网络安全事件应急指南.docx

出品团队：深信服安全应急响应中心

数放据在被暗网售卖

网应络急安指全南事件

EmergencyGuidelinesforCybersecurityIncidents

怎完样整研的判溯攻源击链痕是迹什？么

深信服安全应急响应中心，总结

????全年????+起应急事件的处置经验

选取典型行业中?大场景、??个真实案例展开详细剖析

囊括数据泄露、勒索、主机病毒、网页暗链、APT、Web入侵?大场景类型

盘点????-????年?大行业热点网络安全事件

凝聚成一套实践有效、全流程可复用的

应急实操战术参考

你黑成客为用肉你鸡的了资吗源？做了什么

导读

在这个信息技术日新月异的时代，网络攻击手段的复杂性与日俱增，安全威胁层出不穷，给企事业单位的安全防护能力带来了前所未有的挑战。深信服安全应急响应中心（以下简称“应急响应中心”）编写了《网络安全事件应急指南》，旨在提供一套全面、系统的网络安全事件应急响应处置的思路框架和操作指南。我们希望这不仅是一份指南，更是大家在网络战场上的应急战术参考手册。

网络安全应急响应，通常是指一个组织在特定网络和系统面临或已经遭受突然攻击行为时，进行快速应急反应，提出并实施应急方案的过程。根据国际范围内较为通用的应急事件处理PDCERF方法学，应急响应分为准备、检测、抑制、根除、恢复、跟进6个阶段的工作。

在实际操作中，网络安全事件应急响应处置是一项综合性工作，它不仅涉及技术层面的对抗，更是对管理能力、人员经验沉淀和应急机制的综合性考验。本报告汇集了应急响应中心多年应急处置经验的精华，以及对必威体育精装版安全威胁事件的深入研究成果。我们将重点探讨在网络安全事件发生后，如何及时发现威胁，并进行高效的响应处置和业务恢复。同时，从业务运行逻辑和攻击者心理洞察等角度出发，帮助安全应急响应人员更高效地处理安全事件，确保业务的连续性和信息资产安全。

2024年，应急响应中心全年共处理3000+起事件，覆盖各个行业、不同业务版块、多种攻击类型。本报告中深入分析了

数据泄露、勒索、主机病毒、网页暗链、APT、Web入侵等6大场景类型中的15起安全事件。通过对真实案例攻击逻辑的深度剖析，我们提供了针对不同类型安全事件的详细解决思路、技术方案，总结出了实践有效的应急响应策略、防护建议，帮助相关人员在面对类似事件时能够高效、精准地应对。

我们期待此报告能够帮助各企事业单位提升对网络安全事件的应对能力，并希望与行业同仁共同探讨和分享网络安全的必威体育精装版技术思路和最佳实践，携手构建起更加坚固的网络安全防线。让我们一起翻开《网络安全事件应急指南》，探索如何在数字世界的风云变幻中，守护我们的网络疆域。

声明：

本报告除明确注明来源的内容以外，数据均来自深信服安全应急响应中心，目的仅为帮助用户及时了解安全事件应急响应的相关内容，仅供参考。本报告中所含内容乃一般性信息，不应被视为任何意义上的决策意见或依据，任何深信服科技股份有限公司的关联机构、附属机构(统称为“深信服股份”)并不因此构成提供任何专业建议或服务。

深信服安全应急响应中心

深信服安全应急响应中心，隶属于深信服科技股份有限公司，是一支专注于数字安全领域的先锋技术团队。该中心以其尖端的技术能力和前瞻性的创新思维，致力于为全球用户构建坚不可摧的网络安全防线。

面对瞬息万变的网络威胁环境，中心能够迅速研发出高度定制化的防御工具，同时通过其集成的智能应急响应平台，实现对前线安全事件的即时响应与高效处置。依托于与深信服安全托管服务（MSS）平台的无缝对接，该中心不仅能够敏捷捕捉并应对用户的必威体育精装版安全需求，更能够以超高标准完成每一次安全事件的处理，为用户提供超越期待的安全防护体验，助力行业迈向更加安全可靠的未来。

录目

数据泄露场景 01

背景简介 01

某用户重要业务数据在暗网论坛被售卖事件 01

某单位因敏感数据泄露被通报事件 04

勒索场景 06

背景简介 06

处置与溯源流程 07

phobos勒索家族通过RDP端口暴破入侵事件 09

mallox勒索家族通过Web应用漏洞入侵事件 11

mallox勒索家族通过MSSQL端口暴破入侵+内网横向事件 13

勒索软件的防御措施 16

主机病毒场景 18

背景简介 18

Linux系统主机病毒案例 18

PwnDNS挖矿软件：一度风靡的恶意软件 18

Mirai僵尸网络家族：活跃时间最长的网络威胁 22

Windows系统主机病毒案例 24

“麻辣香锅”病毒：劫持万千用户浏览器主页的病毒 24

主机病毒的应对策略 31

网页暗链场景 33

背景简介 33

处置与溯源流程 34

某服务行业用户因「IIS恶意模块+UA头部劫持」植入暗链被通报 36