一、服務簡介

恒天安全工程團隊主要為國內外客戶提供Web系統安全評估,高級滲透測試,緊急安全響應等服務以及自動化安全測試系統等服務。團隊擁有中國合格評定國家認可委員會(CNAS)的實驗室認可證書,團隊安全專家已獲得CISP(信息安全人員國家級最高資質),CIIP-A(國家信息安全等級保護認證)等資質。

二、服務內容

1.服務
1.1 滲透測試

【功能】

依據權威的國際和國內安全測試標準,基于自動化安全測試系統,輔以高級安全工程師雙重測試保障,采取定制化的安全測試方案,可以對Web、APP、嵌入式系統和區塊鏈相關系統進行安全測試,并生成全方位檢測報告,并根據不同階段的安全現狀提供針對性的修復方案。

【優勢】

  • 權威的審計標準:
    • 國際標準OWASP ASVS
    • 國內標準GB/T34975-2017
  • 豐富的實踐經驗:
    • 項目數量超過300個
  • 標準的審計流程
    • 前期交互——計劃制定——審計執行和回審
  • 持續的安全服務
    • 測試完成后有持續的0 day漏洞預警
    • 部署專業的安全防御系統,時刻監控系統威脅

xitonganquan1 1 1

1.2 安全合規

【功能】

根據國際、國家標準針對專業領域給定的安全規范,為企業定制測試解決方案,協助客戶順利通過官方的標準測試。范圍包括“國家等級保護”、“ISO27001”、“OWASP”、“CNAS” 、“中華人民共和國國家標準(GB)”等。

【優勢】

  • 定制化安全測試方案,確保符合標準規范要求
  • 豐富的跨行業成功案例庫,既有模板標準化流程,高通過率保障。
1.3 緊急安全響應

【功能】

緊急事件快速靈活響應,精準定位系統漏洞,完成系統加固。同時,分析查找入侵者,防止此類事故再次發生。符合國家YDT 1826-2008(網絡安全應急處理小組建設指南),GBT 24363-2009( 信息安全應急響應計劃規范標準規范)等標準規范。

【優勢】

  • 調查事故原因,查找系統漏洞
  • 開發檢測工具,抑制事態惡化
  • 維護公司利益,減少事故損失
  • 分析事故原因,杜絕再次發生

xitonganquan2 2 2

1.4 公司安全管理咨詢

ISO27001咨詢服務根據ISO27001國際標準,從企業實際業務層面出發,提供專業咨詢服務。幫助企業建立專業信息安全管理體系,設立執行層面條款,保障企業信息安全管理可持續落實和執行。

xitonganquan3 3 3

ISMS管理體系流程圖

信息安全貫宣制定專業信息安全貫宣計劃,從安全意識角度分多塊內容,制作月度溫馨提醒,季度刊物宣傳,周期性海報等,從工作環境中對員工的進行潛移默化的影響,提高安全意識。同時,貫宣手段也用于公司內部制度,內部管理要求等宣傳。

信息安全培訓安全培訓包含新人安全制度培訓、員工安全意識培訓、信息安全專題培訓(釣魚郵件介紹,國內外信息安全法規介紹,信息安全熱門案例分析)等。此外,團隊擁有信息安全測試題庫,按課程定制考卷,學員成績直觀反饋安全意識漏洞。

2 解決方案
2.1 勒索病毒專項解決方案

【功能】

通過滲透測試服務查找勒索病毒的攻擊點,并對系統進行整體加固,同時利用白盾防御系統,防止勒索病毒利用0 day漏洞感染目標系統,防測結合,加倍保障。

【優勢】

  • 防測結合。測試查找系統隱藏的漏洞,加固系統。白盾防御保障系統的安全,防止出現0 day漏洞;
  • 100%防御效果。實踐證明,該方案對勒索病毒能夠達到100%的防御;

