网络安全应急响应典型案例-（DDOS类、僵尸网络类、数据泄露类）

一、DDOS类事件典型案例

DDOS攻击，即分布式拒绝服务攻击，其目的在于使目标电脑的网络或系统资源耗尽，使服务暂时中断或停止，导致其正常用户无法访问。CC攻击使用代理服务器向受害服务器发送大量貌似合法的请求（通常为HTTP GET），通常会导致网站出现了无法进行操作的情况，不仅仅影响了用户的正常使用，同时造成的经济损失也是非常大的。

1.某部委遭遇CC攻击

（一）事件概述

某日，安全团队接到某部委的网站安全应急响应请求，网站存在动态页面访问异常缓慢现象，但静态页面访问正常，同时WAF、DDoS设备出现告警信息。

应急响应人员通过对现场技术人员所提供WAF告警日志、DDoS设备日志、Web访问日志等数据进行分析，发现外部对网站的某个动态页面全天的访问量多达12万次，从而导致动态页面访问缓慢。

根据本次攻击事件的分析，造成网站动态页面访问缓慢的原因主要是攻击者频繁请求“XXX页面”的功能，同时该页面查询过程中并未要求输入验证码信息，大量频繁的HTTP请求以及数据库查询请求导致CC攻击，从而使服务器处理压力过大，最终导致页面访问缓慢。

（二）防护建议

对动态页面添加有效且复杂的验证码功能，确保验证码输入正确后才进入查询流程，并每次进行验证码刷新；
检查动态页面是否存在SQL注入漏洞；
加强日常监测运营，开启安全设备上的拦截功能，特别对同一IP的频繁请求进行拦截封锁；
建议部署全流量的监测设备，从而弥补访问日志上无法记录POST具体数据内容的不足，有效加强溯源能力；
相关负载设备或反向代理上应重新进行配置，使Web访问日志可记录原始请求IP，有助于提高溯源分析效率；
开启源站保护功能，确保只允许CDN节点访问源站；
定期开展渗透测试工作以及源代码安全审计工作。

2.某证券公司遭遇DDoS攻击

（一）事件概述

某日，安全团队接到某省网安的应急响应请求，本地证券公司在10日7:00-8:00遭受1G流量的DDoS攻击，整个攻击过程持续了1个小时，造成证券公司网站无法正常访问。同时，多个邮箱收到勒索邮件，并宣称如不尽快交钱会把攻击流量增加到1T。

应急响应人员通过利用对网站域名进行分析，发现了Top10 IP地址对被攻击地址进行了DDoS攻击，并发现其攻击类型为NTP反射放大攻击。通过后端大数据综合分析，准确定位了攻击者的真实IP地址。

（二）防护建议

针对重要业务系统、重要网站等，建立完善的监测预警机制，及时发现攻击行为，并启动应急预案及时对攻击行为进行防护；
建议部署云安全防护产品，云端安全防护产品对常见的DDoS、Web行为攻击等进行有效防护。

二、僵尸网络类事件典型案例

僵尸网络是指采用一种或多种传播手段，将大量主机感染病毒，从而控制被感染主机，形成可一对多控制的僵尸网络。近几年的应急中，也不乏合法网站被僵尸网络侵害的案例。攻击者通常利用漏洞攻击、口令暴破或邮件病毒等方式发起攻击，在内网中进行窃取信息、发起DDOS攻击或僵尸网络挖矿等行为，使网络安全受到严重威胁，危害巨大。

1. 安全设备弱口令致内网被僵尸网络控制

（一）事件概述

某日，安全应急响应团队接到某大学僵尸网络事件的应急请求，现场多台终端发现疑似黑客活动迹象，重要网站系统遭到黑客攻击，无法正常运行。

应急响应人员通过对重要网站系统进行排查分析，发现该业务系统存在大量IPC暴破登录行为，内网多台主机被多次登录成功，且存在数个僵尸网络远控IP登录行为，其中，某一控制端存在大量国外IP连接行为。同时，应急人员发现其网站运维管理审计系统暴露于公网，并存在弱口令现象，攻击者通过该系统可取得大量服务器的控制权限，且很多敏感安全设备均暴露在公网上，包括WEB应用防火墙、日志中心、漏洞扫描系统、超级终端等。攻击者通过暴露于公网的审计系统弱口令暴破登录进入内网，并以此为跳板，对内网多台服务器、主机进行暴破、投毒并进行横向扩散，组成僵尸网络。

