安全事件时有发生，作为企业的安全管理人员，如何行之有效地处理响应安全事件，成为重中之重。结合2018年，青藤云安全专业服务团队共计处理各类应急响应事件57起，事件数量及分布如图所示。

青藤云安全2018年应急响应事件分布

恶意挖矿

随着近年来各类数字货币价格一路飙升，层出不穷的挖矿事件也如同噩梦般时常萦绕在企业运维人员头顶。

2018年伴随着数字货币浪潮不断退去，恶意挖矿的势头虽有所减退，但目前仍是应急响应事件中数量最多的类型之一。

通过对多起挖矿事件进行分析，发现2018年多起挖矿事件具备以下新特征：

1.自动化程度提高。

2.善于结合当下最新漏洞传播。

3.善于结合当下最新漏洞传播。

案例简述

应急时间：2018年3月

应急企业：国内某运营商

事件简述：

下图为青藤云安全专业服务团队在应急过程中截取的相关挖矿脚本运行截图。

某客户所中挖矿进程

该恶意挖矿脚本xxx_load.sh名称和企业重要业务名称极其近似，并在其后增加load字样，具备一定迷惑性，同时通过守护进程使得该挖矿进程被结束后能够很快重新启动。

通过一系列分析发现：由于该主机Redis服务的6379端口暴露于公网中且存在弱口令，导致恶意攻击者通过暴力破解方式连接Redis服务。通过crontab反弹shell直接获取该主机root用户权限，随后该主机被用于挖矿。

该挖矿脚本类型仍属于DDG系列变种，货币类型为门罗币，且该脚本具备一定的自传播性。该挖矿脚本共计感染该用户17台生产业务主机，给用户带来较大损失。

本文后篇会详细讲述相关恶意挖矿实例及分析，此处不再深入展开。

内网入侵

内网入侵事件同样在2018年应急响应事件中占据显著地位，然而内网入侵的成因和方式多种多样。2018年青藤云安全专业服务团队共计处理17起内网入侵事件，其中大部分事件处于事中阶段的入侵。

入侵行为被发现的起因通常是因为出现主机无法登录、触发内网蜜罐、bash审计异常、主机异常登录、主机异常连接等情况。

通过详细排查，被入侵的主机通常情况下存在以下三个特点：

1.SSH/RDP服务存在弱口令。

2. Web业务存在文件上传或远程命令执行漏洞。

3.操作系统或服务使用存在明显漏洞的版本。

通过对2018年入侵事件的分析，弱口令问题仍是导致服务器被入侵的最大原因。本报告后篇的2018年10大常见弱口令也会提及企业业务系统中最常见的弱口令。

一些手段较为高明的攻击者往往会重新编译安装自己精心制作的后门应用来替换系统自带命令，起到一个隐蔽自身的效果。常被用于替换的命令包括：ps, netstat, top, ls, cd等，但亦有水平一般攻击者往往无法控制好上述操作，入侵行为更加容易被发现。

案例简述

应急时间：2018年7月

应急企业：国内某互联网企业

事件简述：

青藤云安全专业服务团队曾经在2018年处理过如下内网入侵事件。

某企业联系青藤云安全专业服务团队反馈，有部分内网主机始终无法通过SSH正常登录系统，存在类似问题的主机逐渐增多，然而运维人员在近期内并未对相关主机进行任何操作。专业服务团队通过远程管理卡配合recovery模式进入系统进行信息收集和分析，终于确认了问题的原因。

攻击者在2018年6月通过弱口令方式入侵该企业主机后，尝试编译安装SSH后门，加载恶意PAM模块，实现不修改root密码的情况下添加自己的密码，绕过正常SSH登录验证流程。但由于该攻击者在编译安装时出现错误，PAM模块损坏，导致该主机SSH仅能通过攻击者后门中的密码登录而正常root用户无法使用自身密码登录。攻击者没有察觉到该情况使得用户始终无法登录root用户进而被察觉。青藤云安全工程师通过该服务器的远程管理卡不断进入recovery模式对PAM模块下的so文件进行逐一分析，最终定位到了问题。

某恶意SSH后门so文件部分代码

类似以上入侵行为一旦没有出现明显纰漏将具备较强隐蔽性，可能会在长时间内无法被用户察觉。

勒索病毒

勒索病毒和挖矿在入侵的方式上有一定的相似之处，但是在对受害主机的影响程度上，勒索病毒往往更胜一筹。常规的挖矿事件往往通过杀死挖矿进程，清理掉生成文件和部分配置后即可恢复服务器正常运行。然而勒索病毒常常会对受害主机硬盘、文件或数据库进行高强度加密或删除操作，并要求向某指定加密货币账户打入指定金额才可能予以解密或还原。

