1、C Y B E R S E C U R I T Y I N C I D E N T R E S P O N S E网络安全应急响应典型案例集奇安信安服团队著奇安信集团官网奇安信微信公众号奇安信客服电话客服热线：4009-303-120724应急响应：4009-727-120奇安信安服团队 著50个典型应急响应案例300+位安全服务专家实战总结3200+次应急响应事件处置经验积累典型案例集（2021）C Y B E R S E C U R I T Y I N C I D E N T R E S P O N S E网络安全应急响应目录CONTENTS网络安全应急响应形势综述 6一、应急响应事件受害

2、者分析 7二、应急响应事件攻击者分析10勒索类事件典型案例 14一、服务器存漏洞感染勒索病毒15二、终端电脑遭遇钓鱼邮件感染勒索病毒16三、工业生产网与办公网边界模糊，感染勒索病毒16四、服务器配置不当感染勒索病毒17五、专网被攻击，58家医院连锁感染勒索病毒18六、OA服务器远程桌面映射公网，感染勒索病毒20七、内网主机使用弱口令致感染勒索病毒21八、8003端口映射在公网感染勒索病毒 22九、私自下载破解软件致服务器感染勒索病毒23十、服务器补丁安装不及时感染勒索病毒24十一、擅自修改网络配置致服务器感染勒索病毒25十二、用户名口令被暴力破解感染勒索病毒26挖矿类事件典型案例 28一、官网

3、存在上传漏洞感染挖矿木马29二、误点恶意链接感染挖矿木马30三、软件升级包携带“永恒之蓝下载器”致专网感染挖矿木马 31四、“永恒之蓝下载器”致内网挖矿木马34五、安全防护不到位致终端和服务器感染挖矿木马35六、SSH私钥本地保存致虚拟机感染挖矿木马36七、网站存漏洞致服务器感染挖矿木马37八、服务器使用弱口令导致感染挖矿木马38九、应用服务平台使用弱口令导致感染挖矿木马39十、U盘未管控导致主机感染挖矿木马40蠕虫类事件典型案例 42一、服务器弱口令导致感染蠕虫病毒43二、浏览恶意链接感染蠕虫病毒44三、U盘未合理管控导致感染蠕虫病毒45篡改类事件典型案例 47一、Redis未授权访问漏洞致

4、官网被植入黑链48二、网站WEB漏洞致网站被挂马49三、网站后台程序漏洞致网站被植入黑链50四、Tomcat中间件漏洞致官网被上传博彩页面51五、WeblogicWLS组件漏洞致网页被篡改52六、weblogic反序列化漏洞致网页被篡改53七、官网存在SQL注入漏洞致网页被篡改54八、编辑器漏洞致网站被挂黑页55APT 类事件典型案例 57微信公众号：计算机与网络安全一、APT组织利用弱口令进行攻击58二、APT组织利用白+黑技术进行攻击59三、APT组织利用外泄的账号密码进行攻击60四、APT组织利用钓鱼邮件进行攻击61DDOS 类事件典型案例 63一、某部委遭遇CC攻击64二、某证券公司遭

5、遇DDoS攻击65漏洞利用类事件典型案例 66一、内网防护不到位致大量主机失陷67二、网站存在任意文件上传漏洞，致多台主机沦陷68三、服务器因SQL注入漏洞被攻陷69四、机顶盒配置不当致堡垒机被攻陷70五、公网应用平台因Shiro反序列化漏洞被攻击71钓鱼邮件类事件典型案例 73一、利用钓鱼邮件，伪造打款信息74二、破解管理员弱密码，发起钓鱼邮件攻击75三、下载破解软件，导致内网终端自动发送恶意邮件76数据泄露类事件典型案例 78一、账号信息上传公网，致内网20多台机器受感染79二、系统漏洞造成数据泄露80僵尸网络类事件典型案例 82一、安全设备弱口令致内网被僵尸网络控制83附录 1 85附录

6、 2 86微信公众号：计算机与网络安全典型案例集（2021）网络安全应急响应67网络安全应急响应形势综述网络安全应急响应形势综述2021 年 16 月，奇安信集团安服团队共参与和处置了全国范围内 590起网络安全应急响应事件，第一时间协助政企机构处理安全事故，确保了政企机构门户网站、数据库和重要业务系统的持续安全稳定运行。2021 年上半年应急响应服务月度统计情况具体如下：2021 年上半年，奇安信安服共处置应急响应事件 590 起，投入工时为3964.5 小时，折合 495.6 人天。（2021 年 4 月为全国实战攻防演习期间，应急数量大幅增加。）图 1-1：大中型政企机构应急响应服务走势