2020 年上半年網絡安全應急響應分析報告

第一章 2020年上半年應急

2020年1-6月奇安信集團安服團隊共參與和處置了全國范圍內367起網絡安全應急響應事件，第一時間協助用戶處理安全事故，確保了用戶門戶網站、數據庫和重要業務系統的持續安全穩定運行。

應急響應服務2020年月度統計情況具體如下：

2020年上半年奇安信安服應急事件共處置367起，投入工時為5171小時，折合646.4人天，同比2019年上半年下降40.1%。通過對下降原因進行分析，主要分為以下兩點：

1. 2020年上半年受疫情影響，大部分政企機構的生產活動處于暫停或半暫停狀態，客觀上減少了安全事故的發生率；
2. 2019年3月份，“永恒之藍下載器”木馬攻擊事件全面爆發，2020年暫無突發性的、感染性較強的新型木馬病毒的出現。

第二章 應急事件受害者分析

為進一步提高大中型政企機構對突發安全事件的認識和處置能力，增強政企機構安全防護意識，對2020年上半年處置的所有應急事件從政企機構被攻擊角度，對受害者行業分布、攻擊事件發現方式、影響范圍以及攻擊行為造成的現象進行統計分析，直觀呈現上半年政企機構內部網絡安全情況。

一、行業現狀分析

2020年上半年應急處置事件最多的行業TOP3分別為：政府部門行業（69起）、醫療衛生行業（59起）以及事業單位（39起），事件處置數分別占應急處置所有行業的18.8%、16.1%、10.6%。

大中型政企機構應急行業分布TOP10詳見下圖：

從行業報告排名可知，2020年上半年攻擊者的攻擊對象主要分布于政府機構、事業單位以及醫療行業，上半年接近半數的應急事件均發生于上述三個均屬國家機構的行業。由此可見，2020年上半年針對我國的網絡攻擊更具針對性。

二、 事件發現分析

2020年上半年奇安信安服團隊參與處置的所有政府機構和企業的網絡安全應急響應事件中，由行業單位自行發現的安全攻擊事件占93.8%，其中被攻擊者勒索后才發現被攻擊達41.7%，另有6.2%的安全攻擊事件政府機構和企業是在得到了監管機構及第三方平臺通報才得知已被攻擊。

從41.7%被攻擊者勒索才發現安全事件可以看出，大中型政企機構仍然普遍缺乏足夠的安全監測能力，很難自主發現那些隱蔽性較好的網絡威脅。外部通報形式的發現方式占據了6.2%的比例，也從側面反映出政企機構網絡安全建設仍需持續完善，內部網絡安全監測能力仍然有待提高。

三、 影響范圍分析

2020年上半年應急安全事件的影響范圍主要集中在業務專網占比69.8%。其次為辦公終端占比為30.2%。根據受影響區域分布對受影響設備數量進行了統計，上半年失陷的設備中，3070臺辦公終端受到影響，2777臺服務器被攻陷。

從影響范圍和受影響設備數量可以看出，大中型政企機構的業務專網、辦公終端為攻擊者攻擊的主要攻擊目標。其中辦公終端被攻陷數量較多，多為內部安全意識不足導致被攻擊者輕易利用，進而對服務器、業務專網進行了進一步的攻擊，常見如：攻擊者利用員工安全意識的薄弱通過釣魚郵件獲取了辦公終端的權限，進而內部投毒、橫向擴散感染內部服務器，獲取重要數據或者通過敲詐勒索的方式牟取非法暴利。