xitonganquan5 5 4

2.2 自動化安全測試解決方案

【功能】

結合自動化功能測試,采用基于人工智能的分析技術,在系統測試階段,自動化查找和定位系統存在的安全隱患。

【優勢】

  • 與自動化功能測試腳本結合,測試范圍廣
  • 靈活集成各類型安全測試工具,可擴展性強
  • 專門漏掃工具sqlmap
  • 批量驗證工具POC-T
  • 可定制化測試腳本,實現安全的回歸測試

xitonganquan6 6 5

三、案例

1. 滲透測試
1.1 電子商務
案例1

【客戶介紹】

該客戶屬于制造業,主要的產品是白酒。榮列中國企業500強第,連續20余年保持白酒制造業行業第一。恒天與其有著深遠,良好的合作關系,是該客戶的長期合作伙伴。

【項目特點】

電子商務系統是一類以處理訂單交易為核心的系統,這類系統最關鍵的在于交易和用戶個人信息的安全性,五糧液作為其中的代表,其主要的特點如下:

  • 有自身的支付系統,可以進行在線支付,需要確保支付過程的安全性;
  • 用戶種類很多,權限問題需要進行重點排查;
  • 和用戶交互的功能很多,包括文件上傳,修改各類信息等,需要對用戶輸入過濾情況進行審查。

【服務價值】

主要發現的系統漏洞如下:

名稱 過程簡介 影響評分
暴力猜解 可以根據系統提示遍歷已注冊用戶名和同時對登錄接口沒有次數限制,可以暴力猜解用戶密碼。 9.5
修改任意用戶密碼 忘記密碼功能中的驗證碼可以暴力破解,從而可以修改任意注冊用戶的登錄密碼,登錄用戶賬戶,瀏覽用戶信息,執行非法操作等。 9.3
XSS+CSRF 使用XSS獲取token,再進行CSRF攻擊。 9.2
刷驗證碼 驗證碼發送沒有做很好的限制,因此可以大量發送手機短信。給企業帶來通信損失。 8.6
案例2

【客戶介紹】

該客戶是中國500強企業、中國大企業集團競爭力前25強、中國信息化標桿企業、國家重點火炬高新技術企業,并為國家工程技術中心和國家級博士后工作站的常設單位,在寧波、上海、深圳、南昌建立了四大研究院。集團堅持做大做強制造業的產業發展方向,目前在家電行業具有較高市場地位。

【項目特點】

該系統是一類以處理訂單交易為核心的系統,這類系統最關鍵的在于交易和用戶個人信息、銷售信息的安全性,其主要的特點如下:

  • 有自身的支付系統,可以進行在線支付,需要確保支付過程的安全性;
  • 用戶種類很多,權限問題需要進行重點排查;
  • 系統交互的數據繁多,需要對數據的完整性進行審查;

【服務價值】

漏洞名稱 過程簡介 影響評分
XSS過濾不完整 存在至少10處可以注入的功能點 9.5
跨站點請求偽造 可以誘導受害者點擊惡意鏈接 9
文件上傳驗證不全 可以進行OSS攻擊 8.3
SESSION沒有httponly保護 可以被JavaScript竊取并發送到攻擊者服務器 8
密碼明文傳輸和系統組件敏感信息泄露 容易被攻擊者嗅探 7.8
找回密碼處無圖片驗證碼 可以通過猜解用戶刷手機驗證碼 7.3
支持對csv等文件下載 可以通過訪問csv文件爆破敏感數據 7.1
報錯頁面存在堆棧跟蹤 可以推斷代碼執行邏輯,代碼信息泄露 6.5
沒有使用HTTPS傳輸 容易被攻擊者嗅探 6.2
手機驗證碼構造方法不合適 使用了str_shuffle函數生成驗證碼,使猜解范圍從10^6縮減至151200。驗證碼實際等效于5位。 6
使用不安全的接收參數方式 部分代碼使用GET和POST直接接收參數,破壞了框架的安全編碼規則。 5.3
數據庫密碼加密方式過于簡單 直接使用md5加密,一旦被脫庫很容易被破解 5
發送驗證碼處無圖片驗證碼 容易猜解用戶和刷驗證碼 4.8
敏感信息泄露 攻擊者可以利用進行針對性攻擊 4
文件上傳驗證不全 可以上傳HTML文件導致OSS問題 4
1.2 金融交易
案例1

