2022年上半年 网络安全应急响应 分析报告 奇安信安服团队 2022年7月 主要观点  2022年上半年，奇安信集团安服团队共接到应急服务需求 479起。政府部门、医疗 卫生行业和事业单位的业务专网是 2022年上半年攻击者攻击的主要目标 。  2022年上半年 ，仅有不到五分之一的 政企机构通过安全运营巡检发现攻击事件。 有 77%的企业是在已经发生重大安全事故后才寻求应急响应 ，但此时往往已对机构造 成了一定的影响和重大的损失。  2022年上半年，由于木马病毒攻击导致服务器、数据库失陷的应急响应事件近半， 大中型政企机构应更清楚地认识到木马病毒对我们的服务器、数据库所造成的严重 损害，加强内部网络安全建设，针对多变种勒索病毒、挖矿木马以及随时可能出现 的新型病毒制定完善的应急方案和安全防护措施，将应急响应常态化。  2022年上半年 应急响应安全事件中， 除病毒攻击和木马攻击外，攻击者利用漏洞攻 击主机、服务器的事件占比近三分之一。弱口令、永恒之蓝漏 洞和服务器漏洞等常 规漏洞成为攻击者攻击的主要突破口，这往往也最容易被大中型政企机构忽视 。  2022年上半年 ，近五分之一的应急响应安全事件是由于企业内部违规操作导致的 。 员工为方便工作，使用 弱口令、高危端口 暴露公网等导致勒索病毒蔓延、数据泄露 甚至服务器失陷 的事件屡见不鲜 。由此可见， 大中型政企机构 加大力度提升内部员 工网络安全防范意识至关重要 。 摘 要  2022年上半年 奇安信集团安服团队共参与和处置了全国范围内 479起网络安全应 急响应事件。  2022年上半年 应急响应处置事件行业 TOP3分别为：政府部门 （103起） 、医疗卫生 行业 （55起） 以及事业单位 （ 42起） ， 事件处置数分别占应急处置所有行业的 21.5%、 11.5%、8.8%。  2022年上半年 奇安信安服团队参与处置的所有大中型政企机构的网络安全应急响 应事件中，由行业单位自行发现的安全攻击事件占 95.4%，其中有 43.6%的政企机 构是在遭受勒索攻击后才发现系统被攻击； 而另有 4.6%的安全攻击事件则是由监管 机构及第三方平台通报得知。  2022年上半年 应急响应事件的影响范围主要集中在业务专网，占比 63.5%；办公网 占比36.5%。  2022年上半年 应急响应事件中，攻击者对系统的攻击所产生的影响主要表现为生 产效率低下、数据丢失、数据 泄露。  2022年上半年 应急响应事件中，黑产活动、敲诈勒索仍然是攻击者攻击大中型政 企机构的主要原因。  2022年上半年 大中型政企机构安全事件攻击类型，排名前三的类型分别是：恶意 程序，占比 42.2%；漏洞利用，占比 30.7%；钓鱼邮件 ，占比6.1%。  2022年上半年 应急响应事件中，弱口令、永恒之蓝漏洞仍是大中型政企机构被攻 陷的重要原因。 本报告所有分析数据来源于奇安信安服 上半年的479次应急响应数据整理，可能 存在一定的局限性，报告结论和观点仅供用户参考。 关键词： 应急响应、安全服务、弱口令、敲诈勒索、漏洞利用 目 录 第一章 2022年上半年应急 ................................ ................................ ........... 1 第二章 应急响应事件受害者分析 ................................ ................................ .. 2 一、 行业现状分析 ................................ ................................ .................... 2 二、 事件发现分析 ................................ ................................ .................... 2 三、 影响范围分析 ................................ ................................ .................... 3 四、 攻击影响分析 ................................ ................................ .................... 4 第三章 应急响应事件攻击者分析 ................................ ................................ .. 5 一、 攻击意图分析 ................................ ................................ .................... 5 二、 攻击类型分析 ................................ ................................ .................... 5 三、 恶意程序分析 ................................ ................................ .................... 6 四、 漏洞利用分析 ................................ ................................ .................... 7 第四章 应急响应典型案例分析 ................................ ................................ ..... 9 一、 交通运输行业某客户遭遇恶意邮件传播应急事件处置 ....................... 9 二、 互联网行业某客户感染 Hive勒索病毒应急事件处置 ....................... 10 三、 某科研机构员工被社工攻击，致现场多台服务器失陷应急事件处置 11 四、 政府单位某客户感染僵尸网络病毒应急事件处置 ............................ 12 五、 运营商行业某客户恶意外连应急事件处置 ................................ ....... 14 附录1 奇安信集团安服团队 ................................ ................................ ........... 16 © 奇安信集团 第 1 页，共 16 页 第一章 2022年上半年应急 2022年1-6月，奇安信集团安服团队共参与和处置了全国范围内 479起网络安全 应急响应事件，第一时间协助政企机构处理安全事故，确保了政企机构门户网站、数据 库和重要业务系统的持续安全稳定运行。 2022年上半年应急响应服务月度统计情况具体如下： 2022年上半年， 奇安信安服共处置应急响应事件 479起， 投入工时为 3844.6小时， 折合480.6人天。 © 奇安信集团 第 2 页，共 16 页 第二章 应急响应事件受害者分析 为进一步提高大中型政企机构对突发安全事件的认识和处置能力， 增强政企机构安 全防护意识，对 2022年上半年处置的所有应急响应事件从被攻击角度、受害者行业分 布、攻击事件发 现方式、影响范围以及攻击行为造成的影响几方面进行统计分析，呈现 上半年政企机构内部网络安全现状。 一、 行业现状分析 2022年上半年应急响应处置事件 TOP3的行业分别为，政府部门（ 103起） 、医疗卫 生行业（ 55起） 、事业单位（ 42起） ，事件处置数分别占 2022年上半年应急处置事件的 21.5%、11.5%、8.8%。 大中型政企机构应急响应行业分布 TOP10详见下图： 从行业排名可知， 2022年上半年攻击者的攻击对象主要分布于政府 部门、 医疗卫生 行业和事业单位。 二、 事件发现分析 2022年上半年奇安信安服团队参与处置的所有政企机构网络安全应急响应事件中， 由行业单位自行发现的攻击事件占 95.4%，其中被攻击者勒索后发现的攻击占 43.6%， 发现入侵