大中型政企機構應在強化對業務專網的安全防護建設的同時，提高內部人員安全防范意識，加強對內網中辦公終端、重要服務器的安全防護保障和數據安全管理。

四、 攻擊影響分析

2020年上半年,大中型政企機構遭受攻擊影響后果顯示，攻擊者對系統的攻擊所產生的影響主要表現為數據丟失、系統/網絡不可用、生產效率低下、數據被篡改等。

上述數據中，導致數據丟失占比25.6%，攻擊者通過對大中型政企機構重要服務器及數據庫進行攻擊，導致數據被破壞或丟失等后果；

系統/網絡不可用占比22.1%，主要表現為攻擊者通過對系統持續性攻擊，直接造成業務系統宕機，網絡不可用；

生產效率低下占比21.8%，攻擊者主要通過挖礦、蠕蟲、木馬等病毒木馬類的攻擊手段使服務器CPU占用率異常高，造成生產效率低下；

同時，數據被篡改、聲譽影響也是政企機構被攻擊后產生的現象，造成的后果也是非常嚴重的。

第三章 應急事件攻擊者分析

應急響應事件攻擊者分析以2020年上半年大中型政企機構所有應急數據為支撐，從攻擊者角度對攻擊者攻擊意圖、攻擊類型攻擊者常用木馬以及攻擊者常見漏洞利用方式進行分析，為各政企機構安全防護、制定應急處突方案提供參考依據。

一、 攻擊意圖分析

2020年上半年應急事件中，攻擊者攻擊意圖主要為敲詐勒索、黑產活動、竊取重要數據和內部違規操作。

內部違規中，內部人員為了方便工作或出于其他原因將內部業務端口映射至外網的違規操作需要引起大中型企業的重視。政企機構在完善整體安全防護體系建設時，應將內部員工網絡安全意識作為重要模塊進行培訓，可以通過網絡安全培訓、定期舉辦攻防演習、應急演練等方式加強內部人員的網絡安全意識。

二、 攻擊類型分析

通過對2020年上半年大中型政企機構安全事件攻擊類型進行分析，排名前三的類型分別是：惡意程序占比58.6%；漏洞利用占比24.5%；釣魚郵件占比5.2%。惡意程序中蠕蟲病毒攻擊占比61.4%，木馬攻擊（非蠕蟲病毒）攻擊占比38.6%。

蠕蟲病毒和木馬，由于傳播速度快、感染性強等特征成為最受攻擊者青睞的攻擊手段，攻擊者利用病毒、木馬對辦公系統進行攻擊，通常會產生大范圍感染，造成系統不可用、數據損壞或丟失等現象；

漏洞利用則是攻擊者利用政企機構網絡安全建設不完善的弊端，使用常見系統漏洞、Web漏洞等，對服務器進行的破壞性攻擊，通常會導致重要數據丟失、泄露、內部投毒、敲詐勒索等嚴重后果；

除此之外，釣魚郵件、網頁篡改、網絡監聽攻擊等也是較為常見的攻擊類型。因此，2020年大中型政企機構應做好日常安全防范工作，定期巡檢，及時發現威脅并有效遏制。

三、 惡意程序分析

2020年上半年大中型政企機構安全事件遭受攻擊惡意程序中，占比較多的木馬病毒分別為勒索病毒總占比51.6%；挖礦木馬占比23.8%；以及一般木馬占比10.5%。

上半年最常見的勒索病毒是GlobeImposter勒索病毒、Wannacry勒索病毒、Phobos勒索病毒、Satan勒索病毒以及相關變種病毒。大中型政企機構應更清楚的認識到木馬病毒對我們的服務器、數據庫所造成的嚴重損害，加強內部網絡安全建設，針對多變種勒索病毒、挖礦木馬以及隨時可能出現的新型病毒制定完善的應急方案和安全防護措施，將應急常態化。

四、 漏洞利用分析

2020年上半年應急響應事件攻擊類型中，對漏洞利用部分進行統計分析，發現弱口令、永恒之藍漏洞是大中型政企機構被攻陷的重要原因，其次，服務器配置不當、服務器漏洞也經常作為攻擊者日常利用的攻擊手段。

