网络安全应急响应典型案例

    蠕虫病毒也是一种常见的计算机病毒，具有较强独立性，可以不依赖宿主程序独立运行，具有传播更快更广以及更好的伪装和隐藏的特点，通常利用恶意链接、电子邮件附件、U盘携带以及弱密码暴破的方式发起攻击，受害者一旦点击包含有被蠕虫感染的链接和邮件附件，蠕虫病毒会立刻被激活，并迅速感染其他主机，窃取重要信息，严重时会导致网络系统瘫痪，服务器系统资源遭到破坏。

某日，安服团队接到某银行应急响应请求，其发现内网有服务器出现工作异常，并发现网络中存在扫描行为，应急响应专家1小时内到达现场。

应急响应专家通过现场进行检测分析，发现大量来自A省分行的服务器可疑远程桌面暴破行为，进一步远程检测发现A省分行服务器上均存在恶意进程，正在批量扫描暴破内网3389端口，其中B省某重要业务系统已被暴破成功，并对全国至少19家分行进行扫描。通过对样本进行分析，确认该银行内网中感染了Morto家族系的蠕虫的最新进化版本，主要实现远控目的。对A省被攻陷终端的日志分析，攻击者早在2020年就已进入到A省分行内部网络区域，对整个银行内部网络的暴破攻击长达1年以上。

此外，不同省分行主机均存在以下问题：

1、用户名均为User ，密码为 111111；

2、均开启远程桌面服务，同时对其他开启远程桌面服务的资产产生大量连接（暴破行为）；

3、开始－运行中存在 rundll32 \\tsclient\a\a.dll a 的命令执行记录；

4、服务均存在名为 FastUserSwitchingCompatibility以及 Ias 的异常服务。

某日，安服团队接到某部委蠕虫病毒事件应急响应请求，其发现内网多台终端外连恶意域名并下载恶意软件。

应急人员到达现场后，对内网服务器文件、服务器账号、网络连接、日志等多方面进行分析，发现内网主机用户浏览带有恶意链接的Web页面，并于内嵌链接中触发对该异常域名的访问，导致服务器被感染飞客蠕虫病毒，并外连下载恶意软件。该病毒会对随机生成的IP地址发起攻击，攻击成功后会下载一个木马病毒，通过修改注册表键值来使某免费安全工具功能失效。病毒会修改hosts文件，使用户无法正常访问安全厂商网站及服务器。

某日，某工业集团为了便于各测试系统中测试数据的统一采集、存储和管理，各测试系统将陆续接入TDM系统（测试数据管理系统），当前仍然有部分测试设备、系统未接入。由于移动介质的交叉使用、相关使用规范的缺失，当前未入网的设备/系统中存在大量病毒，因此该工业集团请求工业安全应急响应中心进行应急响应。

工业安全应急响应中心人员到达现场后，经对现场情况的了解及设备的检测，发现当前设备、系统、网络中存在的主要问题是由于U盘的不合理使用使得TDM系统中感染了“Conficker” 蠕虫、矢网仪感染了“FakeFolder”蠕虫病毒。

病毒可通过移动介质、网络大范围传播，由此形成恶性循环；同时，病毒感染后可进行各种恶意操作，如安装后门、窃取敏感数据、篡改数据等，数据可通过被感染的移动介质和主机传播外泄，由此造成敏感数据丢失、测试数据不准确，最终导致产品出现功能、性能问题的可能性；缺乏对U盘使用的基本管理制度，亦无技术管控措施；安全意识有待提高，安全制度建立有待完善。