编程语言实现跨平台执行。4.1.2暗网出售大量云端账号和 RDP 凭证IBM Security X-Force 发现大量云端账号资源在暗网上被售卖1，销售价格从几美元到15000 美元不等，暗网商家甚至提供了退款政策吸引买家购买。被盗账户不仅为攻击者提供了在云中发起攻击的机会，还为攻击者提供了在企业整体环境中的立足点，并为内网漫游提供了可能。所以即使通过“混合云”的方式将数据进行分离，可能被泄露的公有云登陆凭证会成为内网入侵的突破口。1 https:/ 4.3云端账号资源售卖4.1.3攻击者享受云服务便利攻击使用云

56、服务器作为木马的 C2 服务器已经成为屡见不鲜的手段，也是目前主流的攻击手法。由于云服务厂商会提供公网 IP 地址，为木马的主动上线提供了方便，避免了正向shell 的内网穿透问题。使用云服务器也为攻击溯源增加了难度，某些关键信息可能需要通过云服务商进行获取。并且基于云平台技术衍生出了新的攻击手段，例如通过 CDN 或者域前置技术对真实 C2 服务器地址进行隐藏。其中 CDN 方式基本已经是攻击者掌握的基本技术，但域前置的利用手段成上升的趋势。这些攻击手段在今年的攻防演练中十分常见，并且还出现了基于 OSS（对象存储）服务的远控木马，可以通过 OSS 的文件数据同步，实现木马数据的传输。可能之

57、后会有更多基于云服务的攻击手段被开发并使用。图 4.4利用 CDN 结合函数计算搭建攻击前置2021 安全事件响应观察报告0384.1.4云主机安全防护需要多方参与云主机的入侵方式主要有三种：密码喷射，软件漏洞利用，云主机配置不当利用。图 4.5云主机的入侵方式其中密码喷射是攻击者常用并且简单高效的一种手段，一旦通过爆破或者猜解的方式获取到正确的密码，会尝试使用该密码批量访问其他服务器，从而实现攻击的横向转播。2021年云上流行的挖矿病毒中多数利用口令爆破进行蠕虫式传播。虚拟化系统本身就存在一定的安全威胁。当前全球最大的商业和开源虚拟化系统，VMware 和 OpenStack 曾分别出现了

58、222 和 68 个漏洞，其中不乏高危漏洞。如果攻击者通过 Hypervisor 漏洞从虚拟机逃逸到宿主机，那么攻击者就可能读到宿主机上所有虚拟机的内存，进而控制这台宿主机上的所有虚拟机。根据目前公开数据统计发现，软件安全漏洞数量相比与前 5 年增长了 150%，对于 0day 漏洞很难进行防护，但是可以通过及时进行补丁更新，减少 1day 漏洞存在的时间，从而降低风险。对于云主机安全配置一般存在于云主机相关 API 的鉴权使用，有些对外暴露的云 API 可能导致云主机的未授权访问，从而成为攻击者的突破口。这一点可能需要云主机厂商和消费企业共同努力。039新兴技术带来新的安全挑战基于云计算的虚

59、拟化安全防护对于安全防护的需求， 在本质上并没有发生变化。 换句话说，安全防护的手段也没有发生实质性的变化。其不同之处在于虚拟化环境下，业务的流量更复杂，防护的方式更加的多元化、复杂化。云安全防护需要云平台运营者、云租户和安全厂商的多方参与进行共同防护。4.2日益严峻的供应链安全形式由于如今全球化趋势，供应链也随之全球化发展，这不仅扩大了攻击者在互联网的攻击面，还增加了这些攻击的可能造成的潜在影响范围以及危害程度。欧盟曾预测，随着网络犯罪分子转向更大的跨境目标，2021 年软件供应链攻击的数量将是 2020 年的四倍，根据 the Identity Theft Resource Center

60、统计1，截至 11 月为止，受供应链攻击影响的个人总数已经比 2020 年全年增加了 793000 人。在已发生的供应链攻击中，攻击者的主要目的是以客户数据为主，其次则是关键基础设施与资金；其中 66% 是通过 0day 漏洞进行的，超过 50% 攻击事件都留下了 APT 组织的痕迹。根据卡巴斯基的最新研究，朝鲜 APT 组织 Lazaru 正在发起专门针对韩国智库和 IT 资产监控解决方案供应商的攻击。由于供应链攻击的超强破坏性，在未来的互联网发展过程中，必定会有越来越多的黑客或者 APT 组织参与到供应链攻击中。 4.2.1开源组件导致的供应链风险开源产品使用率在多个行业占用率超过 60%

61、，开源软件已成为企业构建信息技术的重要选择。2021 年，开源也被列入我国远期目标纲要，支持开源社区创新联合，鼓励企业开放软件源代码。蓬勃发展的开源虽然可以推动互联网创新发展，但伴随着产生的是安全漏洞、供应链攻击等安全风险。12 月 9 日，绿盟科技 CERT 监测到网上披露 Apache Log4j2 远程代码执行漏洞（CVE-2021-44228），由于 ApacheLog4j2 某些功能存在递归解析功能，未经身份验证的攻击者通过发送特别构造的数据请求包，可在目标服务器上执行任意代码。1 https:/www.idtheftcenter.org/2021 安全事件响应观察报告040图 4.

62、6Log4j 远程代码执行漏洞Apache Log4j2 是一款开源的 Java 日志框架，被广泛地应用在中间件、开发框架与 Web应用中，用来记录日志信息。根据 MVN Repository 显示有接近 7000 的项目引用了 Log4j2。图 4.7Log4j 项目引用范围而本次漏洞造成的主要原因是 Log4j2 提供的 “Property Support”特性所造成的，利用该特性可以在打印日志的时候引用配置好的属性，并替换到日志当中，支持从配置文件、系统变量、环境变量、线程 Context 以及事件中存在的数据中引用所需的变量到日志中，功能十分强大。4.2.2 “上游”服务商成为黑客的主

63、要攻击目标软件供应链可以分为开发、交付、运行三个大环节，当上游开发商的产品出现安全漏洞时，受影响的不单单是开发商，还包括了众多第三方客户，可造成的破坏范围极广，甚至借助开发商的签名隐藏自身，难以防范。黑客同样也注意到了供应链攻击的优势，导致近年类似“SolarWinds 供应链攻击”这样影响极广的攻击事件频发。041新兴技术带来新的安全挑战2020 年 12 月 13 日，FireEye 发布 SolarWinds 供应链攻击的通告，作为美国本地的网络管理供应商 SolarWinds，其 IT 监控和应用程序管理软件 Orion 的更新包中被黑客植入后门，受影响范围极广，包括众多美国政府部门、