【客戶介紹】

該以“服務實體經濟”為根本宗旨,為實體經濟在生產供應銷售等環節提供多維金融關懷,在社會產能緯度內提供全方位服務,解決企業個人資融資所需。它的融資系統對安全性的要求非常高。

【系統特點】

互聯網金融是對安全性要求很高的一類系統,該企業作為其代表有以下特點:

  • 涉及大量用戶機密信息,包括銀行卡,身份證和營業執照等,需要對可能泄露數據庫數據的漏洞進行嚴格審計。典型的像各種注入漏洞;
  • 用戶種類繁雜,各類操作權限管理是系統安全的一個重大隱患,需要對權限漏洞進行深入挖掘;
  • 用戶可控的輸入有很多,需要對輸入過濾情況進行嚴格審計,防止出現跨站點腳本注入之類的漏洞。

【服務價值】

主要發現的漏洞如下:

洞類型 風險描述 影響評分
SQL注入 應用系統輸入未進行過濾 9.6
XSS 應用系統輸入未進行過濾 9.0
潛在的文件上傳漏洞 可上傳惡意文件 8.9
Web應用程序源代碼泄露 可能會檢索服務器端腳本的源代碼,這可能會泄露應用程序邏輯及其他諸如用戶名和密碼之類的敏感信息 8.5
用戶信息未加密傳輸 應用系統數據未加密,可見明文密碼,用戶名等 7.9
Session無Http-Only保護 結合XSS即可盜取Session,從而免用戶名和密碼登錄 7.6
Session分配邏輯錯誤 同一臺機子,用戶重新登錄Session未變,可造成盜取特定用戶賬號 7.2
案例2

【客戶簡介】

該客戶是中國大陸兩所證券交易所之一。經過多年的持續發展,該客戶已成為中國內地首屈一指的市場,上市公司數、上市股票數、市價總值、流通市值、證券成交總額、股票成交金額和國債成交金額等各項指標均居首位。

【項目特點】

擁有iOS端、Android端和Web管理端三個終端,作為典型的交易系統,該系統擁有以下特點:

  • 超高頻的資金交易指令,數據傳輸頻率高。
  • 作為交易系統,傳輸的數據需要擁有安全性,隱蔽性,及防篡改性。

【服務價值】

名稱 過程簡介 影響評分
無反編譯保護 代碼可以被反編譯查看,并進行修改 9.0
Activity界面劫持 可以造成登陸釣魚等界面劫持攻擊 9.5
無應用完整性檢測 結合反編譯可以修改代碼并重新打包插入惡意代碼片段 9.5
會話長時間未過期 有惡意操作風險 8.4
無賬戶鎖定策略 易遭到暴力破解 8.7
無證書校驗 存在遭到中間人攻擊的風險,通信數據包易被截獲 8.8
軟鍵盤未隨機分布 調用系統鍵盤在輸入敏感信息時有被監聽的風險 7.5
無鍵盤輸入防截屏 在輸入敏感信息時存在屏幕截獲風險 7.2
無界面切換保護 存在非本人操作信息泄露風險 7.2

案例3

【客戶簡介】

該客戶是一家專注智能投資的企業。公司旨在以智能驅動量化策略,立志用“量化”+“機器學習”優化投資模型,建立全新投資規則。旗下的智語良投APP用數學和統計模型來研究市場、驗證策略以及實盤買賣的量化投資,和擁有強大的數據分析、擬合、預測能力的計算機相結合,構建智能化投資策略。

【項目特點】

系統是一個典型的移動端應用,其安全性的需求具有以下特點:

  • 代碼的安全性。是否可以進行逆向工程,進行反編譯,獲取程序源代碼;
  • 由于是一款重點在提供投資策略的APP,應該高度重視其數據安全,防止數據泄露, 避免目錄遍歷漏洞;
  • 由于該系統會進行大量的數據分析,也重視用戶輸入的數據,嘗試輸入各種臟數據,觀察系統是否會崩潰,同時,嘗試輸入惡意字符,包括命令注入,SQL注入等,觀察系統是否會暴露敏感信息;

