微步在线2019安全应急响应年报

m o h t i g b u c . 5 摘要随着技术的发展和产业的升级，网络空间的威胁也愈加复杂。万物互联时代的临近，使网络空间与现实的边界愈加模糊，网络攻击也将更加广泛。在网络空间中，有组织有计划的网络攻击愈发常见，这其中包含 APT 攻击和趋利的灰黑产攻击，究其目的，无非获利、窃取情报、窃取敏感资料、监控和破坏等。本报告是基于微步情报局（即微步在线研究响应团队）2019 年全年对数百家客户的近千次应急响应总结得来。我们期望通过我们的总结分析，能够为各个行业/企业/单位开展后续安全建设提供进一步的参考建议。 m o 本报告的主要内容如下：第一部分，我们将介绍 2019 年整体应急响应概况，总结主要的被攻击行业、主要的威胁类型以及典型 c . 5 的威胁事件/团伙。第二、三部分，我们将介绍微步在线的典型应急响应流程及其常用的取证、分析工具，希望能够给企业在处理应急响应事件时提供参考。 b u 第四部分，我们将基于危害、影响范围等标准，具体分析部分典型入侵事件及其响应过程细节。 h t i g 第五部分，关于本报告的总结及威胁情报在应急响应中发挥的价值。附录部分，简要介绍了微步在线负责应急响应的团队-微步情报局以及微步在线的 MDR 服务。目录摘要 ...................................................................................................................................................................................... 2 一、微步在线 2019 年应急响应概况 ........................................................................................................................ 5 1. 主要受害者/行业现状 ......................................................................................................................................... 5 2. 应急响应事件 ...................................................................................................................................................... 6 3. 典型威胁 .............................................................................................................................................................. 8 1) 驱动人生后门事件 ......................................................................................................................................... 8 2) 商业 APT 间谍组织 BlackTech...................................................................................................................... 9 3) APT 组织 PassCV ............................................................................................................................................ 9 4) OldFox 团伙 ................................................................................................................................................... 10 二、微步在线应急响应流程 .................................................................................................................................... 11 事件响应（准备工作） .................................................................................................................................... 11 2. 取证分析（内部分析排查） ............................................................................................................................ 12 3. 事件处置（处置方案） .................................................................................................................................... 12 4. 事件追踪（外部分析溯源） ............................................................................................................................ 12 三、四、 m o 1. c . 5 应急响应兵器谱 ................................................................................................................................................ 14 1. 主要工具 ............................................................................................................................................................ 14 2. 辅助工具（在线） ............................................................................................................................................ 15 3. 系统工具 ............................................................................................................................................................ 16 b u 应急响应典型案例 ............................................................................................................................................ 18 h t i g 案例一：某大型金融企业核心交易部门 APT 攻击事件 ....................................................................................... 18 一、概要 ............................................................................................................................................................ 18 二、应急响应详情............................................................................................................................................. 19 三、处置建议 .................................................................................................................................................... 20 案例二：某大型券商数十台机器被勒索木马攻击事件 ......................................................................................... 21 一、概要 ............................................................................................................................................................ 21 二、应急响应详情....................