2026.2主要觀點(diǎn)接報(bào)事件總量的五分之一；而因員工安全意識(shí)不足導(dǎo)致的各類風(fēng)險(xiǎn)更是層出不窮，一趨勢(shì)進(jìn)一步凸顯了大中型政企機(jī)構(gòu)亟需加強(qiáng)內(nèi)部員工網(wǎng)絡(luò)安全防范意識(shí)培訓(xùn)的早發(fā)現(xiàn)并修復(fù)潛在的威脅，防止實(shí)際攻擊的起，占比25.2%。其次是弱口令，相關(guān)利用事件為140起，占比24.3%。 1 2 2 2 3 4 5 5 6 6 7 9 9 10 12 13 15 第一章網(wǎng)絡(luò)安全應(yīng)急響應(yīng)形勢(shì)綜述起，奇安信安服團(tuán)隊(duì)第一時(shí)間協(xié)助政企機(jī)構(gòu)處置安全事故，確保了政企機(jī)構(gòu)門戶網(wǎng)站、第二章應(yīng)急響應(yīng)事件受害者分析本章將從網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件受害者的視角出發(fā)，從行業(yè)分布、事件發(fā)現(xiàn)方式、從安全事件的發(fā)現(xiàn)方式來(lái)看，59.5%的政企機(jī)構(gòu)，是在系統(tǒng)已經(jīng)出現(xiàn)了非常明顯的接報(bào)處置的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件中，50.6%的事件主要影響的是業(yè)務(wù)專網(wǎng)，而主要影響辦公網(wǎng)的事件占比49.4%。從受網(wǎng)絡(luò)安全事件影響的設(shè)備數(shù)量來(lái)看，失陷服務(wù)器為機(jī)構(gòu)的生產(chǎn)效率低下，占比27.3%，是排第三章應(yīng)急響應(yīng)事件攻擊者分析攻擊者是出于何種目的發(fā)起的網(wǎng)絡(luò)攻擊呢？應(yīng)急工程師在對(duì)網(wǎng)絡(luò)安全事件進(jìn)行溯APT活動(dòng)。從實(shí)際情況來(lái)看，第一種情況9533211111第四章應(yīng)急響應(yīng)典型案例分析生等20余個(gè)行業(yè)。本章將結(jié)合2025年的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)實(shí)踐，介紹6起典型案例，希望能單位通報(bào)：存在非法登錄，以及加密數(shù)據(jù)通應(yīng)急人員抵達(dá)客戶現(xiàn)場(chǎng)后，根據(jù)通報(bào)線索在流量監(jiān)測(cè)平臺(tái)進(jìn)行篩查，確認(rèn)存在符合到上級(jí)單位類似通報(bào)。應(yīng)急人員通過(guò)排查測(cè)試后確認(rèn)sys/webservice/sysSynchroGetOrgWebS作日志，未發(fā)現(xiàn)異常行為，判斷攻擊者未成功登錄。在建議客戶聯(lián)系廠商對(duì)該接口進(jìn)行二及服務(wù)器之間的訪問(wèn)，采用白名單機(jī)制只允許開放特定的業(yè)務(wù)必要端口，其他端口一3)定期開展對(duì)系統(tǒng)、應(yīng)用以及網(wǎng)絡(luò)層面的安全評(píng)估、滲透測(cè)試以及代碼審計(jì)工作，主動(dòng)4)加強(qiáng)日常安全巡檢制度，定期對(duì)系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合、安全日志以及安全策略落應(yīng)急人員通過(guò)查看運(yùn)維服務(wù)商的堡壘機(jī)錄像回放記錄，發(fā)現(xiàn)攻擊者通過(guò)堡壘機(jī)登錄查看導(dǎo)出域內(nèi)所有用戶信息后，上傳域內(nèi)共享查詢工具獲取文件。