针对医疗行业的勒索病毒事件突出 | 应急响应11月简报

admin 2020年12月18日01:10:41评论26 views字数 2603阅读8分40秒阅读模式

概述

2020/12/17

2020年11月,奇安信安服应急响应团队共为全国各区域提供56次应急响应服务,共计792小时,涉及18个省市,14个行业。其中,医疗卫生行业应急次数最多,累计应急8次。根据11月份实际应急情况,奇安信安服应急响应团队发现,在医疗卫生行业相关的应急事件中,勒索事件最为突出。


事件分析


1、失陷区域


从政企机构11月网络安全事件失陷区域看,69.6%为业务专网、30.4%为办公终端。由于内部员工安全意识不足,常导致业务专网中存在大量安全漏洞,如危险端口暴露在公网中、未及时安装安全补丁等,可以被轻易利用,所以业务专网遭受的攻击和威胁也是最多,最严重的。


针对医疗行业的勒索病毒事件突出 | 应急响应11月简报


2、事件影响


从政企机构11月的统计来看,17.9%的安全事件导致了数据丢失、10.7%的安全事件导致了系统/网络不可用、8.9%的安全事件导致了数据篡改、7.1%的安全事件导致了数据泄露、5.4%的安全事件导致了生产效率低下、5.4%的安全事件导致了破坏性攻击、1.8%的安全事件导致了声誉影响。从攻击现象统计看,攻击者通过对政府机构、大中型企业重要服务器及数据库进行攻击,从而导致数据被破坏或丢失等后果,并且攻击者对系统的攻击具备破坏性、针对性,严重影响了系统和业务的正常运行。


针对医疗行业的勒索病毒事件突出 | 应急响应11月简报


3、攻击目的


对11月网络安全事件中攻击者的目的进行了分析。其中,35.7%的安全事件属于敲诈勒索事件、14.3%的安全事件属于黑产活动事件、7.1%的安全事件属于窃取重要数据事件、1.8%的安全事件属于内部违规事件、1.8%的安全事件属于政治原因事件。由此可见,对于大部分攻击者而言,其进行攻击的主要原因是为获取暴利,实现自身最大利益。


针对医疗行业的勒索病毒事件突出 | 应急响应11月简报


4、木马类型


对11月政企机构遭受攻击的常见木马类型进行了统计,其中,挖矿木马占比为10.7%、网站木马占比为7.1%、GLobeImposter勒索软件占比为7.1%、Wannacry勒索软件占比为3.6%、一般木马占比为1.8%、Crysis勒索软件占比为1.8%、其他勒索软件占比为32.1%。从以上数据可以看出,勒索病毒、挖矿木马仍为攻击者攻击政府机构、大中型企业的常见木马类型。


针对医疗行业的勒索病毒事件突出 | 应急响应11月简报


5、自身弱点


网络安全事件的发生,往往会暴露出相关政企机构内部存在的安全运营和管理问题。在11月所处置完成的56起网络安全事件中,弱口令问题最为显著。其中,32.1%的事件与弱口令有关、16.1%的事件与配置不当有关、10.7%的事件与永恒之蓝有关、5.4%的事件与服务器漏洞有关、5.4%的事件与Struts2命令执行有关、5.4%的事件与Weblogic反序列化有关、3.6%的事件与任意文件上传有关、3.6%的事件与JAVA反序列化有关、3.6%的事件与设备漏洞有关、3.6%的事件与业务逻辑错误有关。(其中,单起网络安全事件中,存在多个弱点的情况)


针对医疗行业的勒索病毒事件突出 | 应急响应11月简报


应急案例


案例1


2020年11月奇安信安服应急响应团队接到某教育机构应急响应求助,教育机构官网遭到恶意篡改,部分页面自动跳转至反共网站,希望进行分析排查溯源。


应急响应人员抵达现场后,通过向客户了解现场网络架构及应用部署情况,对客户受害页面以及Web应用文件进行排查,发现网站目录中存在已被利用的Webshell文件,创建时间为事发前一晚23点,应急人员通过测试,发现网站后台图片上传处存在任意文件上传漏洞。应急人员提取网站Web应用日志进行分析,发现在事发前一天下午15点,有境外IP(x.x.x.119)对客户网站A(http://www.xxx.com/school.php?id=666)发起SQL注入攻击,并成功获取到了网站后台管理员账号及密码。


经过一系列排查分析,应急人员成功溯源攻击途径,攻击者(x.x.x.119)在事发前一天下午15点发现客户网站A(http://www.xxx.com/school.php?id=666)存在SQL注入漏洞,并对其进行利用,成功获取网站后台管理员账号及密码。事发前一晚23点,攻击者假冒管理员身份登录后台,发现后台页面存在任意文件上传漏洞,利用该漏洞成功上传Webshell文件。事发当天,攻击者利用已上传的Webshell对网站源代码进行修改,将网站部分页面跳转至反共页面。


案例2


2020年11月,奇安信安服应急响应团队接到某事业单位客户应急响应请求,客户官网首页被篡改挂有反共图片,希望对该官网系统业务服务器进行排查分析,并追溯攻击来源。


应急人员抵达现场后,与现场运维人员沟通了解到,业务服务器通过99端口对互联网提供WEB应用服务。


应急人员通过对该服务器Web日志进行排查分析发现,该服务器对互联网还开放9001和9002端口,并发现攻击者在凌晨6点上传一句话木马s.jsp文件。应急人员通过关联s.jsp文件名,检索access.log 和 WLS_REPORTS.log 日志最终确定攻击者ip,并筛出该攻击ip所有访问日志。通过对访问日志进行排查分析发现,该日志中有大量针对9002端口的Weblogic WLS 组件漏洞攻击的痕迹,由于无法通过Web应用日志确认是否存在Weblogic WLS组件漏洞,因此,应急人员与客户沟通尝试利用Weblogic WLS组件漏洞进行攻击测试,最终确认存在该漏洞。根据日志中攻击者利用Weblogic WLS 组件漏洞攻击时间与官网首页篡改时间比对,攻击成功时间和官网首页被篡改时间相近,由此推断攻击者利用Weblogic WLS 组件漏洞代码进行攻击,成功进入服务器。


攻击者利用Weblogic反序列化漏洞,对开放9002端口的服务器进行攻击,获得该服务器权限并上传一句话木马s.jsp文件。通过查看服务器web目录发现,该服务器对外开放的99端口下部署有该公司官网系统,随后向该系统上传反共图片,修改官网首页。


关于奇安信应急响应服务

针对医疗行业的勒索病毒事件突出 | 应急响应11月简报

应急响应服务致力于成为“网络安全120”。2016年以来,奇安信已具备了丰富的应急响应实践经验,应急响应业务覆盖了全国31个省份,处置政企机构网络安全应急事件超过两千起,累计投入工时25000多个小时,为全国超千家政企机构解决网络安全问题,获得了用户的高度认可和一致好评。


奇安信7*24小时应急响应热线:4009-727-120

针对医疗行业的勒索病毒事件突出 | 应急响应11月简报
针对医疗行业的勒索病毒事件突出 | 应急响应11月简报

让网络更安全

让世界更美好

长按识别二维码关注我们

针对医疗行业的勒索病毒事件突出 | 应急响应11月简报



针对医疗行业的勒索病毒事件突出 | 应急响应11月简报

本文始发于微信公众号(奇安信安全服务):针对医疗行业的勒索病毒事件突出 | 应急响应11月简报

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年12月18日01:10:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   针对医疗行业的勒索病毒事件突出 | 应急响应11月简报https://cn-sec.com/archives/207600.html

发表评论

匿名网友 填写信息