弱口令、永恒之藍漏洞需要引起政企機構關注，全面的安全管理策略、內部漏洞檢測和日常修復動作不容忽視。除弱口令、永恒之藍漏洞以及服務器漏洞外，Web漏洞常見如：任意文件上傳、SQL注入、JAVA反序列化也是攻擊者最常利用的漏洞，攻擊者通過利用某一漏洞入侵系統，傳播病毒，獲取重要數據以達到敲詐勒索、牟取暴利等意圖。

政企機構應加大內部巡檢力度，定期對設備、終端進行漏洞掃描、修復。定期更換服務器、終端登錄密碼、加大密碼復雜度，不給攻擊者任何可乘之機。

第四章 典型事件案例分析

2020年上半年奇安信安全服務團隊共接到全國各地應急求助367起，涉及全國31個省市，23個行業，包括醫療衛生，大中型政企機構、事業單位等。發生的安全事件包括各種變種勒索病毒、挖礦木馬、漏洞利用等不同事件類型，均不同程度地給大中型政企機構帶來經濟損失和惡性的社會影響。

一、 某客運公司員工敏感數據泄露致內網20多臺機器受感染事件

（一） 事件概述

2020年2月27日安服團隊接到某客運公司應急請求，該公司通過天眼發現存在服務器失陷的危急告警。

應急人員通過分析天眼發現，該公司內部環境中多達20余臺服務器出現失陷告警，其中在人力資源服務器與財務服務器發現被植入后門，服務器已淪陷，同時多臺服務器上均發現Frp代理、CobaltStrike上線腳本與漏洞利用工具使用痕跡，攻擊者正在通過Frp代理對內網服務器進行SQL注入漏洞攻擊。

通過人工排查，發現該公司內部某員工上傳敏感信息到GitHub中，導致敏感數據泄露，攻擊者利用該員工賬號登錄VPN對該公司人力資源服務器發起攻擊，并利用Redis未授權訪問漏洞獲得權限，上傳Frp代理工具、MS17-010等漏洞利用工具，進行內網橫向滲透，成功攻下內網服務器、主機20余臺，并利用已攻陷機器在內網中進行橫向攻擊。

（二） 防護建議

1. 定期進行內部人員安全意識培養，禁止將敏感信息私自暴露至公網，禁止點擊來源不明的郵件附件等；
2. 為Redis服務添加密碼驗證，為Redis服務創建單獨的user和home目錄，并且配置禁止登陸，低權限運行Redis服務；
3. 加強日常安全巡檢制度，定期對系統配置、系統漏洞、安全日志以及安全策略落實情況進行檢查，及時修復漏洞（如MS17-010漏洞等）、安裝補丁，將信息安全工作常態化；
4. 建議配置VPN登錄的雙因素認證，如增加手機短信驗證碼認證等，嚴格控制用戶登錄，防止賬號信息被盜用。

二、 某大型企業挖礦木馬事件處置

（一）事件概述

6月17日，安服應急響應團隊接到某大型企業的應急響應請求，該企業服務器存在被種植挖礦木馬病毒程序，態勢感知出現病毒告警，要求對服務器后門進行排查，同時對攻擊來源進行追溯。

應急人員經過排查，發現該企業內部已有38臺服務器受到SystemdMiner挖礦木馬最新變種病毒的感染，存在內網橫向傳播的情況，且服務器中均未安裝殺毒軟件。通過對病毒樣本和受感染機器的日志分析，確定攻擊者利用該企業已存在未授權漏洞的堡壘機和官網服務器作為跳板機，獲得了主機控制權限，上傳SystemdMiner挖礦木馬程序，并配置計劃任務，定時連接礦池域名，又利用Consul rce /Hadoop rce /Jenkins rce/PostgreSQL rce、主機系統弱口令漏洞入侵IDC機房其他主機操作系統，利用自動化運維工具(salt/ansible/chef-knife)橫向傳播，利用失陷主機本地保存的 SSH 密鑰傳播自身，最終觸發了態勢感知病毒告警。