（二）防护建议

系统、应用相关用户杜绝使用弱口令，应使用高复杂强度的密码，尽量包含大小写字母、数字、特殊符号等的混合密码，加强管理员安全意识，禁止密码重用的情况出现；
重要业务系统及核心数据库应设置独立的安全区域，做好区域边界的安全防御工作，严格限制重要区域的访问权限并关闭不必要、不安全的服务；
部署高级威胁监测设备，及时发现恶意网络流量，同时可进一步加强追踪溯源能力，对安全事件发生时可提供可靠的追溯依据；
建议在服务器上部署安全加固软件，通过限制异常登录行为、开启防暴破功能、禁用或限用危险端口、防范漏洞利用等方式，提高系统安全基线，防范黑客入侵；
定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作，主动发现目前系统、应用存在的安全隐患；
加强日常安全巡检制度，定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查，常态化信息安全工作。

三、数据泄露类事件典型案例

数据泄露指将机密信息、私人信息或其他敏感信息发布到不安全的环境中。数据泄露分为外部泄露和内部泄露两种，外部泄露典型如攻击者通过漏洞利用等方式获取了主机账号密码进行的数据窃取，内部泄露典型如员工安全意识薄弱将敏感信息上传至公网、使用带病毒的U盘或非正规的软件导致的数据泄露。数据泄露会导致敏感信息以及重要信息的外泄，一旦被不法分子所利用，造成的危害是非常严重的。

1. 账号信息上传公网，致内网20多台机器受感染

（一）事件概述

某日，安全团队接到某运输公司应急请求，该公司通过天眼发现存在服务器失陷的危急告警。

应急人员通过分析天眼发现，该公司内部环境中20余台服务器出现失陷告警，其中两台重要服务器上发现被植入后门，服务器已沦陷，同时多台服务器上均发现Frp代理、CobaltStrike上线脚本与漏洞利用工具使用痕迹，攻击者正在通过Frp代理对内网服务器进行SQL注入漏洞攻击。

通过人工排查，发现该公司内部某员工上传敏感信息到GitHub中，导致敏感数据泄露，攻击者利用该员工账号登录VPN对该公司某重要服务器发起攻击，并利用Redis未授权访问漏洞获得权限，上传Frp代理工具、MS17-010等漏洞利用工具，进行内网横向渗透，成功攻下内网服务器、主机20余台，并利用已攻陷机器在内网中进行横向攻击。

（二）防护建议

定期进行内部人员安全意识培养，禁止将敏感信息私自暴露至公网，禁止点击来源不明的邮件附件等；
为Redis服务添加密码验证，为Redis服务创建单独的user和home目录，并且配置禁止登录，低权限运行Redis服务；
加强日常安全巡检制度，定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查，及时修复漏洞（如MS17-010漏洞等）、安装补丁，将信息安全工作常态化；
建议配置VPN登录的双因素认证，如增加手机短信验证码认证等，严格控制用户登录，防止账号信息被盗用。

2. 系统漏洞造成数据泄露

（一）事件概述

某日，安全应急响应团队接到某市医药公司应急请求，公司DMZ服务器区出口地址存在外连行为。

应急人员排查分析，发现对外攻击的IP为该公司内网某系统的出口地址，因该系统供应商要求对系统进行远程维护，特将服务器的3389端口映射到出口地址的3389端口。通过对IPS、负载均衡、防火墙以及服务器系统日志进行分析排查，发现内网某系统存在多个地区和国家的IP通过3389端口远程登录记录和木马文件。对该服务器系统部署文件进行排查，发现此服务器存在任意文件写入漏洞，并且发现两个Webshell后门。

经分析研判最终确定，攻击者通过内网某系统映射在公网的3389端口进行远程登录，并上传Webshell后门1，用于执行系统命令；利用该系统任意文件写入漏洞，上传Webshell后门2，用于上传任意文件，写入恶意木马文件，对外网发起异常连接，进行数据传输。

（二）防护建议

加强日常安全巡检制度，定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查，及时修复漏洞、安装补丁，将信息安全工作常态化；
加强设备权限管理，对敏感目录进行权限设置，限制上传目录的脚本执行权限，不允许配置执行权限等；
建议在服务器上部署安全加固软件，通过限制异常登录行为、开启防暴破功能、禁用或限用危险端口（如3389、445、139、135等）、防范漏洞利用等方式，提高系统安全基线，防范黑客入侵；
禁止服务器主动发起外部连接请求，对于需要向外部服务器推送共享数据的，应使用白名单的方式，在出口防火墙加入相关策略，对主动连接IP范围进行限制；
建议安装相应的防病毒软件，及时对病毒库进行更新，并且定期进行全面扫描，加强服务器上的病毒清除能力。