64、大学、全球 500 强企业。根据调查与统计，大约18000 个组织的网络中存在恶意代码，受害严重的组织约 50 个，包括美国国土安全局、美国能源部、微软在内的众多受害者进入应急响应状态。2021 年 2 月，全球最大的国际航空业 IT 服务商 SITA 证实遭受了一次高度复杂网络攻击，位于美国亚特兰大的旅客服务系统（SITA PSS，其功能是处理乘客信息）出现数据漏洞，多个航空公司的常旅客用户数据泄露。图 4.8供应链攻击4.2.3极具危害性的供应链勒索攻击勒索病毒的危害性不言而喻，2017 年“WannaCry”事件依然让人后怕。当黑客通过破坏范围极广的供应链攻击来散播勒索病毒时，造成的危害

65、不可估量。Kaseya 是一家管理软件开发商，在全球的客户超过 10000 家，这些客户涉及银行、贸易、金融等各类行业，旗下 VSA 是一款用于远程网络管理的运维软件，为许多公司提供 IT 服务。2021 年 7 月 3 日，Kaseya VSA 服务器发布并推送了一个恶意的更新补丁，该补丁下发到 Kaseya 管理的服务器，导致数百个业务的上千个节点数据被加密，多个组织为了应急响应，被迫关闭业务，其中包括美国政府和 IT 巨头微软。此次攻击利用 0Day 漏洞 CVE-2021-30116，其中包括 SQL 注入、身份验证绕过、文件上传三种攻击方式，之后攻击者向更新补丁中投放了一个名为 So

66、dinokibi 的勒索软件，对更新补丁的目标执行数据加密操作。之后2021 安全事件响应观察报告042APT 组织 Revil 在他们的门户网站中宣布对此次事件负责，要求支付 7000W 美金的赎金便提供通用的解密器。4.9Kaseya 供应链攻击事件4.2.4如何防范供应链攻击供应链攻击的防范，最关键的点应是处于“上游”的软件开发商：1) 提高开发人员的安全意识，严格控制开发产品的代码质量，持续检测并修复存在的产品安全漏洞，将软件的安全维护纳入开发的生命周期。2) 明确内部的安全管理制度，对供应链各个环节设定合理且有效的供应链安全策略。3) 将产品的安全测试纳入重点工作，对使用的开源组件进

67、行重点监控，选择可信的、安全的第三方组件。4) 产品漏洞信息的收集跟踪、补丁修复等应急响应工作应建立完善的机制，并为突发的攻击事件指定响应流程。作为“下游”的产品使用者：1) 建立完整的供应链安全风险管理流程，对供应商进行安全评估，选择可信的、具备完善的安全体系的供应商。2) 建立完善的威胁防护体系，应对突发的供应链攻击事件，提升企业自身的响应和恢复能力。4.3人脸识别绕过带来金融风险2021 年 2 月，绿盟科技 CERT 监测到多起仿冒银行域名的短信钓鱼事件，攻击者利用钓鱼收集用户信息，结合人脸识别绕过等逻辑漏洞进行盗刷、转账等行为。其中钓鱼剧本、域043新兴技术带来新的安全挑战名解析地址

68、、攻击手段和钓鱼网站页面高度相似，怀疑是同一拨黑产团伙所为。不法分子通过发送伪造的网站链接等，非法套取受骗者的个人信息，诱导受骗者通过不明链接上传提供个人信息、账户信息、验证码、身份证照片、影像信息。图 4.10短信钓鱼页面人脸识别的关键是通过对局部“细节”信息的充分收集，进而判断出“整体”人脸的身份特征。当手机进行人脸识别时，会对这些特征点进行认证识别，从而判断手机前的面孔是不是本人。用于识别人脸的部分特征点，通常是变化较小较为固定的区域，而通过大量地观察并统计这些细微区域的视觉信息，就可以推断出人脸的整体特征。图 4.11人脸识别2021 安全事件响应观察报告044人脸识别是基于面部的特征

69、点进行检测。因此，只需将你的面部信息完全复制，从理论上说，就可以对你的设备进行解锁。因此攻击者可以通过将照片数据处理成视频欺诈人脸识别系统。目前一般 APP 人脸识别分两个步骤。步骤一：在本地实现活体识别，通过眨眼、低头等指定活动校验是否为活体。步骤二：取一张静态照片上传到服务器进行人脸特征比对。攻击者可以通过修改移动端 APP 绕过步骤一，在步骤二上传照片的时候 Hook，上传受害人照片达到冒充身份的作用。将电信诈骗和人脸识别绕过技术相结合，攻击者就突破了“人脸识别 + 手机号验证”双重防线，绕过重重验证，获取受害者的金融资产。除了短信钓鱼外，还有在用户使用某些娱乐性的换脸软件、人像合成等小

70、程序的过程中，运营方会收集用户的照片、面部特征，若保管不当或服务器被入侵，则会造成人脸数据泄露。 为防范人脸数据泄露风险，多个银行针对人脸数据泄露风险发布了风险提示：“建议：从官方正规渠道下载软件和应用；切勿通过不明链接上传提供身份证照片、个人影像信息等；谨防冒充公检法诈骗，对涉及到需要收集照片、面部特征或要求远程人脸认证、屏幕分享等操作，提高警惕性；切勿轻易把手机交给他人操作，或把支付密码、短信验证码等关键敏感信息泄露他人。一旦发现被骗，务必第一时间拨打银行官网客服电话、当地派出所电话或 110 报警电话进行求证或举报。”4.4车联网安全和其中的数据安全风险随着汽车智能化、网联化程度加深，汽

71、车面临的网络安全风险不断增大。新能源汽车的安全保障手段相对匮乏，安全技术能力十分不足，部分重要场景甚至为空白，已成为威胁国家安全的重要因素。新能源汽车由许多互联的、基于软件的 IT 部件组成，智能联网系统在沿袭既有的计算和联网架构同时， 继承了这些系统 “天然的” 安全缺陷， 并且普遍缺乏有效的信息安全防护手段。汽车正逐渐成为网络黑客入侵的热门目标，汽车受到信息安全攻击的威胁正逐步攀升。2020 年 5 月份，国内大量车主反映某新能源汽车 APP 大规模宕机，导致手机无法与车联动，手机钥匙失灵，导致无法获取车辆信息，车内仪表盘、中控屏无法点亮。很多车主都处于盲目驾驶状态。045新兴技术带来新的