（二）防護建議

1. 將已檢測到的礦池相關非法域名，通過安全防護設置將其加入黑名單列表，并設置安全策略為阻斷訪問；
2. 系統、應用相關用戶杜絕使用弱口令，應使用高復雜強度的密碼，加強內部人員安全意識，禁止密碼重用的情況出現；
3. 增強內部人員密碼管理意識，禁止將密碼進行本地保存；
4. 建議安裝防病毒軟件，及時對病毒庫進行更新，并且定期進行全面掃描，加強服務器上的病毒發現及清除能力；
5. 加強日常安全巡檢制度，定期對系統配置、系統漏洞、安全日志以及安全策略落實情況進行檢查，及時修復漏洞、安裝補丁，將信息安全工作常態化。

三、 某政府單位服務器因SQL注入漏洞被攻陷事件

（一） 事件概述

2020年6月3日下午安服應急響應團隊接到某政府單位應急響應請求，該單位員工在6月2日下午5點左右發現天眼存在SQL注入告警，需要上機排查服務器是否存在異常。

應急人員在到達現場后，根據天眼SQL注入告警，首先對數據庫服務器進行排查，發現該服務器存在大量“powershell.exe”和“mshta.exe”進程。通過對“powershell.exe”進程進行解密，確定該進程為攻擊者的遠控進程。結合天眼流量分析，確定攻擊者于前天晚上3點11分左右，利用SQL注入漏洞，對該服務器進行命令執行攻擊。查詢服務器用戶，發現可疑隱藏賬戶。對業務服務器進行排查發現有Webshell后門腳本文件“1.aspx”和“index.aspx”。

最終確定攻擊者利用業務服務器登錄處的SQL注入漏洞，進行任意命令執行，并創建隱藏賬戶、上傳后門文件。因該業務服務器和數據庫服務器為站庫分離設計，故導致業務服務器和數據庫服務器均被攻陷。

（二） 防護建議

1. 對用戶輸入內容進行檢查與驗證。檢查所輸入字符串變量的內容，使用白名單，只接受所需的值，拒絕包含二進制數據、轉義序列和注釋字符的輸入內容，限制用戶輸入內容的大小和數據類型，對輸入內容進行強制轉換等；
2. 重要業務系統及核心數據庫應設置獨立的安全區域，做好區域邊界的安全防御工作，嚴格限制重要區域的訪問權限并關閉不必要、不安全的服務；
3. 禁止重要服務器主動發起外部連接請求，對于需要向外部服務器推送共享數據的，應使用白名單的方式，在出口防火墻加入相關策略，對主動連接IP范圍進行限制；
4. 部署高級威脅監測設備，及時發現惡意網絡流量，同時可進一步加強追蹤溯源能力，對安全事件發生時可提供可靠的追溯依據；
5. 建議在服務器上部署安全加固軟件，通過限制異常登錄行為、開啟防爆破功能、防范漏洞利用等方式，提高系統安全基線，防范黑客入侵。

四、 某國有企業勒索病毒Hermes837事件處置

（一）事件概述

2020年3月19日，安服應急響應團隊接到某國有企業應急響應請求，該企業感染勒索病毒、多個主機文件被加密，要求協助對攻擊路徑進行溯源。

應急人員通過對主機/服務器的進程、文件、日志等排查分析，發現主機審核策略配置存在缺陷，部分審計未開啟，系統被植入惡意程序等現象，確認多臺機器感染Hermes837勒索病毒，被病毒加密后的文件后綴為“Hermes837”。

攻擊者利用IPC暴力破解，成功登陸內網主機和辦公主機，在辦公主機進行安裝TeamViewer，創建ProcessHacker服務，修改密碼等一系列操作，以內網主機為跳板，在SMB服務器安裝惡意程序KProcessHacker 。最終導致多臺機器感染Hermes837勒索病毒，文件被加密。

