2020 年 网络安全应急响应 分析报告 m o c . 5 b u h t i g 奇安信安服团队 2021 年 1 月 主要观点  2020 年，奇安信集团安服团队共接到应急服务需求 660 起。政府部门、医 疗卫生行业和事业单位的业务专网是 2020 年攻击者攻击的主要目标。  第三方通报已不是应急响应的主要原因。企业自主寻求应急响应支持已成应 急响应工作的主流。  仍有 77.6%的企业是在已经发生重大安全事故后才寻求应急响应的。能够通 过自主巡检在重大事件发生之前及时组织的机构占比仅为 17.3%。这说明， 国内政企机构的日常安全运营建设水平仍有待大幅提高。特别地，有 37.3% 的机构是在被勒索后才寻求应急响应，但此时补救往往为时已晚。 m o c . 5  2020 年全年未发现大面积攻击事件，每月应急次数趋于平稳，说明行业专 用网络或特殊网络的安全建设有明显进步。持续进行的实战攻防演习活动也 是提升整个行业网络安全水平的重要原因。事实上，在过去几年间，每年都 会发生数起甚至数十起大规模的网络安全事件引发的应急响应。受同一攻击 者或同一病毒攻击的机构少则数家，多则数十家。这往往是由于相关企业通 过某些专用或特殊网络相连，但对专网或特殊网络防护不足而引发的。 b u  员工安全意识培养迫在眉睫。公网泄露敏感信息、高危端口外连、弱口令等 由于安全意识淡薄而引发的内网服务器受感染导致勒索病毒蔓延、数据泄露 甚至是服务器失陷事件比比皆是。 h t i g 摘 要  2020 年全年奇安信集团安服团队共参与和处置了全国范围内 660 起网络安 全应急响应事件。  2020 年全年应急响应处置事件最多的行业 TOP3 分别为：政府部门行业 （146 起）、医疗卫生行业（90 起）以及事业单位（61 起），事件处置数分 别占应急处置所有行业的 22.1%、13.6%、9.2%。  2020 年全年奇安信安服团队参与处置的所有政府机构和企业的网络安全应 急响应事件中，由行业单位自行发现的安全攻击事件占 94.7%，其中有 37.3% 的政企机构是在遭受勒索攻击后才发现系统被攻击；而另有 5.3%的安全攻 击事件则是由监管机构及第三方平台通报得知。 m o c . 5  2020 年全年应急响应事件的影响范围主要集中在业务专网，占比 71.4%； 办公终端，占比 28.6%。  2020 年全年应急响应事件中，攻击者对系统的攻击所产生的影响主要表现 为数据丢失、生产效率低下、系统/网络不可用。 b u  2020 年全年应急响应事件中，敲诈勒索、黑产活动仍然是攻击者攻击大中 型政企机构的主要原因。  2020 年全年大中型政企机构安全事件攻击类型，排名前三的类型分别是： 恶意程序，占比 54.5%；漏洞利用，占比 27.7%；钓鱼邮件，占比 4.8%。 h t i g  2020 年全年应急响应事件中，弱口令、永恒之蓝漏洞仍是大中型政企机构 被攻陷的重要原因。 该报告所有分析数据来源于奇安信安服全年的 660 次应急响应数据整理， 可能存在一定的局限性，报告结论和观点仅供用户参考。 关键词：应急响应、安全服务、弱口令、敲诈、勒索病毒 目 录 第一章 2020 年全年应急 ............................................................................... 1 第二章 应急响应事件受害者分析 .................................................................. 2 一、 行业现状分析 .................................................................................... 2 二、 事件发现分析 .................................................................................... 2 三、 影响范围分析 .................................................................................... 3 四、 攻击影响分析 .................................................................................... 4 第三章 应急响应事件攻击者分析 .................................................................. 5 一、 攻击意图分析 .................................................................................... 5 二、 攻击类型分析 .................................................................................... 