-
1 情景案例
-
2 项目分析
交通运输行业某客户遭遇恶意邮件传播应急事件
2022年1月,奇安信安服团队接到交通运输行业某客户应急响应求助,公司Exchange服务器出现发送恶意邮件行为,希望对该事件进行分析排查处理。应急人员抵达现场后对部署在外网的Exchange服务器进行排查,根据发送失败的恶意邮件内容,成功定位攻击源IP(x.x.x.114),通过威胁情报查询确认IP(x.x.x.114)为恶意IP。应急人员对Exchange服务器的IIS日志进行分析发现,存在大量ProxyShell漏洞(CVE-2021-34473、CVE-2021-31207、CVE-2021-34523)利用痕迹,继续跟踪发现,存在SSRF漏洞探测并利用成功记录。攻击者通过SSRF漏洞获取用户信息后,利用ProxyShell漏洞上传Webshell木马获取Exchange服务器权限,从而向其他邮箱账户发送大量恶意邮件。
经过一系列排查分析,应急人员确认本次事件是由于客户部署在外网的Exchange服务器存在SSRF漏洞,且未安装ProxyShell漏洞相关补丁,从而被攻击者利用,造成本次事件的发生。
防护建议
及时对服务器安装漏洞补丁,部署服务器安全防护系统;
邮件系统等高价值系统不要对外网开放,建议使用VPN,如业务需要开放外网则建议部署云WAF;
建议安装相应的防病毒软件,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器上的病毒清除能力;
不要打开陌生人或来历不明的邮件,防止通过邮件附件的攻击,建议部署邮件威胁检测设备,有效检测钓鱼邮件、病毒邮件;
加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。
案例链接:https://blog.csdn.net/glb111/article/details/130021065
网络安全你、我、他
入侵检测与防御是网络安全的关键,主要目的是发现并阻止威胁。基本概念是监视网络或系统活动,识别违反安全策略的行为。分误用检测和异常检测两种原理。系统类型包括网络入侵检测(NIDS)和主机入侵检测(HIDS)。入侵防御系统(IPS)能自动阻断威胁,实现实时监测、识别、拦截和日志记录。它们的重要性在于及时发现威胁、主动防御并提高安全性。但面临加密流量处理、零日攻击防御和误报漏报等挑战。总之,入侵检测与防御是网络安全的重要保障,需不断应对新挑战。