（二）防護建議

1. 系統、應用相關用戶杜絕使用弱口令，應使用高復雜強度的密碼，加強內部人員安全意識，禁止密碼重用的情況出現；
2. 加強日常安全巡檢制度，定期對系統配置、系統漏洞、安全日志以及安全策略落實情況進行檢查，及時修復漏洞、安裝補丁，將信息安全工作常態化；
3. 建議在服務器上部署安全加固軟件，通過限制異常登錄行為、開啟防爆破功能、禁用或限用危險端口（如3389、445、139、135等）、防范漏洞利用等方式，提高系統安全基線，防范黑客入侵；
4. 配置并開啟相關關鍵系統、應用日志，對系統日志進行定期異地歸檔、備份，避免在攻擊行為發生時，導致無法對攻擊途徑、行為進行溯源等，加強安全溯源能力；
5. 建立安全災備預案，一旦核心系統遭受攻擊，需要確保備份業務系統可以立即啟用；同時，需要做好備份系統與主系統的安全隔離工作，避免主系統和備份系統同時被攻擊，影響業務連續性。

五、 某科技公司海蓮花APT事件處置

（一）事件概述

2020年3月5日，安服應急響應團隊接到某科技公司應急響應請求，現場疑似內網受到海蓮花APT攻擊，請求溯源和應急處置。

應急人員到達現場后發現該公司所使用的云桌面目錄下存在惡意木馬DLL文件，通過大量日志分析發現存在海外IP登陸記錄，該海外IP經奇安信紅雨滴實驗室分析確認，屬于海蓮花常用的跳板機IP，確認該公司受到了海蓮花APT攻擊。通過流量分析找到最先入侵的機器A，并且此機器上存在衛星系統相關服務器的SSH登陸用戶名及密碼,可以成功登陸B服務器。

最終確認攻擊途徑，由于該公司員工云桌面賬號密碼外泄，攻擊者利用信息收集，成功從海外控制機器A，又因機器A無法上網，且存有B服務器的SSH登陸用戶名及密碼，以B服務器作為跳板進行端口轉發，實現機器A的對外上線。最后將這兩臺機器作為跳板，對衛星系統機器進行攻擊。

（二）防護建議

1. 禁止服務器主動發起外部連接請求，對于需要向外部服務器推送共享數據的，應使用白名單的方式，在出口防火墻加入相關策略，對主動連接IP范圍進行限制；
2. 定期進行內部人員安全意識培養，增強內部人員密碼管理意識，禁止將密碼進行本地保存，禁止將敏感信息私自暴露至公網等；
3. 部署高級威脅監測設備，及時發現惡意網絡流量，同時可進一步加強追蹤溯源能力，對安全事件發生時可提供可靠的追溯依據；
4. 有效加強訪問控制ACL策略，細化策略粒度，按區域按業務嚴格限制各個網絡區域以及服務器之間的訪問，采用白名單機制只允許開放特定的業務必要端口，其他端口一律禁止訪問，僅管理員IP可對管理端口進行訪問，如FTP、數據庫服務、遠程桌面等管理端口；
5. 加強日常安全巡檢制度，定期對系統配置、系統漏洞、安全日志以及安全策略落實情況進行檢查，及時修復漏洞、安裝補丁，將信息安全工作常態化。

第五章 醫療衛生行業分析專題

醫療衛生行業的網絡安全問題，直接影響到抗疫工作的順利展開，本次半年報我們特別針對醫療衛生行業的應急響應狀況進行一次專題報告。

一、 月度分布分析

2020年1-6月奇安信集團安服團隊應急響應醫療衛生行業救援服務59起，占2020年上半年各行業應急事件的16.1%。3月、5月醫療衛生行業應急次數較多，分別占上半年醫療衛生行業應急總數的22.0%、28.8%。

二、 事件發現分析

2020年上半年醫療衛生行業相關的網絡安全應急事件中，自行發現的安全攻擊事件占94.9%，其中有52.5%安全事件是在遭到攻擊者勒索后后知后覺；另有5.1%的安全攻擊事件是通過監管機構及第三方平臺通報得知。