72、安全挑战图 4.12新能源汽车网站异常除了安全漏洞带来的风险，车联网存在的跨境数据安全问题也需要重视。比如特斯拉汽车等有自动驾驶功能的汽车，具有多种形态的传感器装置，而车辆行驶中获得的道路高精度测绘数据，与国防等领域息息相关，应得到严格监管。新能源汽车企业作为国家交通信息的收集者、传递者与承载者，如果信息泄露，将危害国家、个人、企业数据安全。特别是涉及国家交通设施的战略敏感数据和重要人物数据，假如被恶意势力获得将造成严重的后果。车辆行驶、道路测绘等数据的不可控，甚至会影响到国家安全。05安全漏洞变化趋势047安全漏洞变化趋势5.1安全漏洞趋势分析5.1.1漏洞总体态势根据 NVD 数据库已收录

73、的公开发布漏洞数目进行观察，截至 2021 年 12 月 31 日，2021年新增加的漏洞数量为 19780 个1，相比 2020 年呈上升趋势。图 5.1历年漏洞数量统计截止 2021 年 12 月 31 日共有 19520 个漏洞分配 CVSS 3.1 等级。根据 CVSS 3.1 标准，漏洞等级被划分为四级， 9.0-10.0为危急漏洞， 7.0-8.9为高危漏洞， 4.0-6.9为中危漏洞， 0.1-3.9的则为低危漏洞，各个等级按数量分布的占比如图所示。1该漏洞数量包含了在 2021 年内新增的往年漏洞数据2021 安全事件响应观察报告048图 5.2漏洞 CVSS3.1 按数量分布

74、危急漏洞占比 13.05%，高危漏洞占比 42.56%，两者占比达到 55.61%，攻击者利用此类漏洞可以远程执行任意命令或者代码，有些漏洞甚至无需交互就可以达到远程代码执行的效果。受疫情起伏等因素影响，2021 年上半年披露漏洞数较少，下半年漏洞数量有所增加。图 5.3 2021 年各月漏洞披露数量NVD 数据库提供 CWE 条目，可对漏洞成因进行统一的分析，并且一个漏洞可分配多个CWE ID。2021 年收录的漏洞中，共分配了 19992 个 CWE ID，下图给出了 TOP10 CWE 漏洞类型。049安全漏洞变化趋势图 5.42021 年 TOP10 漏洞类型其中跨站脚本 (CWE-7

75、9) 类型的漏洞数量最多。跨站脚本漏洞主要是由于 Web 应用程序对用户的输入没有进行严格的过滤所导致的，攻击者利用此类漏洞可以将恶意的 JS 或 HTML代码注入到用户浏览的网页上。排名第二的漏洞类型为越界写入（CWE-787），又称为缓冲区溢出，软件在预期缓冲区的末尾或开头之前写入数据，会导致数据损坏、崩溃或代码执行。5.1.2高龄漏洞仍然活跃根据绿盟科技威胁情报中心监测到的安全事件，绿盟科技整理出了 2021 年告警中与漏洞利用相关的攻击事件，提取了告警数量比较高的 10 个漏洞信息，如表所示。表 5.12021 年漏洞利用告警数量 TOP10漏洞编号漏洞名称告警数量MS17-010wi

76、ndows MS17-010 系列漏洞扫描攻击8265202CVE-2016-7288microsoft edge 远程内存破坏漏洞 (ms16-145)6442952CVE-2017-0144windows smb 远程代码执行漏洞 (MS17-010)1877732CVE-2016-0800openssl sslv2 弱加密通信方式易受 drown 攻击1759425CVE-2014-6271gnu bash 环境变量远程命令执行漏洞 (cve-2014-6271)707579CVE-2017-5638struts2 远程命令执行漏洞 (s2-045)(s2-046)536958CNNVD

77、-201211-555fckeditor fileupload()函数任意文件上传漏洞511677CVE-2016-6277netgear dgn1000b setup.cgi 远程命令注入漏洞461292CVE-2018-10561/10562gpon home gateway 远程命令执行漏洞442892CVE-2008-2214castle rock computing snmpc 超长团体字符串栈溢出漏洞421839从表中数据可以发现，10 年以上的高龄漏洞仍然在活跃，说明互联网上依然存在着大量长期未更新的软件和系统，如物理隔离环境下的内网中，就可能存在没有及时更新补丁或版本的核心系统

78、、数据库等系统和软件，攻击者一旦进入内网就可以利用这些成熟的漏洞利用2021 安全事件响应观察报告050程序发起有效的攻击。根据监测到的漏洞利用事件，绿盟科技统计了常见的攻击类型，如图所示，TOP3 攻击类型为 CGI 攻击、畸形攻击以及溢出攻击。图 5.5漏洞利用攻击类型统计5.1.3Web 服务是攻击重点服务器漏洞主要为服务器上的系统服务与程序，用于支撑或提供网络管理与实际业务。服务器类型主要包含 Web 服务器、扫描服务器、Windows 服务器、DNS 服务器中、数据库服务器、邮件服务器等。根据绿盟威胁情报中心监测到的数据，统计了各类服务在漏洞利用中的占比，如图所示。其中 Web 服务

79、器受到的攻击是最多，占比 68.14%。图 5.6 服务器漏洞利用统计绿盟科技对具体的服务类型进行统计，统计数据为各服务类型的漏洞利用数量相加，统计结果如图所示。从图中可以看到漏洞利用最多的服务是 CGI（Common Gateway 051安全漏洞变化趋势Interface，公共网关接口）。CGI 是 Web 服务器与外部应用程序之间交换数据的标准接口。CGI 漏洞主要是由于配置错误、输入验证错误、边界条件错误等引起的，攻击者利用此类漏洞可以进行信息泄露、代码执行等操作。图 5.7TOP10 漏洞利用服务类型5.1.4浏览器漏洞利用大幅提升常见的应用软件包括浏览器、Office 办公软件、F