【服務價值】

名稱 過程簡介 影響評分
重置任意用戶密碼 攻擊依賴于兩個漏洞:可以猜解用戶手機號。所有帶有手機號的請求都可以使用腳本猜解該手機號是否存在;

驗證碼直接出現在請求驗證碼的回復中。知道手機號就可以重置該用戶密碼。

10.0
可以刷驗證碼 在注冊頁面,手機驗證碼發送前沒有圖片驗證碼識別,導致可以通過更改手機號大量發送驗證碼。 9.6
部分關鍵操作功能缺失 由于系統識別用戶的標志是個人手機號,所以通過修改手機號可以“幫助”別人試用某些策略。 9.3
基礎設施配置不合理 生產環境中MySQL密碼是123456,同時,沒有限制IP地址的連接,應該只對部分用戶開放連接;性能測試和功能測試的遠程桌面和數據庫用戶名和密碼與生產環境一樣。 8.7
生產環境部署存在隱患 主要有兩個方面:Web服務器允許目錄遍歷;

生產環境提供了各個接口的幫助頁面。

8.5

1.3 在線教育

【客戶介紹】

該客戶是一家專業從事在線教育自主研發的互聯網公司。公司專注K12領域,為中國的學生、家長及老師提供基于在線題庫、線上作業以及專項測評等系統功能的互聯網學習產品。

【項目特點】

在線教育系統主要的特點在于其與客戶(尤其是學生)之間有大量的交互,同時,不同用戶之間,比如老師和學生也有大量的交互。通關教育作為其代表有以下特征:

  • 在線教育的自身特性決定著其存在大量的輸入框,尤其是試題解答部分。這部分的輸入框可能會由于過濾不嚴格帶來注入攻擊。典型的就是跨站點腳本注入;
  • 系統有其自身的支付系統,包括自定義的虛擬貨幣“通關卡”,對于這類貨幣的保護是系統安全的很關鍵部分,應該重點放在卡被非法盜取上。同時,該卡還有“轉贈”的功能,對于該過程的安全性檢測也是必不可少的;
  • 系統不同用戶之間存在頻繁的交互,包括老師和學生之間私信和試卷,學生,老師和管理員之間的私信。需要保證該交互過程中不能出現破壞或盜取對方信息的漏洞。

【服務價值】

主要發現的漏洞如下:

漏洞類型 風險描述 風險等級
CSRF跨站點請求偽造 應用系統對關鍵的操作未進行token保護 9.1
暴力破解和DOS攻擊 登陸過程可以進行暴力破解和DOS攻擊 9.0
反射型XSS 應用系統輸入未進行過濾 8.6
未使用https 用戶名密碼明文傳輸 7.4
部分異常的報錯 存在部分錯誤頁面報錯信息過于詳細 7.1
數據驗證不全面 部分數據,如用戶名和密碼,系統只進行了前端驗證 6.4
登出重新登錄功能未實現 用戶退出后并未銷毀用戶的session信息 5.6
密碼設置過于簡單 只允許用戶以6位數字為密碼 4.3

1.4 門戶網站

【客戶介紹】

該客戶是一家國際領先的科技公司。

【項目特點】

門戶網站是一個企業的標志,它有著宣傳企業文化,介紹企業產品和服務的作用,對企業的發展有著非常大的影響。因此其安全性的重要不言而喻。該網站作為代表具有以下特征:

  • 開源系統在此類網站中占有很大份額,常見的一般是WordPress。因此對于這類開源系統的公開漏洞是安全審計很重要的一部分;
  • 系統存在管理員賬戶,可以管理系統中的文章和新聞,對于管理員信息的保護也是安全測試的重點之一;
  • 為方便系統管理,往往管理員會啟用相關的插件,而插件的安全性并不一定能夠有保障。保證系統使用的第三方插件的安全性也是保障系統安全的關鍵。

