一、DDOS类事件典型案例DDOS攻击,即分布式拒绝服务攻击,其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。CC攻击使用代理服务器向受害服务器发送大量貌似合法的请求(通常为HTTP GET),通常会导致网站出现了无法进行操作的情况,不仅仅影响了用户的正常使用,同时造成的经济损失也是非常大的。 1.某部委遭遇CC攻击(一) 事件概述某日,安全团队接到某部委的网站安全应急响应请求,网站存在动态页面访问异常缓慢现象,但静态页面访问正常,同时WAF、DDoS设备出现告警信息。 应急响应人员通过对现场技术人员所提供WAF告警日志、DDoS设备日志、Web访问日志等数据进行分析,发现外部对网站的某个动态页面全天的访问量多达12万次,从而导致动态页面访问缓慢。 根据本次攻击事件的分析,造成网站动态页面访问缓慢的原因主要是攻击者频繁请求“XXX页面”的功能,同时该页面查询过程中并未要求输入验证码信息,大量频繁的HTTP请求以及数据库查询请求导致CC攻击,从而使服务器处理压力过大,最终导致页面访问缓慢。 (二) 防护建议
2.某证券公司遭遇DDoS攻击(一) 事件概述某日,安全团队接到某省网安的应急响应请求,本地证券公司在10日7:00-8:00遭受1G流量的DDoS攻击,整个攻击过程持续了1个小时,造成证券公司网站无法正常访问。同时,多个邮箱收到勒索邮件,并宣称如不尽快交钱会把攻击流量增加到1T。 应急响应人员通过利用对网站域名进行分析,发现了Top10 IP地址对被攻击地址进行了DDoS攻击,并发现其攻击类型为NTP反射放大攻击。通过后端大数据综合分析,准确定位了攻击者的真实IP地址。 (二) 防护建议
二、僵尸网络类事件典型案例僵尸网络是指采用一种或多种传播手段,将大量主机感染病毒,从而控制被感染主机,形成可一对多控制的僵尸网络。近几年的应急中,也不乏合法网站被僵尸网络侵害的案例。攻击者通常利用漏洞攻击、口令暴破或邮件病毒等方式发起攻击,在内网中进行窃取信息、发起DDOS攻击或僵尸网络挖矿等行为,使网络安全受到严重威胁,危害巨大。 1. 安全设备弱口令致内网被僵尸网络控制(一) 事件概述某日,安全应急响应团队接到某大学僵尸网络事件的应急请求,现场多台终端发现疑似黑客活动迹象,重要网站系统遭到黑客攻击,无法正常运行。 应急响应人员通过对重要网站系统进行排查分析,发现该业务系统存在大量IPC暴破登录行为,内网多台主机被多次登录成功,且存在数个僵尸网络远控IP登录行为,其中,某一控制端存在大量国外IP连接行为。同时,应急人员发现其网站运维管理审计系统暴露于公网,并存在弱口令现象,攻击者通过该系统可取得大量服务器的控制权限,且很多敏感安全设备均暴露在公网上,包括WEB应用防火墙、日志中心、漏洞扫描系统、超级终端等。攻击者通过暴露于公网的审计系统弱口令暴破登录进入内网,并以此为跳板,对内网多台服务器、主机进行暴破、投毒并进行横向扩散,组成僵尸网络。 (二) 防护建议
三、数据泄露类事件典型案例数据泄露指将机密信息、私人信息或其他敏感信息发布到不安全的环境中。数据泄露分为外部泄露和内部泄露两种,外部泄露典型如攻击者通过漏洞利用等方式获取了主机账号密码进行的数据窃取,内部泄露典型如员工安全意识薄弱将敏感信息上传至公网、使用带病毒的U盘或非正规的软件导致的数据泄露。数据泄露会导致敏感信息以及重要信息的外泄,一旦被不法分子所利用,造成的危害是非常严重的。 1. 账号信息上传公网,致内网20多台机器受感染(一) 事件概述某日,安全团队接到某运输公司应急请求,该公司通过天眼发现存在服务器失陷的危急告警。 应急人员通过分析天眼发现,该公司内部环境中20余台服务器出现失陷告警,其中两台重要服务器上发现被植入后门,服务器已沦陷,同时多台服务器上均发现Frp代理、CobaltStrike上线脚本与漏洞利用工具使用痕迹,攻击者正在通过Frp代理对内网服务器进行SQL注入漏洞攻击。 通过人工排查,发现该公司内部某员工上传敏感信息到GitHub中,导致敏感数据泄露,攻击者利用该员工账号登录VPN对该公司某重要服务器发起攻击,并利用Redis未授权访问漏洞获得权限,上传Frp代理工具、MS17-010等漏洞利用工具,进行内网横向渗透,成功攻下内网服务器、主机20余台,并利用已攻陷机器在内网中进行横向攻击。 (二) 防护建议
2. 系统漏洞造成数据泄露(一) 事件概述某日,安全应急响应团队接到某市医药公司应急请求,公司DMZ服务器区出口地址存在外连行为。 应急人员排查分析,发现对外攻击的IP为该公司内网某系统的出口地址,因该系统供应商要求对系统进行远程维护,特将服务器的3389端口映射到出口地址的3389端口。通过对IPS、负载均衡、防火墙以及服务器系统日志进行分析排查,发现内网某系统存在多个地区和国家的IP通过3389端口远程登录记录和木马文件。对该服务器系统部署文件进行排查,发现此服务器存在任意文件写入漏洞,并且发现两个Webshell后门。文章来源:https://www.toymoban.com/news/detail-691348.html 经分析研判最终确定,攻击者通过内网某系统映射在公网的3389端口进行远程登录,并上传Webshell后门1,用于执行系统命令;利用该系统任意文件写入漏洞,上传Webshell后门2,用于上传任意文件,写入恶意木马文件,对外网发起异常连接,进行数据传输。文章来源地址https://www.toymoban.com/news/detail-691348.html (二) 防护建议
|
到了这里,关于网络安全应急响应典型案例-(DDOS类、僵尸网络类、数据泄露类)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