80、lash 播放器、PDF 阅读器以及移动终端软件等。 绿盟科技统计了各类应用软件在漏洞利用中的占比， 如图所示。 攻击者利用钓鱼邮件，通过恶意链接、恶意附件的形式投递恶意程序，在用户点击相关资源时，对应程序的漏洞会被触发，最终导致感染和信息泄露。浏览器作为攻击的入口在实际利用中深得攻击者的关注，在实际网络攻击中达到了 83.51% 的比例，远超 2020 年的 48.54% 比例。图 5.8应用软件漏洞利用分布2021 安全事件响应观察报告052浏览器的漏洞中告警最多的应用是微软的 Edge 浏览器，相关的漏洞有 CVE-2016-7288、CVE-2016-0193 等，大都由 Edge 处

81、理内存对象不当触发的，攻击者利用这些漏洞可达到任意代码执行的目的。Flash 漏洞在实际利用中的占比持续下降，2021 年更是下降至 0.19%，随着 Adobe 对Flash 插件的淘汰，各大厂商都对其采取了一系列的封杀机制，在今后的一段时间内，Flash的漏洞利用将面临消亡。5.2重要安全漏洞盘点5.2.1框架组件使用危机四伏，供应链攻击需重视许多应用系统基于开源或商业化的框架组件进行开发，因此当某些主流的框架爆出存在安全漏洞时，实际影响会非常广泛，如 Fastjson 和 shiro、Chromium 等；如 2021 年Chrome 的两个 RCE 漏洞，存在漏洞的 Chromium

82、内核间接影响了 Microsoft Edge 和微信客户端等广泛使用的应用，可利用的方式和环节多样，易造成软件供应链攻击。而前述（4.2.1）中提到的 log4j 漏洞事件在 2021 年末引发了安全和 IT 行业的轩然大波，受影响的软件厂商众多，引起对供应链安全的深入思考与担忧。5.2.2安全产品成为漏洞重灾区与突破口随着对安全的日益重视，各企业在各个节点部署的安全设备增加，导致安全设备成为了攻击者重视的突破口。安全设备可以抵御来自外部的威胁，但安全产品自身也是由代码开发而成，不可避免也会产生漏洞。2021 年存在众多安全产品被爆出漏洞，如防火墙、堡垒机、VPN、EDR 等，尤其低版本大多已

83、经退市不在厂商维护范围，导致安全性问题和策略配置更新得不到及时解决，在安全设备出现问题时采取下架的“一刀切”方式进行处置是因噎废食的行为，安全厂商应更加重视平日的安全建设与产品维护，提升自身产品的安全性和持续化发展。5.2.3办公系统漏洞突出，安全开发不可忽视目前国内大部分厂商没有健全的漏洞管理机制，缺乏正式的漏洞收录渠道与征集奖励计划，开发的系统产品均有被爆出安全漏洞，无法及时进行修复并对外发布安全风险通告，相053安全漏洞变化趋势关用户很难有效对 0day 进行检测和防护，且厂商在产品需求设计和开发测试阶段未引入安全开发生命周期（SDL），企业漏洞预防、检测和修补的成本随时间发展日渐偏高。

84、5.2.4Weblogic 漏洞热度不减，Exchange 受到攻击者青睐Oracle 公司旗下的 Weblogic 是商业市场上主要的 Java 应用服务器软件之一，也是世界上第一款成功商业化的 J2EE 应用服务器。作为一款成熟的知名产品，每年也会出现各种安全漏洞，这些漏洞不仅容易被攻击者利用，近几年也受到挖矿木马所青睐。2021 年 Weblogic Server 的漏洞中，有以下重点需关注。表 5.2Weblogic Server 重点漏洞名称编号WLS 核心组件漏洞CVE-2021-35617Coherence 组件漏洞CVE-2021-2376CVE-2021-2378WLS 核心

85、组件漏洞CVE-2021-2109WLS Console 组件漏洞CVE-2021-1994CVE-2021-2047CVE-2021-2064CVE-2021-2108CVE-2021-2075针对 WebLogic 服务器，可参考以下几点安全建议进行防护。1. 关注 Oracle 安全公告页面，及时下载受影响产品更新补丁，并参照补丁安装包中的readme 文件进行安装更新。2. 为 console 控制台设置强壮的密码。3. 涉及 T3 协议的漏洞，可考虑开启访问限制，Weblogic Server 提供了名为 .ConnectionFilterImpl 的默认连接筛选器，此连接筛选器接受

86、所有传入连接，可通过此连接筛选器配置规则，对 T3 及 T3s 协议进行访问控制。4. 涉及 IIOP 协议的漏洞，可考虑关闭 IIOP 协议，在 console 控制台 AdminServer 中取消启用 IIOP 选项。在 2021 年微软安全更新中，共修复了 Exchange Server 的 32 个漏洞，包括信息泄露、权限提升、远程代码执行等类型的漏洞，对其中的 10 个漏洞进行了预警2021 安全事件响应观察报告054表 5.3Exchange Server 重点漏洞Exchange Server 远程代码执行漏洞（CVE-2021-42321）Microsoft Exchange

87、 Server 远程代码执行漏洞 （CVE-2021-34473）微软 Exchange 多个高危漏洞（CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065,CVE-2021-26412,CVE-2021-26854,CVE-2021-27078）Exchange Server 代码执行漏洞（CVE-2021-28480/CVE-2021-28481/CVE-2021-28482/CVE-2021-28483）Exchange Server 安全功能绕过漏洞（CVE-2021-31207）Microsoft Exchange S

88、erver 远程代码执行漏洞（CVE-2021-34473）Microsoft Exchange Server 权限提升漏洞（CVE-2021-34523）Exchange Server 远程代码执行漏洞（CVE-2021-31206）Microsoft Exchange Server 远程代码执行漏洞（CVE-2021-26427）Microsoft Exchange Server 远程代码执行漏洞（CVE-2021-42321）Exchange Server 远程代码执行漏洞（CVE-2021-42321）5.2.5Windows 系统漏洞高居不下Windows 作为应用最广泛的操作系统，

89、也是微软安全漏洞数量最多的产品，虽在 2021年数量有所回落，但仍占据主导地位。图5.9Windows漏洞数量变化055安全漏洞变化趋势在 Windows 各个版本中，Windows 10 仍然是披露漏洞数量最多的版本。表 5.4Windows 各版本系统漏洞数年份2018 年2019 年2020 年2021 年Windows 72440611Windows 485Windows 200812169Windows 201214612Windows 201601145.2.6Nday 漏洞不容忽视，易被攻击者作为突破口在实际网络安全环境中黑客手中的“武器库”不仅仅会有 0d