近年来发生的多起勒索病毒事件除影响企业服务器之外，连个人电脑（Personal Computer, PC）也时常遭受勒索病毒的困扰。PC用户往往只是下载了某些软件或打开了邮件中的相关附件，PC中的重要文档、磁盘在很短时间内就被全部加密。但幸运的是，部分勒索病毒的作者水平不足，一些加密的密钥可以通过逆向运行的文件或提取内存的方式获取，部分安全产商也提供一些较为简单的勒索病毒的恢复工具。然而一些狡猾的勒索病毒使用了非对称加密（RSA）和对称加密(AES-256)两种加密方式组合。服务端生成RSA加密算法的公钥(PUs)和私钥(PRs)，解密私钥(PRs)保存在服务端。在PC端本地生成RSA加密算法的公钥(PUl)和私钥(PRl)、AES-256对称加密算法的密钥（PS），然后使用AES-256对称加密算法的密钥（PS）对PC硬盘文件进行加密，再使用本地RSA的公钥(PUl)加密AES-256的加密密钥（PS），使用服务端的RSA公钥(PUs)将本地生成的RSA私钥加密(PRl)，因此想要解密文件需要服务端的RSA私钥。这样即使安全人员对勒索病毒文件进行逆向，得到加密的密钥也无法还原硬盘文件。

案例简述

2018年青藤云安全专业服务团队共计处理2次勒索病毒事件：其中一次为Windows主机、另外一次为MongoDB数据库勒索事件。

应急时间：2018年1月

应急企业：国内某互联网金融企业

事件简述：

在青藤云安全处理的勒索病毒事件中，Windows主机所中勒索病毒类型为Petya的变种，利用MS17-010在内网中进行传播。在该企业中，部分Windows 7系统主机感染该病毒导致系统中所有文档格式文件被加密，且无法打开，但由于部分主机感染事件较短且未进行重启操作，青藤云安全工程师通过对加密程序进行逆向分析和对受害主机的内存分析。该病毒使用AES-256对系统中后缀名为doc、docx等office常见文档格式文件进行对称加密，生成32位密钥对目标格式文件内容进行加密。通过逆向分析得知该密钥生成方法，并从部分主机中提取出残留key，通过比对进一步确认该加解密密钥生成方法，最终成功将部分主机加密文件进行解密。

应急时间：2018年4月

应急企业：国内某运营商企业

事件简述：

在另外一起MongoDB勒索病毒事件中，青藤云安全工程师发现攻击者主要通过MongoDB未授权访问漏洞对该数据库中数据进行了删库处理，且要求支付0.5BTC才能归还数据。通过查询相关日志分析，该删库行为在2017年7月发生，一直到2018年才被用户发现。由于时间间隔较大，且属于删库而非加密行为，因此数据无法恢复，只能通过对该主机进行相应安全加固避免类似事件再次发生。

某客户MongoDB被恶意删库

青藤云安全专业服务团队在这里也提醒各位用户，一旦发现类似勒索事件，可以咨询专业安全公司尝试能否通过逆向分析或数据恢复手段进行止损，不要听信攻击者警告或怀侥幸心理尝试给攻击者转账，遇到能恢复的情况真的非常稀少。

网页挂马

网页挂马往往是攻击者在后攻击阶段的行为之一。不同于10年前利用Java或者Flash传播网页木马，现在的攻击者常常利用目标网站的流量或权重，将包含博彩、色情、暴力的网页链接隐藏于目标网站的网页中。企业往往通过搜索引擎或用户反馈得知自己的域名经常和涉及博彩、色情、暴力的关键词组合出现，或用户点击链接跳转至相关恶意页面。

白帽子lxghost微博截图

如上图所示，部分国内知名媒体网站也曾被网友发现存在疑似网页挂马现象。

青藤云安全在部分网页挂马应急响应事件中发现，攻击者往往在挂马前就通过各种方式已经获取目标主机的命令执行权限。对于如何挂马，攻击者常见的思路有两种：

1.直接下载相关挂马网页的压缩包，解压到web目录。

2.下载挂马页面生成脚本，直接运行一键生成大量挂马页面。

案例简述

应急时间：2018年11月

应急企业：国内某传统媒体企业

事件简述：

青藤云安全专业服务团队在网页挂马的应急事件中，发现通过挂马页面生成脚本方式进行挂马的案例相比较直接下载网页压缩包的情况更多。专业服务团队曾在一次应急响应过程中发现黑客经常登录受害主机执行以下PHP脚本自动生成大量挂马页面。

批量生成挂马网页脚本

如上图所示，该PHP文件即为生成挂马页面的主PHP之一，只需访问或直接执行即可在Web目录下生成大量挂马页面。

相较于方式1，方式2消耗的流量更小、更隐蔽，且即使挂马页面被删除，只要相关生成脚本还在攻击者可随时“借尸还魂”。

随着近年来黑帽SEO技术的发展，很多黑产人员也自然而然将目光转到了具备高流量、高权重的热门网站。挂马的对象除常见的HTML、PHP、ASP等静态/动态页面外，有时也会在JS、CSS、图片中存在，可以说手段更加隐蔽，让人防不胜防。

