1、 主要观点 2021 年，奇安信集团安服团队共接到应急服务需求 1097 起。政府部门、医疗卫生行业和事业单位的业务专网是 2021 年网络安全应急响应事件的高发区。2021 年，政企机构通过安全运营巡检发现攻击事件占比为 18.0%。这说明，国内仅有不到五分之一的政企机构具备在重大事件发生之前及时阻止的能力。有 37.7%的机构是在被勒索后才寻求应急响应，但此时往往已对机构造成了一定的影响和重大的损失，日常安全运营建设水平仍然需政企机构持续提高。2021 年，攻击者攻击目标仍以业务专网，服务器为主，然办公终端问题也不容小觑。与去年相比，服务器受感染台数较去年增加 20987 台，办公终端受感

2、染台数较去年增加 8217 台。受影响服务器、终端数量的明显增加，预示着不仅是服务器安全问题，日益凸显的终端安全问题也需要引起我们的关注。2021 年应急响应安全事件中，木马病毒攻击仍然是大中型政企机构服务器、数据库失陷的重要原因，除常见的勒索病毒攻击外，下半年出现的“Magniber 勒索病毒”以及“Apache Log4j2 漏洞”也成为大中型政企机构业务中断和数据泄露的重要原因。这也就意味着，政企机构应在日常运营建设中增加对外部事件，情报的监测能力，一旦发现威胁事件，应立即进行自查修复，保障业务的正常运营，将经济损失最低化。2021 年，钓鱼邮件仍然是攻击者热衷利用手段之一，员工安全意识

3、培养仍需政企机构关注并提升。员工为方便工作，使用高危端口外连公网、弱口令等导致勒索病毒蔓延、数据泄露甚至服务器失陷事件。可见，员工安全意识亟待提升。摘 要 2021 年全年奇安信集团安服团队共参与和处置了全国范围内 1097 起网络安全应急响应事件。2021 年全年应急响应处置事件行业 TOP3 分别为：政府部门行业（243 起）、医疗卫生行业（112 起）以及事业单位（108 起），事件处置数分别占应急处置所有行业的22.2%、10.2%、9.8%。2021 年全年奇安信安服团队参与处置的所有大中型政企机构的网络安全应急响应事件中，由行业单位自行发现的安全攻击事件占 95.3%，其中有 37

4、.7%的政企机构是在遭受勒索攻击后才发现系统被攻击；而另有 4.7%的安全攻击事件则是由监管机构及第三方平台通报得知。2021 年全年应急响应事件的影响范围主要集中在业务专网，占比 66.7%；办公网占比 33.3%。2021 年全年应急响应事件中，攻击者对系统的攻击所产生的影响主要表现为生产效率低下、数据丢失、数据篡改。2021 年全年应急响应事件中，黑产活动、敲诈勒索仍然是攻击者攻击大中型政企机构的主要原因。2021 年全年大中型政企机构安全事件攻击类型，排名前三的类型分别是：恶意程序，占比 44.7%；漏洞利用，占比 30.6%；网络监听攻击，占比 4.4%。2021 年全年应急响应事件

5、中，弱口令、永恒之蓝漏洞仍是大中型政企机构被攻陷的重要原因。该报告所有分析数据来源于奇安信安服全年的 1097 次应急响应数据整理，可能存在一定的局限性，报告结论和观点仅供用户参考。关键词：关键词：应急响应、安全服务、弱口令、敲诈、勒索病毒、漏洞利用 目 录 第一章第一章 20212021 年全年应急年全年应急.1 第二章第二章 应急响应事件受害者分析应急响应事件受害者分析.2 一、行业现状分析.2 二、事件发现分析.2 三、影响范围分析.3 四、攻击影响分析.4 第三章第三章 应急响应事件攻击者分析应急响应事件攻击者分析.5 一、攻击意图分析.5 二、攻击类型分析.5 三、恶意程序分析.6

6、四、漏洞利用分析.7 第四章第四章 应急响应典型案例分析应急响应典型案例分析.9 一、制造业某客户遭遇恶意邮件传播应急事件处置.9 二、某政府部门编辑器漏洞致网站黑页应急事件处置.10 三、制造业某客户蔓灵花 APT 应急事件处置.11 四、交通运输行业某客户感染门罗币挖矿病毒应急事件处置.12 五、某政府部门下属单位外连国外恶意 IP 应急事件处置.13 六、互联网行业某客户感染 phobos 勒索病毒应急事件处置.15 七、交通运输业某客户感染 Magniber 勒索病毒应急响应事件.16 八、服务业某客户 100+台服务器感染挖矿病毒应急事件处置.17 九、能源行业某客户内网收到钓鱼邮件