三、 影響范圍分析

2020年上半年醫療衛生行業相關的網絡安全應急事件的影響范圍主要集中在業務專網占比66.1%；辦公終端占比33.9%。在受影響的設備中，辦公終端有415臺，服務器有239臺。

四、 攻擊影響分析

2020年上半年醫療衛生行業被攻陷系統影響后果進行分析研究，造成系統、網絡不可用和數據丟失事件較多，其中，導致系統/網絡不可用安全事件占比32.2%；導致數據丟失占比28.8%，其次為數據被篡改、生產效率低下、數據泄露等不良影響。

五、 攻擊意圖分析

2020年上半年上半年，攻擊者針對醫療衛生行業的攻擊意圖主要是敲詐勒索，牟取暴利。

六、 攻擊類型分析

2020年上半年醫療衛生行業應急響應處置事件中常見的攻擊類型主要表現在：惡意程序占比61.0%；漏洞利用占比30.5%；釣魚郵件占比3.4%，其次為拒絕服務攻擊和網絡監聽攻擊。

七、 惡意程序分析

2020年上半年醫療衛生行業安全事件遭受攻擊常見惡意程序主要為勒索病毒占比70.2%；挖礦木馬占比10.6%；以及一般木馬占比8.5%。其中勒索病毒多以GlobeImposter勒索病毒及其變種病毒較多。

八、 漏洞利用分析

2020年上半年醫療衛生行業應急響應處理漏洞利用攻擊事件中，弱口令占比59.3%；永恒之藍占比24.0%；服務器漏洞占比9.3%。

九、 醫療行業應急典型案例

案例一：某市醫藥公司OA系統失陷，造成數據泄露案例一：某市醫藥公司OA系統失陷，造成數據泄露

事件概述

2020年3月11日，安服應急響應團隊接到某市醫藥公司應急請求，公司DMZ服務器區出口地址存在外連行為。

應急人員排查分析，發現對外攻擊的IP為該公司內網OA系統的出口地址，因OA系統供應商要求對系統進行遠程維護，特將OA服務器的3389端口映射到出口地址的3389端口。通過對IPS、負載均衡、防火墻以及服務器系統日志進行分析排查，發現內網OA系統存在多個地區和國家的IP通過3389端口遠程登錄記錄和木馬文件。對OA服務器系統部署文件進行排查，發現此服務器存在任意文件寫入漏洞，并且發現兩個Webshell后門。

經分析研判最終確定，攻擊者通過內網OA系統映射在公網的3389端口進行遠程登錄，并上傳Webshell后門1，用于執行系統命令；利用OA系統任意文件寫入漏洞，上傳Webshell后門2，用于上傳任意文件，寫入惡意木馬文件，對外網發起異常連接，進行數據傳輸。

防護建議

1. 加強日常安全巡檢制度，定期對系統配置、系統漏洞、安全日志以及安全策略落實情況進行檢查，及時修復漏洞、安裝補丁，將信息安全工作常態化；
2. 加強設備權限管理，對敏感目錄進行權限設置，限制上傳目錄的腳本執行權限，不允許配置執行權限等；
3. 建議在服務器上部署安全加固軟件，通過限制異常登錄行為、開啟防爆破功能、禁用或限用危險端口（如3389、445、139、135等）、防范漏洞利用等方式，提高系統安全基線，防范黑客入侵；
4. 禁止服務器主動發起外部連接請求，對于需要向外部服務器推送共享數據的，應使用白名單的方式，在出口防火墻加入相關策略，對主動連接IP范圍進行限制；
5. 建議安裝相應的防病毒軟件，及時對病毒庫進行更新，并且定期進行全面掃描，加強服務器上的病毒清除能力。