数据泄漏

在隐私和数据逐步受到企业和个人重视的今天，数据泄漏事件一直牵动着大多数人的心。2018年华住、A站、万豪甚至12306均被曝光疑似发生数据泄漏事件。

数据泄漏的途径其实多种多样：系统被入侵、git/svn敏感信息泄漏、APT攻击甚至企业内鬼……均有可能使得企业敏感数据、文件、资产等信息泄漏。

青藤云安全专业服务团队在2018年处理过3起数据泄漏型应急响应，分别为数据库信息泄漏、内部文件泄漏和付费视频文件泄漏。在处理各种数据泄漏时，需要考虑的往往并非技术本身，需要更多地关注企业组织架构、业务流程、近期变更等第三方因素。同时，在溯源过程中也需要掌握一定的技巧和方法，否则可能会陷入繁多的信息中而无法找到正确的途径。

案例简述

应急时间：2018年9月

应急企业：国内某在线视频企业

事件简述：

青藤云安全专业服务团队在2018年下半年处理过一起付费视频泄漏案件。某客户反馈自家VIP付费视频出现在某盗版网站中。由于该网站每天访问用户量众多，因此很难单纯从日志当中判断出泄漏源头。专业服务团队通过对数字水印技术的调研和分析，推荐客户在某视频指定帧动态添加具备一定抗干扰效果且肉眼不可见的频域水印，将当前播放用户ID写入某些帧中。通过从盗版视频指定帧画面中提取相关水印，还原了泄漏视频的用户ID。

但通过数据库查询该用户权限发现该用户仅为普通用户，并不具备观看VIP视频的权限，且该用户的访问日志显示该用户一直通过APP方式观看VIP视频，推测相关APP一定存在越权漏洞可以直接绕过VIP限制。专业服务团队通过对客户APP手动渗透测试，发现该APP某接口确实存在未授权访问漏洞，可以实现付费视频压缩包下载。盗版团队成员正是利用该漏洞编写相关脚本实现了付费视频的批量下载。

未授权访问批量下载付费视频

虽然盗版人员非常谨慎地将下载视频进行格式转换和截取，但数字水印的存在使得该泄漏源头能够较为轻易实现回溯。

当然回溯分析和数据泄漏的对抗往往还是“道高一尺魔高一丈”的状态，常常数据泄漏发生了很久才有可能被注意到。因此在企业内部使用DLP产品或者搭建内网流量审计系统有一定的必要性。

青藤建议

主机安全将会是企业安全建设的必需品。由于安全人员紧缺，企业往往选择安全服务和产品来保护主机安全。安全产品通过在主机中安装Agent对主机进行资产信息收集，通过数据分析实现主机安全监测。安全产品可以降低安全对人的依赖性，提高安全维护的敏捷性，随着产品的成熟可以减少安全问题告警而提高告警精准程度，从而减少安全人员的投入。安全服务可以弥补企业安全技术、安全管理和安全产品的不足。青藤云安全结合自身安全服务经验给出以下企业主机安全建设建议：

1.企业应对自身的主机资产信息能够了如指掌，如操作系统、应用、端口等。实现自动化的资产清点和分析。

2.对主机风险项进行检查和安全配置评估，如弱口令、风险文件、Web漏洞。

3.能够对入侵行为进行识别与检测。

4.通过渗透测试和漏洞扫描发现主机存在的漏洞。

5.安全意识培训。

2018年国内、国际的网络安全态势变得越来越复杂，面临的安全问题也日益复杂。传统的安全威胁，数据泄漏、DDoS攻击、APT攻击等事件愈演愈烈。部分行业与领域的网络安全事件如酒店顾客信息、视频网站用户信息、火车票购票信息的泄漏，都给用户的生活和财产安全带来巨大的危害和影响。同样，随着加密货币空前爆发带来的商业利益，有关虚拟货币的安全事件也频频发生。无论是黑客攻击，还是加密货币的挖矿恶意软件都愈演愈恶劣，给网络安全造成了巨大的影响。恶意勒索软件也持续对网络安全产生严重危害，并且将会和病毒、恶意软件一样走向常态化、长期化。

反观国内企业在建设网络安全体系过程中也是困难重重，安全意识不足、安全人才匮乏、安全预算不足、事件响应速度慢等问题都使企业的网络安全面临巨大挑战。

同样，网络安全也呈现出新趋势，随着人工智能和机器学习等技术的成熟，对恶意流量和网络活动的识别能大大地减少误报率及人工判断的工作量。除此之外，联网工控系统和设备的恶意嗅探事件也不断增长，互联网工控安全问题也日益严峻，怎样解决工控安全问题成了新的课题。同时物联网（Internet of Things, IoT）安全由于物联网设备制造商缺乏安全意识、技术标准不规范、消费者安全意识薄弱等问题，物联网设备、系统、平台已成为黑客的主要攻击目标。国内《中华人民共和国网络安全法》正式实施一年，相关配套法律法规、标行业准已相继出台。欧盟的GDPR、《信息安全技术_网络安全等级保护基本要求》等法律法规相继实施，都将促进了大家对网络安全的重视，推动整个网络安全行业的全面发展。