90、ay 漏洞，往往还集成了很多早已披露的 Nday 漏洞的利用手段，这些漏洞利用代码虽然不再像 0day 时那样可以一击致命，却可以在黑客攻城略地时大规模利用。Nday 漏洞在攻击事件中占主要比重，由于攻击门槛低被大量使用，老旧的和被忽视的漏洞对攻击者来说仍然非常有价值，它们提供了进入目标环境的廉价而高效的入口点。比如 17年的 MS17-010、S2-045 至今仍在发挥着“余热”。Nday 漏洞利用攻击事件往往是由于用户缺乏安全意识，没有更新或者安装官方的补丁，导致黑产从业者可以轻松地通过网上公开的漏洞利用代码进行攻击，攻击成本较低，造成危害较大。对于攻击者而言，只要一定比例的用户未修复漏洞

91、，那么这种利用漏洞进行攻击就是有收益的。防护网络安全事件是一个跟黑客赛跑的过程。只要抢占先机，在攻击者利用漏洞攻击前修复漏洞，就可以有效防止此类攻击。而抢占先机的前提就是关注厂商发布的漏洞和事件预警，在第一时间做好防范工作。“亡羊而补牢，未为迟也”，及时修复陈旧漏洞，可以极大的降低网络安全风险5.3法律法规落地规范漏洞管理安全漏洞作为网络攻防对抗的重要基础要素， 各行业相继开展针对漏洞相关的管理工作，在网络风险管理工作中，漏洞管理能够防患于未然。而随着网络形势和攻防技术的发展，传统不完善的漏洞管理方式开始面对越来越多的挑战。2021 安全事件响应观察报告056工业和信息化部、 国家互联网信息办

92、公室、 公安部联合印发 网络产品安全漏洞管理规定（以下简称规定）已于 2021 年 9 月 1 日起施行。规定的发布对于安全漏洞的发现、报告、修复、收集等多个行为进行了规范和约束，能够促使网络安全行业更快更健康的发展，同时也说明了国家对于网络安全的重视程度。以网络安全法为依据，规定将会推动网络产品安全漏洞管理工作的制度化、规范化、法治化，提高相关主体漏洞管理水平。06安全事件专题2021 安全事件响应观察报告0586.1钓鱼邮件专题6.1.1针对城市商业银行用户的精准短信钓鱼绿盟科技 CERT 在 2021 年 2 月起监测到多起仿冒银行域名的短信钓鱼事件，被钓鱼的受害者收到短信称手机银行即将

93、过期或账户即将冻结，短信中附带仿冒的钓鱼网站域名。钓鱼网站与真实银行网站高度相似， 网站页面诱导用户输入身份证号、 个人网银登录密码、 手机号、短信验证码、支付密码等敏感信息。图 6.1钓鱼短信根据钓鱼短信中的域名信息，发现钓鱼攻击者注册了大量域名，如 9xxxxaa.cc、、 等，域名每隔一段时间就会更换一批，对域名反查发现 ip 地址均为境外地址。域名对应的内容均为各银行的伪造页面，如图所示：图 6.2伪造 A 银行图 6.3伪造 B 银行059安全事件专题钓鱼网站后台会将用户输入信息通过银行接口进行校验，并根据校验结果，反馈不同的下一步钓鱼页面。 身份信息验证通过， 会跳转页面要求输入身

94、份证号、 交易密码和手机验证码；身份验证结果超时，会跳转要求等待的页面；身份验证不通过，则返回错误信息。其中短信验证码为攻击者利用账户登陆银行后，银行发送的真实验证码。受害者输入短信验证码后，攻击者就可完成手机银行转账操作，转走账户资产，而钓鱼网站会跳转到“账户激活中”的页面。图 6.4伪造银行登录接口图 6.5伪造激活界面，实际上已攻击完成2021 安全事件响应观察报告0606.1.2钓鱼剧本6.1.2.1服务升级类剧本此类钓鱼事件中， 攻击者利用用户升级相关产品功能或者服务的诉求诱使点击钓鱼链接。图 6.6伪造的产品升级邮件6.1.2.2工作安排相关剧本利用客户对于工作相关的重要安排的高度

95、关注， 发送相关的通知进行钓鱼。图 6.7伪造的工作安排邮件061安全事件专题6.1.2.3劫持邮件收发流，中间人钓鱼攻击在某企业遭遇中间人钓鱼攻击，攻击者通过社工和弱口令爆破，拿到了前置邮件，注册了相似的邮箱后缀做了一个伪造的域名和回复，开始双向欺骗，并在中间一次通信中替换了付款账号，导致出现资金损失。6.2黑链案例专题6.2.1背景介绍绿盟科技在对某学校的应急事件支持中，发现在移动端通过搜索引擎搜索官网，搜索结果页面会跳转到非法网站；而直接在浏览器里输入学校官网域名或者 pc 端访问官网则不会发生跳转。经过分析发现该学校服务器受到黑客入侵。6.2.2应急过程攻击者篡改了网站服务器的相关文件

96、，对访问网站的数据包进行了判断，如果数据包来自搜索引擎的结果且 UA 是移动端，则跳转到非法网站，判断的依据是数据包中的 Referer 头部和 UA。通过 UA 设置为 Android 复现了暗链。图 6.8更新打码网站域名2021 安全事件响应观察报告062由于该网站使用了框架，经过测试，只有特定的 URL 才会触发暗链。在直接访问自写的phpinfo 页面时，并不会出现暗链。修改会触发暗链的 URL 为不存在的目录时，不会触发。说明挂暗链大概率不在系统层、不在中间件层、不在解释器层，于是重点排查 web 层。直接访问系统原有的 php 文件（带上触发暗链的参数），暗链出现，说明极大可能暗

97、链挂载 php引用文件中。图 6.9黑链暗链排查思路 在 php 引用文件 configs/system.php 中存在如下挂链代码：图 6.10挂链代码经排查攻击者利用管理员账号弱口令进入网站后台，在后台的网站模板上传处利用商城漏洞成功写入 webshell 和挂链代码。063安全事件专题6.2.3安全建议1. 所有管理员修改口令且设置强密码2. 管理员后台仅内网可访问3. 与开发单位联系，将程序升级到最新4. 在 /var/www/html/uploadfile/ 目录下设置 .htaccess 文件防止目录内 php 文件被访问执行5. 增加安全防护设备，例如 waf、防篡改设备等。防篡