【服務價值】

名稱 過程簡介 影響評分
存儲型跨站腳本攻擊 字符過濾不嚴格,可以進行存儲型XSS攻擊 9.1
反射型跨站腳本攻擊 字符過濾不嚴格,可以進行反射型XSS攻擊 8.4
部分服務版本存在漏洞 測試環境下的Vsftpd和Openssh存在漏洞 7.1
Cookie屬性設置不到位 沒有支持HTTP only和secure 6.9
部分URL中帶有不應含有的參數 部分URL中帶有了add和userid等可以暴露操作的信息 6.4
權限漏洞&目錄遍歷 普通用戶訪問一些內部的資源,如.htaccess文件 5.3
瀏覽器緩存標志位設置 建議盡量做到無緩存 5.0
弱密碼機制 創建用戶時可以使用弱密碼1111 4.9
不全面的服務配置 對于php 的fastcgi配置路徑和圖片路徑較大;對特殊后綴名的文件沒有進行訪問的限制,如tar;404等錯誤頁面暴露系統信息 4.7
沒有全站使用HTTPS協議 外部頁面沒有使用HTTPS安全傳輸協議 2.3

?

1.5 醫療衛生

【客戶簡介】

該客戶自2002年涉足醫療產業,是國內醫療服務行業較早的社會資本辦醫企業之一,在十余年的發展歷程中一直積極探索民營資本辦醫的特色道路,始終專注于為社會大眾提供優質的醫療服務。 目前,該客戶已在全國運營或籌建了14家醫療機構,包括4家綜合醫院、10家專科醫院,合計開放床位1800余張。

【項目特點】

該系統是一個醫療產品采購平臺,涉及較多的資金交易,所以該系統安全的重要性不言而喻。該系統的特點如下:

  • 角色復雜,不同角色之間的權限不同,需要排查水平權限與垂直權限的問題;
  • 有交易功能,需要對交易過程中資金的安全性做測試;

【服務價值】

名稱 過程簡介 影響評分
本地文件包含 可以得到服務器的賬號密碼從而控制服務器和服務器,也可以在服務器上掛木馬,感染訪問的用戶,獲取機密信息 9.5
目錄遍歷測試 能刪除整個數據庫,也能任意造數據,可以得到class代碼及相關機密信息 9.5
任意文件下載 可以遍歷數據庫中某些數據表的所有數據 9.0
跨站請求偽造 攻擊者可以利用該漏洞獲取用戶賬號信息,從而對系統進行惡意操作 9.0
跨權限操作 例如采購員能非法獲取所有藥品的價格信息;普通用戶能得到管理員的權限 8.5
敏感信息泄露 該接口返回了密碼信息,通過md5解密,可以直接獲得所有用戶的賬號與密碼 8.0
傳輸加密 通過網絡嗅探能直接截獲敏感信息 8.0
未重置登陸驗證碼 可以偽裝成受害用戶,進行非法操作 6.5
會話標識未更新 可以偽裝成受害用戶,進行非法操作 6.5
未開啟登陸驗證 允許攻擊者進行爆破攻擊 6.5
弱密碼修改 密碼過于簡單,容易被猜解 6.0
不安全的會話過期機制 SESSION不及時過期,給攻擊者創造攻擊機會 5.5
弱密碼重置 建議默認密碼增加復雜度例如隨機6位數字,字母混合 5.0

?

1.6 售后系統

【客戶簡介】

該公司是國內某知名家電龍頭企業之一。

【項目特點】

現代企業的業務復雜而龐大影響極其復雜,該客戶作為現代企業的代表為了適應日益增長的業務需要開發了一套先進的售后的系統。為驗證該售后系統的服務環境是否具備基本的安全性以及防御能力,委托我方對該系統的服務器部署環境進行了一次多方面的滲透測試。該系統有以下特征:

  • 支持多種訪問信道。系統存在移動端和web端,各個系統相輔相成,有共有部分也有各自特色;
  • 系統角色復雜。系統用戶種類繁多,基本用戶包括顧客和管理員,同時,管理員又可以自定義各種權限的用戶,用戶權限控制是很關鍵的部分;
  • 業務邏輯復雜,為實現復雜的功能使用了多種框架和技術,各種框架技術的耦合是否會帶來安全風險是重要的一環。

【服務價值】

名稱 過程簡介 影響評分
非預期類型文件上傳 通過修改請求中的文件地址上傳木馬文件, 感染下載木馬的企業用戶。 9.5
惡意文件上傳 通過上傳后門程序,控制了整個服務器及數據庫,該漏洞能給企業帶來不可挽回的經濟損失。 9.5
跨域資源共享 誘導用戶點擊惡意鏈接獲取用戶cookie,偽裝成用戶進行非法操作。 9.3
水平權限 允許跨權限操作,可以獲取其它用戶的敏感信息。 8.0
未使用HTTPS協議 請求中的數據能被嗅探。 7.5
敏感信息通過未加密信道 敏感信息明文傳輸。 7.5
portal賬號枚舉 登錄沒有驗證,可以枚舉用戶賬號,破解系統。 7.1
會話超時后認證信息未失效 Session不及時過期容易給攻擊者創造攻擊機會。 6.8
登出后認證信息未失效 過期Session會被惡意利用。 6.8
無鎖定機制 登錄沒有錯誤鎖定,可以枚舉用戶賬號 4.5
弱SSL/TLS算法及傳輸層保護不足 傳輸的信息容易被破解,并加以利用。 3.5

?

1.7 地產集團

【客戶簡介】

該客戶經過多年的發展和積淀,現已成長為國內多業態、綜合型的地產商,涉及超高層建筑、城市綜合體、精品住宅、產業園區地產等多業態開發。

目前,該客戶已在華東、華北、華中、環渤海灣、長江經濟帶等戰略區域十余座城市40個項目聯動布局,并逐漸推進澳洲、加拿大等海外地產的布局。

【項目特點】

地產系統是一類以處理訂單交易為核心的系統,這類系統最關鍵的在于交易和用戶個人信息、銷售信息的安全性,該地產作為其中的代表,其主要的特點如下:

  • 網絡拓撲復雜,系統由多個節點組成,每個節點負責不同的業務處理;
  • 系統交互較多,包括文件上傳,修改各類信息等,需要對用戶輸入過濾情況、輸出編碼情況進行審查。

【服務價值】

名稱 過程簡介 影響評分
存儲式xss注入 系統存在兩處xss漏洞注入點,能獲取用戶的會話信息 9.5
惡意文件上傳 ?通過上傳后門程序控制整個文件服務器,能對文件服務器執行任意操作,例如刪除文件,下載文件等 9.5
敏感信息未加密 密碼等敏感信息未加密,存在兩處密碼未加密。 8.6
權限控制 普通用戶能訪問管理員的接口。 8.1
會話不及時過期 用戶登出后token沒有及時失效,通過注銷用戶的token成功發起請求。 8.0
賬戶枚舉、密碼爆破 登錄沒有鎖定機制也沒有驗證碼功能,能進行暴力攻擊。 7.8
弱密碼變更 管理員用戶可以在系統管理中修改用戶密碼,無密碼復雜度限制,用戶自行修改密碼也沒有復雜度限制。 7.5
數據完整性 系統傳遞過多的無用數據,且傳遞的數據均寫入數據庫,在對請求嘗試攔截修改信息時,成功修改不應該修改的信息。 7.4
堆棧跟蹤 任意一個請求嘗試攔截注入錯誤信息,點擊詳情,存在堆棧跟蹤安全問題,攻擊者可以根據錯誤信息定位系統組件存在的漏洞,從而進行針對性的攻擊。 2.5

?