案例二：某省三甲醫院感染Crysis勒索病毒事件

事件概述

2020年2月，安服應急響應團隊接到某省三甲醫院應急請求，多臺服務器文件被勒索病毒加密，業務無法正常運行，請求溯源和應急處置。

應急人員對該醫院被感染的服務器進行排查分析，判斷醫院主機服務器感染了Crysis勒索病毒，且發現該醫院多臺服務器防病毒軟件授權已到期。進一步排查發現服務器A對外網開放了遠程桌面服務，同時在內網多臺主機和服務器中發現了RDP爆破痕跡，且除服務器A外，內網中其他多臺主機和服務器RDP服務登錄密碼均為弱口令。

經排查研判后最終確定，攻擊者利用服務器A遠程桌面服務暴露在外網和弱口令的弱點進行了暴力破解，并成功獲取服務器A控制權，進而以服務器A作為跳板，對位于內網中的服務器B進行RDP弱口令爆破，爆破成功后，利用服務器B對內網中其他主機進行爆破并手動投放Crysis勒索病毒橫向擴散。

防護建議

1. 系統、應用相關用戶杜絕使用弱口令，應使用高復雜強度的密碼，盡量包含大小寫字母、數字、特殊符號等的混合密碼，加強管理員安全意識，禁止密碼重用的情況出現；
2. 建議安裝相應的防病毒軟件，及時對病毒庫進行更新，并且定期進行全面掃描，加強服務器上的病毒清除能力；
3. 加強日常安全巡檢制度，定期對系統配置、系統漏洞、安全日志以及安全策略落實情況進行檢查，及時修復漏洞、安裝補丁，將信息安全工作常態化；
4. 建議在服務器上部署安全加固軟件，通過限制異常登錄行為、開啟防爆破功能、禁用或限用危險端口（如3389、445、139、135等）、防范漏洞利用等方式，提高系統安全基線，防范黑客入侵；
5. 建立安全災備預案，一旦核心系統遭受攻擊，需要確保備份業務系統可以立即啟用；同時，需要做好備份系統與主系統的安全隔離工作，避免主系統和備份系統同時被攻擊，影響業務連續性。

案例三：某市華僑醫院網站存在任意文件上傳漏洞，導致多臺主機淪陷案例三：某市華僑醫院網站存在任意文件上傳漏洞，導致多臺主機淪陷

事件概述

2020年3月23日安服團隊接到某市華僑醫院應急請求，醫院服務器被入侵。

應急響應人員通過網站的安全性檢測以及系統日志分析發現，網站xxx:999 存在任意文件上傳漏洞，同時發現內網多臺主機存在MS17-010漏洞，并且存在被暴力破解的記錄。

最終通過對系統的檢查和分析確定，攻擊者首先對網站xxx:999 進行訪問，在該網站中發現了任意文件上傳漏洞，并對其進行利用，通過上傳ASP類型的Webshell獲取了服務器的管理員權限，進而以該淪陷服務器為跳板機，利用內網多臺主機中存在的MS17-010漏洞、RDP弱口令等對其進行攻擊，導致多臺內網終端淪陷。

防護建議

1. 系統、應用相關用戶杜絕使用弱口令，應使用高復雜強度的密碼，盡量包含大小寫字母、數字、特殊符號等的混合密碼，加強管理員安全意識，禁止密碼重用的情況出現；

2. 對系統文件上傳功能，采用白名單上傳文件，不在白名單內的一律禁止上傳，上傳目錄權限遵循最小權限原則；

3. 加強權限管理，對敏感目錄進行權限設置，限制上傳目錄的腳本執行權限，不允許配置執行權限等；

4. 建議對內網服務器及主機開展安全大檢查，檢查的范圍包括但不限于系統漏洞檢測（如MS17-010漏洞、任意文件上傳漏洞等）、后門檢測，并及時進行漏洞修復、補丁安裝、后門清理等工作；

5. 加強日常安全巡檢制度，定期對系統配置、網絡設備配合、安全日志以及安全策略落實情況進行檢查，常態化信息安全工作。