98、改设备能有效监测和还原主站、主页的篡改行为。提升预警能力，尽早发现问题，有效对抗入侵事件。6. 定期从各个维度 （例如IP、 UA、 时间等等） 监控各个主站、 各业务入口点、 重点功能页面。及时发现页面异常行为，例如不正确的跳转、重定向，非正常的弹框、系统调用等等。7. 定期使用搜索引擎对网站进行搜索测试， 通过组合常见黑帽SEO关键词 （例如：彩票、开奖等等）进行搜索，观察是否有精确匹配的结果返回。同时在结合快照查看目标域名下是否有非法内容出现。6.3挖矿事件案例6.3.1事件概述2021 年 6 月，绿盟科技收到北京某公司安全事件应急，有部分测试服务器存在异常进程，大量占用 CPU 资源

99、，根据现场了解情况初步判断为 XMRig 虚拟挖矿事件。6.3.2排查过程192.*.*.131 服务器排查首先查看了历史日志记录及新建用户信息，未发现异常。在查看定时任务时，发现系统新增了一条任务，不断的下载 ltd 服务器中的 sh 批处理脚本，并且通过安装 crontab 定时任务和系统初始化脚本进行本地持久化：图 6.11crontab 计划任务2021 安全事件响应观察报告064对定时执行的脚本文件进行分析，具体动作如下：检测主机上是否存在其他的挖矿病毒，存在直接 kill 掉释放内存，为自己的病毒文件腾出空间。图 6.12kill 其他挖矿病毒进程下载采用 XMRig 编译的挖矿木

100、马 hxxp:/w.apacheorg.top:1234/.libs。图 6.13下载 XMRig 挖矿程序新建计划任务目录写入定时任务每分钟访问 http:/$url/xmss|wget 下载脚本文件，并赋予最高权限，通过创建 crontab 定时任务持久化。图 6.14修改 crontab 实现持久化065安全事件专题修改 ssh 公钥，hosts 文件，dns 等。图 6.15 修改系统文件利用下载的运行端口扫描程序扫描内网 SSH 的 22 端口并进行爆破和漏洞攻击在内网进行横向移动。图 6.16ssh 爆破通过 Linux 动态链接库 LD_PRELOAD 劫持加载恶意 .so 文件

101、 libs.so，libs.so hook readdir 函数对指定进程进行隐藏。图 6.17实现 LD_PRELOAD 劫持2021 安全事件响应观察报告066被控制机器反弹 shell 连接到控制端 198.46.202.146:8899图 6.18反弹 shell最后下载挖矿程序并执行，通过 nohup 实现病毒后台持续运行状态。IP：192.*.*.164 服务器排查top 命令查看程序占比：发现 xmrig 程序占 99.3%，为挖矿程序图 6.19挖矿程序进程占用6.3.3安全建议1. 定期监控内网的系统流量，查看是否有恶意的攻击流量等，可对可疑行为进行安全排查，保障系统的安全运

102、营；2. 在 WAF 上进行策略等调整，保障安全设备的更新升级，进一步保障系统的安全运营；3. 建议测试服务器禁止对外发布任何可利用的端口，做好严格的安全防护策略；4. 修改 ssh 默认端口，增加 root 密码强度，谨慎使用免密登录；067安全事件专题5. 严格做好白名单限制，未经允许无法访问系统；6. 增加测试业务日志审计及设备监控能力。6.4REvil 勒索案例6.4.1背景介绍2021 年 5 月起，绿盟科技 CERT 监测到多起 REvil/Sodinokibi 勒索家族的活动，REvil 为Ransomware Evil（又称 Sodinokibi）的缩写，是一个私人勒索软件即服

103、务（RaaS）组织。于 2019 年 4 月首次被发现，在一年内就已被用于一些知名网络攻击。图 6.20Sodinokibi 勒索信6.4.2勒索病毒组织分析REvil 运营商通常雇用攻击者进行初始入侵。他们的攻击往往从熟悉的技术开始，如带有鱼叉式钓鱼链接或附件的恶意邮件、使用有效账户的 RDP 访问、已被入侵的站点网站和漏洞利用。并且还会使用一些对目标具有针对性的技术。作为一个勒索软件即服务组织， 意味着分发的攻击者将向运营商支付最新版本的使用费，并由勒索组织为他们运营基础设施。在 REvil 的配置中有两个字段，将跟踪客户端和部署勒索软件期间的特定客户端活动。6.4.3勒索程序分析REvi

104、l 不具备自动传播功能，主要依靠攻击者手动传播，但会通过扫描局域网共享资源，尝试加密共享文件。勒索病毒团伙对特定目标进行长期渗透，获取内网权限并控制关键生产设施（例如域控主机），然后通过特定方式（例如域策略、PsExec 远程连接执行等）在内网2021 安全事件响应观察报告068中传播加密病毒主体程序。在入侵过程中，攻击者用的了很多类似 APT 组织的手段，如利用CobaltStrike 等远控木马长期驻留、收集敏感文件、白加黑实现勒索病毒免杀等。某案例中，攻击者通过 powershell 命令禁用 Windows Defender 的实时保护：图 6.21通过 powershell 命令禁用

105、实时保护通过共享拷贝及 wmic 命令，将勒索病毒样本拷贝到目标主机并执行：图 6.22通过 wmic 命令实现样本传播或者通过域控下发组策略的方式，将勒索病毒样本拷贝到终端并执行。勒索病毒本体具有有效数字签名，并采用了白加黑方式，躲避杀毒软件查杀。图6.23采用白加黑的方式躲避杀软069安全事件专题攻击者还会使用 powershell 或 MSBUILD 命令执行文件加载 CobaltStrike 远控木马以实现长期权限维持。图 6.24通过 powershell 加载执行 CobaltStrike 木马病毒本身不具备系统驻留功能， 不会读写被加密终端的任何启动项。 但在一些案例中发现，部分