1.8 鐵路系統

【客戶簡介】

該客戶是中國鐵路總公司管理的大型鐵路運輸企業的18個局之一。是中國鐵路總公司下屬的特大型運輸企業,管轄范圍跨江,浙,滬,皖,三省一市。

【項目特點】

眾所周知,鐵路系統龐大而復雜,涉及各種調度系統、運營系統以及其他相關子系統,在實時性、準確性、安全性上的要求極其嚴格,而其中的安全性作為重中之重,又體現多在方面,包括數據安全、交易安全、支付安全等,此類系統的其主要特點如下:

  • 業務系統龐雜,代碼行數多,代碼審計層面需要找準審計點,針對漏洞收集,做到不遺漏,不重復。
  • 各子業務系統之間存在交互,邊界安全難以保證。
  • 數據極其敏感,在數據傳輸,數據存儲方面需要重點審核。

【服務價值】

名稱 過程簡介 影響評分
SQL注入 可以獲取系統全部項目的信息,上傳后門控制服務器。掛馬,挖礦攻擊系統所有的合法用戶。 9.5
CSRF 可以使用釣魚的方法誘導管理員刪除機密信息,新增系統用戶,從而進一步危害整個系統。 9.5
SESSION沒有httponly屬性 可以發送到其它域,從而攻擊者能夠冒用戶身份登錄。竊取機密信息。 7.5
SESSION沒有Secure屬性 允許系統通過HTTP協議傳輸SESSION,容易被攻擊者嗅探,從而冒名登錄,進行非法操作。 7.5

?

2. 緊急安全響應
2.1 威脅勒索事件

【事件描述】

某軟件公司程序員的電腦中某個目錄下所有的代碼文件,均被惡意加密為后綴名為.zepto的不可執行文件,而且源代碼文件還沒有備份,只有向攻擊者指定的賬戶內轉去指定的贖金才可以獲取解密密碼,重獲源代碼文件。

【事件處理】

針對此次惡意勒索攻擊事件,安全組采用以下方式解決:

1.將受害者電腦立即斷網,對該用戶進行修改密碼,暫時撤銷用戶權限等操作,防止病毒進一步傳播;

2.采集攻擊指紋,編寫測試腳本,確定整個公司受害者的數量,并及時加以控制;

3.追根溯源,尋找證據,確定勒索病毒的來源、起因以及傳播過程;

4.制定規范,提醒所有公司員工對安全的重視,防止類似威脅的二次發生。

【最終效果】

  1. 找到了公司全部受害者(5名),確定了其中一名為最初傳染源;
  2. 確定了病毒傳播的方式。首先攻擊者使用郵件的方式發送惡意的附件誘導第一個受害者點擊,受害者點擊后,該惡意程序釋放出惡意的代碼,代碼首先對該電腦所有文件進行加密,然后掃描局域網內所有可讀可寫的文件夾,對文件夾下的文件進行加密;
  3. 找到了公司系統的漏洞:共享文件夾權限設置不合理。提出針對性的修補建議:加強對員工新建共享文件夾的權限審核,避免出現任何人都可操作的共享文件夾。
  4. 發布了相關的安全規范,杜絕此類事故的再次發生。
2.2. 惡意入侵事件

【事件描述】

某Web系統被入侵,危害巨大,表現在以下三方面:

  1. 系統中存在大量的攻擊者精心構造的商品頁面;
  2. 系統正常功能被篡改,合法用戶無法通過搜索引擎到達系統;
  3. 受害者的公司免費為攻擊者做了廣告。在Google、Bing以及Yahoo等搜索引擎中,搜索受害者系統域名,顯示的搜索結果全部是非正常的標題鏈接,沒有一個是正確的標題。

【事件處理】

安全組給出四步解決該安全事故,介紹如下:

  1. 恢復正常生產。主要有兩步:
    1. 評估入侵帶來的損失,備份入侵的證據;
    2. 盡可能恢復入侵前的數據,保證系統正常運行。
  2. 確定入侵程度。主要有三步:
    1. 消除攻擊者留下的后門,防止二次入侵;
    2. 檢查服務器,防止服務器淪為“肉機”;
    3. 檢查攻擊者入侵公司網絡的程度,防止出現其它損失。
  3. 查找入侵者。主要有三方面問題要處理:
    1. 確定入侵者入侵使用的物理設備,IP地址,mac地址等;
    2. 確定入侵者入侵使用的方法和利用的漏洞;
    3. 調查入侵者的入侵目標,判斷是否達到了其入侵目標。
  4. 加強安全防護。主要從兩方面對系統加固:
    1. 確定系統薄弱點,修補攻擊者利用的漏洞;
    2. 對系統進行安全審計,防止此類事故再次發生。