5 三、 恶意程序分析 .................................................................................... 6 四、 漏洞利用分析 .................................................................................... 7 第四章 应急响应典型案例分析 ..................................................................... 9 一、 VPN 账号上传 GitHub 致 20 余台服务器失陷 ...................................... 9 二、 内网端口开放致系统被多国黑客入侵 ................................................ 9 三、 私自下载破解软件致服务器感染勒索病毒 ....................................... 10 四、 弱口令致服务器感染挖矿木马 ......................................................... 11 五、 弱口令空口令致 23 个内网系统被勒索加密 ..................................... 11 六、 服务器漏洞致网页被篡改植入违法信息 .......................................... 12 七、 机顶盒配置不当致堡垒机被攻陷 ..................................................... 13 m o c . 5 b u h t i g 附录 1 奇安信集团安服团队 ........................................................................... 14 附录 2 应急响应工具箱介绍 ........................................................................... 15 第一章 2020 年全年应急 2020 年 1—12 月，奇安信集团安服团队共参与和处置了全国范围内 660 起网络安 全应急响应事件，第一时间协助用户处理安全事故，确保了用户门户网站、数据库和重 要业务系统的持续安全稳定运行。 2020 年应急响应服务月度统计情况具体如下。 2020 年，奇安信安服应急响应事件共处置 660 起，投入工时为 8544.0 小时，折合 1068.0 人天。2019 年全年应急响应事件共处置 1029 起，相较于 2019 年，2020 年应急 响应事件数下降 55.9%， 2020 年每月应急次数趋于平稳。2019 年 3 月， “永恒之蓝下载 器”木马安全事件全面爆发，由于 2019 年下半年遏制效果较好，2020 年暂无感染性较 强的木马病毒或大面积攻击事件。 m o c . 5 b u h t i g 同时，2020 年全国各行业省份组织了各类实战攻防演习，显著推动了大中型政企机 构的网络安全建设。2021 年，奇安信将以更大的努力减少安全事件对政府机构、大中型 企业的门户网站和业务系统造成的损失与对公众的不良影响，努力为政府机构、大中型 企业建立完善的应急响应体系提供技术支持，推进政府机构、大中型企业逐步实现信息 化系统的实战化、体系化和常态化。 © 奇安信集团 第 1 页，共 15 页 第二章 应急响应事件受害者分析 为进一步提高大中型政企机构对突发安全事件的认识和处置能力，增强政企机构安 全防护意识，对 2020 年全年处置的所有应急响应事件从政企机构被攻击角度、受害者 行业分布、攻击事件发现方式、影响范围以及攻击行为造成的现象几方面进行统计分析， 直观呈现全年政企机构内部网络安全情况。 一、行业现状分析 2020 年应急响应处置事件行业 TOP3 分别为：政府部门（146 起）、医疗卫生行业(90 起)以及事业单位（61 起） ，事件处置数分别占全年应急处置事件的 22.1%、13.6%、9.2%。 m o c . 5 大中型政企机构应急响应行业分布 TOP10 详见下图。 b u h t i g 从行业排名可知，2020 年全年攻击者的攻击对象主要分布于政府机构、医疗卫生以 及事业单位，全年接近半数的应急响应事件发生于上述三个行业。 二、 事件发现分析 2020 年奇安信安服团队参与处置的所有政府机构和企业的网络安全应急响应事件 中，由行业单位自行发现的安全攻击事件占 94.7%，其中被攻击者勒索后发现的攻击占 37.3%，另有 5.3%的安全攻击事件政府机构和企业是在得到了监管机构及第三方平台的 通报后，才得知自己已被攻击。 © 奇安信集团 第 2 页，共 15 页 m o c . 5 三、 影响范围分析 2020 年应急响应事件的影响范围主要集中在业务专网，占比 71.4%；其次为办公终 端，占比 28.6%。根据受影响区域分布对受影响设备数量