106、攻击者通过批处理的方式新建定时计划任务来不断启动加密程序，以便达到感染新文件、新存储介质的目的。图 6.25创建计划任务定时启动勒索程序REvil 家族在渗透的过程中除了投放勒索病毒，还会将被攻击系统文件收集上传。某案例中，勒索信提到“我们还从您的服务器下载了大量敏感数据，如果您不付款，我们将会把您的文件上传到我们的公共博客”。图 6.26勒索信中表明 REvil 窃取了用户数据2021 安全事件响应观察报告070窃取数据功能是通过 users.ps1 脚本实现。通过 psexec 工具，利用通用口令，批量将users.ps1 拷贝到目标主机。图 6.27批量传播 users.ps1 脚本通过

107、 psexec 命令，批量执行拷贝到目标主机的 users.ps1 文件图 6.28批量执行 users.ps1 脚本攻击者会通过 powershell 脚本搜集上传敏感文件。脚本作用为：收集目标主机 120 天内创建的指定后缀文件，并上传到目标主机共享目录：图 6.29将指定后缀文件上传到目标主机071安全事件专题通过注册表信息，确认攻击者是安装了 TntDrive 客户端，并将云存储对象挂载到本地磁盘 U( 即攻击者上传文件的共享目录 )：图 6.30TntDrive 客户端注册表6.4.4安全建议1. 加强企业员工安全意识培训，不轻易打开陌生邮件或运行来历不明的程序；2. 危险端口避免对

108、外开放，利用 IPS、防火墙等设备对危险端口进行防护（445、139、3389 等）；3. 开启 Windows 系统防火墙，通过 ACL 等方式，对 RDP 及 SMB 服务访问进行加固；4. 通过 Windows 组策略配置账户锁定策略，对短时间内连续登陆失败的账户进行锁定；5. 加强主机账户口令复杂度及修改周期管理，并尽量排除出现通用或规律口令的情况；6. 安装具备自保护的防病毒软件，防止被黑客退出或结束进程，并及时更新病毒库7. 定时对重要业务数据进行备份，防止数据破坏或丢失。6.5仿冒网站诈骗事件6.5.1事件概述某信托公司收到客户反映登录了相关理财服务的仿冒网站， 经过对仿冒网站的

109、研究发现，诈骗手段是通过一个仿制的 iOS 系统 App 下载页面，提供了假冒该信托 App 的软件进行下载，诱导用户对伪造的理财产品进行充值转账操作。2021 安全事件响应观察报告0726.5.2信息收集尝试访问钓鱼网站明显为一个仿制 iOS 系统 App 下载页面，提供了“XX 信托”App 进行下载：图 6.31仿制 iOS 系统的下载界面针对网站进行目录扫描，发现以下信息：前台地址（http:/ V5.0.22；通过端口扫描，发现网站开放 80、443 等端口。6.5.3钓鱼网站渗透反制针对钓鱼网站进行漏洞挖掘，发现一个后台弱口令账号，根据网站功能判断，该账号疑似为“代理商”的帐号。登

110、录后台，在“后台 用户管理 客户列表”功能中发现疑似受害者的手机号“后台 报表管理 个人报表”功能中发现疑似流水信息：073安全事件专题图 6.32疑似流水信息再通过后台弱口令账号登录前台：在“前台 资产 入金 USDT 入金”功能中发现一个USDT（一种数字货币，泰达币）地址：0xd9262554c7966032E6fD7C6eABED2BE48E5c4D4C。前面针对钓鱼网站进行信息收集时，发现网站使用的开发框架为：ThinkPHP V5.0.22，该版本存在 RCE 漏洞。构造 payload 成功获取诈骗网站的服务器权限。在经过对服务器内信息的收集和分析，得到了后台数据库密码。通过获取

111、到的数据库连接密码，连接数据库，“后台 产品管理 产品列表”功能，明显为伪造的相关理财产品：图 6.33伪造理财产品2021 安全事件响应观察报告074“后台 订单管理 交易记录”功能，疑似为受害者的交易记录：图 6.34疑似受害者交易记录“后台 用户管理 充值列表”功能，疑似为受害者被骗金额：图 6.35疑似受害者被骗金额075安全事件专题6.5.4安全建议在各类投资诈骗中，诈骗犯们常常借助各大知名银行、券商基金等机构的品牌效应，散播类似的假冒伪劣 App 或投资平台。对于这类网络诈骗，最根本的预防手段是要提高警惕，在登录相应网站时仔细核对，不给钓鱼网站可乘之机。不要轻信来历不明的信息，登录

112、不熟悉的网站，谨防电信诈骗。07安全建议077安全建议我们通过对大量安全事件源头进行分析，发现绝大多数的事件均与企业的网络安全基础防护与管理制度有关，由此我们整理了以下安全防护建议，可供参考：1) 人员安全意识培养有研究报告显示，网络攻击源头有六成左右是来自企业内部，而绝大部分内部攻击则是由于员工被外部攻击者利用、控制导致。在信息技术高度发达的今天，攻击者可攻击的途径包括：钓鱼邮件、水坑网站、手机短信、社交软件、公共 Wi-Fi 等，企业可通过定期的安全意识培训、应急演练，对全员的安全防范意识水平进行检验。2) 加强口令复杂度管理弱口令是一个老生常谈的问题，是最容易被企业忽视，同时也是最受攻击

113、者青睐的漏洞。对于企业所有 IT 资产均需要制定并执行统一的口令复杂度配置标准，避免出现弱口令、通用口令或规律口令，企业可通过制定相关安全规范、业务上线流程、基线配置核查等多种手段进行规避。3) 定期做好重要数据备份近年来，勒索软件作为一种直接利益驱使的攻击手段，由于其具有攻击效果显著、攻击成本低、交易匿名性等特点，使它备受攻击者青睐。同时由于其传播渠道众多，企业或个人在做好基础安全防护的同时，数据备份则是最行之有效的对抗方案，企业可通过私有云、存储设备、网络同步等方式，定期对重要业务数据进行备份并妥善保管。4) 加强漏洞生命周期管理网络攻击手段和安全漏洞公布可以用日新月异来形容，这也是网络安