【最終效果】

最終達到了以下四方面效果:

  1. 在最短時間內恢復了系統正常的功能,減少了事故帶來的損失;
  2. 剔除了攻擊者入侵留下的各種數據以及代碼層次的后門;
  3. 大致確定了攻擊者各種物理信息,以及入侵的方法和系統漏洞;
  4. 對系統漏洞進行了修復,同時,進行了安全審計,對系統進行加固。
2.3 盜刷驗證碼事件

【事件描述】

攻擊者利用腳本代碼,模擬HTTP請求,短時間內,針對短信驗證碼接口發送大量請求,數十萬短信驗證碼的一天內損失殆盡,對公司財產造成巨大損失。

【事件處理】

此類盜刷短信驗證碼攻擊出現的頻率很高,主要原因是對接口的訪問沒有進行頻率限制。但是,如果僅僅限制一段時間內相同IP的對接口的訪問次數,那么攻擊者可以輕易通過偽造IP再次進行自動化腳本攻擊。

最后給出了最簡單最直接最有效的建議為在發送短信驗證碼之前,需要先經過圖形化驗證碼的驗證,這樣就可以區分計算機和人的操作,當然,圖形化驗證碼要保證一定的復雜度,以防止被OCR技術輕易識別。

【最終效果】

通過在獲取短信驗證碼之前,添加無法通過OCR準確識別的數字驗證碼,以此來防止攻擊腳本的自動化攻擊,雖然降低了一定的用戶體驗,但是也從根本上解決了短信驗證碼盜刷的問題,減少了公司的財產損失。

2.4 惡意挖礦病毒

【事件描述】

攻擊者利用U盤傳輸該類病毒,被感染后,迅速查找網絡中的可讀可寫的共享文件夾。對其進行加密后建立快捷方式鏈接。從而進一步感染網絡內的其它用戶,并連接服務器進行挖礦,占用系統計算資源。

【事件處理】

這類挖礦病毒時下非常常見,因為受比特幣價格上漲的影響,挖礦成為一種較為常見的獲取比特幣方式。但是,這需要巨大的算力,而個人往往是負擔不起的。所以,導致這種攻擊有利可圖。安全團隊對該病毒進行了以下處理:

  1. 確定傳播方式。通過反編譯方式確定該病毒的感染方式,制定病毒清理方案;
  2. 切斷病毒傳播途徑。在保障系統正常運行的基礎上,隔斷病毒的傳播途徑。為后續保障處理成果打下基礎;
  3. 地毯式查殺該病毒。由于市面上并沒有該病毒的任何 指紋特征,并且病毒的表現方式有很多,容易漏殺誤殺。因此,采用人工排查的方式逐個排查受害機器。清理病毒。

【最終效果】

通過集中排查清理掉了300多臺受感染的機器,使系統恢復了正常運行。持續觀察2周后并未發現有新的感染跡象。

3. 自動化安全測試系統
3.1 某國際銀行

【客戶簡介】

該客戶總部位于美國馬薩諸塞州波士頓,在全球金融資產服務業處于領先地位。現為全球最大的托管銀行和最大的資產管理公司之一。

【項目特點】

該客戶每天都會有大量需要上線的系統,但是傳統的安全測試系統受認證和爬蟲技術的限制,測試范圍小,發現的漏洞誤報率高。

【服務價值】

利用自動化安全測試系統,已經成功為該客戶檢測了數十個系統的安全性。發現的漏洞包括SQL注入,XSS,CSRF等高危漏洞。提高了系統上線的效率,保證了上線系統的安全性。

聯系我們
中國 0571-88270208 美國 +1-857-239-9661
11选5免费手机计划软件