114、全区别于一些传统行业的显著特征。 企业应将漏洞管理作为一项持续化、 日常化的工作， 并制定详细流程， 包括：开发规范、漏洞获取、漏洞排查、漏洞修复、漏洞验证等，同时还应定期通过灰盒安全测试，主动发现系统、应用及网络中存在的安全漏洞隐患。5) 加强网络边界资产管理我们在多个典型安全事件案例中发现，攻击者通过攻击网络边界资产，并以此为跳板对内部网络进行了横向扩展攻击，最终造成了重大影响。企业网络边界资产由于部分业务暴露在互联网，往往会被攻击者作为突破企业安全防护的首要目标。企业可通过安全域划分、防火墙 ACL 细化、应用漏洞防护等手段加强网络边界管理。2021 安全事件响应观察报告0786) 互联

115、网敏感信息泄露排查信息收集作为黑盒测试流程中的重要一环， 对安全测试的最终结果起着至关重要的作用。攻击者除了会利用搜索引擎、大数据收集目标企业互联网暴露资产外，还会通过网盘、文库、Github 等渠道收集泄露的敏感信息，如：邮箱口令、数据库配置、应用系统源码等。企业应建立起长效机制，在通过管理制度约束员工行为的同时，还需要通过技术手段，监测互联网敏感信息的暴露。7) 关注供应链攻击安全风险供应链攻击作为一种高度隐蔽的攻击方式，最终可能影响数十万甚至上亿的目标用户。企业面对的供应链风险主要存在于设备采购、软件开发、产品交付、系统运维等多个阶段，IT 供应链安全是一套涉及面广且复杂的体系，在任何一

116、个阶段出现问题势必会影响供应链上下游安全，企业应通过建立产品采购及供应链厂商管理制度、建立健全应用开发生命周期安全管理制度、建立上下游安全威胁通报机制等多种手段，及时掌握应用及产品安全风险，提升沟通协调及应急处置效率。8) 部署威胁溯源审计平台单点部署的安全设备，由于无法做到统一管理分析，往往无法及时发现有效攻击事件，同时在事后由于缺失日志、样本等关键数据，无法做进一步溯源分析。对于安全防护要求较高的业务系统，可通过部署态势感知平台，结合威胁情报数据，及时发现恶意网络攻击，此外全流量存储分析平台，可为企业提供未知攻击捕获及安全事件攻击溯源能力。079附录一附录一GBT20986-2007 信息

117、安全事件分类分级指南事件分类事件子类MI- 有害程序事件（Malware Incidents）CVI- 计算机病毒事件（Computer Virus Incidents）WI- 蠕虫事件（Worms Incidents）THI- 特洛伊木马事件（Trojan Horses Incidents）BI- 僵尸网络事件（Botnets Incidents）BAI- 混合攻击程序事件（Blended Attacks Incidents）WBPI- 网页内嵌恶意代码事件（Web Browser Plug-Ins Incidents）OMI- 其它有害程序事件NAI- 网络攻击事件（Network Att

118、acks Incidents）DOSAI- 拒绝服务攻击事件（Denial of Service Attacks Incidents）BDAI- 后门攻击事件（Backdoor Attacks Incidents）VAI- 漏洞攻击事件（Vulnerability Attacks Incidents）NSEI- 网络扫描窃听事件（Network Scan & Eavesdropping Incidents）PI- 网络钓鱼事件（Phishing Incidents）II- 干扰事件（Interference Incidents）ONAI- 其他网络攻击事件IDI- 信息破坏事件（Informa

119、tion Destroy Incidents）IAI- 信息篡改事件（Information Alteration Incidents）IMI- 信息假冒事件（Information Masquerading Incidents）ILEI- 信息泄漏事件（Information Leakage Incidents）III- 信息窃取事件（Information Interception Incidents）ILOI- 信息丢失事件（Information Loss Incidents）OIDI- 其它信息破坏事件ICSI- 信息内容安全事件（Information Content Securi

120、ty Incidents）FF- 设备设施故障（Facilities Faults）SHF- 软硬件自身故障（Software and Hardware Faults）PSFF- 外围保障设施故障（Periphery Safeguarding Facilities Faults）MDA- 人为破坏事故（Man-made Destroy Accidents）IF-OT- 其它设备设施故障DI- 灾害性事件（ Disaster Incidents）OI- 其他事件（ Other Incidents）来源：GBT20986-2007 信息安全事件分类分级指南http:/ 安全事件响应观察报告080附

121、录二绿盟科技事件分类方法安全事件分类事件分类事件分类事件简述有害程序事件勒索软件大量文件被加密修改为某特定后缀名，且存在勒索提示信息文件虚拟挖矿利用主机资源进行虚拟币挖矿牟利，CPU 资源占用情况存在异常蠕虫病毒感染具备横向传播特征的恶意程序，其他正常主机存在被感染风险僵尸网络利用僵尸工具软件，形成僵尸网络而导致的信息安全事件木马程序受到木马程序影响而导致的信息安全事件网络攻击事件拒绝服务攻击相关资产遭受恶意 DDoS 拒绝服务攻击，导致业务系统无法正常访问后门事件利用后门对信息系统实施攻击的信息安全事件漏洞攻击利用信息系统配置缺陷、协议缺陷、程序缺陷等漏洞对信息系统实施攻击的信息安全事件扫描

122、事件利用网络扫描获取信息系统网络配置，端口、服务、存在的脆弱性等特征而导致的信息安全事件钓鱼攻击事件通过邮件、短信、社交 APP 等，收到钓鱼攻击的 URL 链接或可疑文件信息破坏事件黑链暗链通过搜索引擎检索相关域名，发现大量恶意的推广性质 SEO 关键字信息泄露因误操作或信息系统缺陷导致信息系统中敏感信息泄露的信息安全事件信息丢失因误操作或信息系统缺陷导致信息系统中敏感信息丢失的信息安全事件数据篡改利用信息系统缺陷恶意篡改数据，破坏数据完整性的安全事件网页篡改利用信息系统缺陷恶意篡改发布未经授权内容的信息安全事件设备设施故障由于信息系统自身故障或外围保障设施故障而导致的信息安全事件信息内容安全事件利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件其他事件不属于以上安全事件的其他事件，如 APT 攻击、重大专项安全事件非安全事件无入侵痕迹的事件081绿盟科技应急响应中心（NSFOCUS CERT）绿盟科技应急响应中心（NSFOCUS CERT）致力于为客户提供及时、专业、高效的威胁情报与应急服务，针对高危漏洞与安全事件进行快速响应，提供可落地的解决方案。NSFOCUS CERT 持续专注于源头技术创新、实验室成果实战化、应用技术开发升级，构建新型应急响应创新生态。