通應(yīng)急人員通過(guò)上機(jī)排查其余失陷Linux機(jī)器，均程序，并且在遠(yuǎn)程登錄記錄中存在PC（x.x.x.1最后，應(yīng)急人員將排查結(jié)果與客戶進(jìn)行了同步，同時(shí)得到客戶反饋：由于運(yùn)N憑證后登錄到堡壘機(jī)，并登錄至客戶的運(yùn)維機(jī)器。隨后，利用在運(yùn)維機(jī)器上密碼本中獲取到及服務(wù)器之間的訪問(wèn)，采用白名單機(jī)制只允許開放特定的業(yè)務(wù)必要端口，其他端口一公鑰，并添加了多個(gè)可疑計(jì)劃任務(wù)，通過(guò)循環(huán)寫入和執(zhí)行機(jī)制維持挖礦進(jìn)程，導(dǎo)致木馬持1)系統(tǒng)、應(yīng)用相關(guān)用戶杜絕使用弱口令，應(yīng)使用高復(fù)雜強(qiáng)度的密碼，盡量包含大小寫字2)建議在服務(wù)器上部署安全加固軟件，通過(guò)限制異常登錄行為、開啟防爆破功能、禁用或限用危險(xiǎn)端口、防范漏洞利用等方式，提高系3)建議安裝防病毒軟件，及時(shí)對(duì)病毒庫(kù)進(jìn)行更新，并且定期進(jìn)行全面掃描，加強(qiáng)服務(wù)器4)加強(qiáng)日常安全巡檢制度，定期對(duì)系統(tǒng)配置、系統(tǒng)漏洞、安全日志以及安全策略落實(shí)情遠(yuǎn)程控制，通過(guò)企業(yè)釘釘創(chuàng)建群聊并傳播釣魚文件，導(dǎo)致有員工被釣魚造成財(cái)產(chǎn)損失，需應(yīng)急人員根據(jù)該線索對(duì)被控終端的瀏覽器訪問(wèn)下載記錄進(jìn)行排查，發(fā)現(xiàn)存在訪問(wèn)網(wǎng)站：ht隨后，應(yīng)急人員通過(guò)上機(jī)排查被控終端，發(fā)現(xiàn)通過(guò)釣魚網(wǎng)站下載的文件：202文件是一個(gè)用于維持權(quán)限以及啟動(dòng)后門進(jìn)程的輔助模塊，通過(guò)啟動(dòng)系統(tǒng)服務(wù)進(jìn)程并注入遠(yuǎn)控模限維持。被感染的常駐系統(tǒng)進(jìn)程中的后門模塊將回連攻擊者，使其具備遠(yuǎn)現(xiàn)釋放的惡意文件：SbieDll64.exe、SbieDll.bin，未發(fā)現(xiàn)其他異常。通過(guò)排查終端務(wù)內(nèi)容為：自動(dòng)執(zhí)行C:\ProgramFiles\InternetExp本次事件，由于企業(yè)員工安全意識(shí)不足，在釣魚網(wǎng)站中下載了捆綁有惡意程序的裝后導(dǎo)致終端感染銀狐木馬。隨后，攻擊者通過(guò)遠(yuǎn)程控制該終端，通過(guò)企業(yè)釘釘創(chuàng)建多個(gè)群聊對(duì)來(lái)源不明的文件包括郵件附件、上傳文件3)配置并開啟相關(guān)關(guān)鍵系統(tǒng)、應(yīng)用日志，對(duì)系統(tǒng)日志進(jìn)行定期異地歸檔、備份，避免在4)加強(qiáng)日常安全巡檢制度，定期對(duì)系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合、安全日志以及安全策略落roxy.so文件中發(fā)現(xiàn)異常字符。經(jīng)過(guò)分析，發(fā)現(xiàn)該模塊的工作邏輯為：當(dāng)請(qǐng)求地址為爬蟲時(shí)，至此，應(yīng)急人員判斷，攻擊者具備長(zhǎng)期入侵服務(wù)器并獲取高權(quán)限的能力。結(jié)合3)定期開展對(duì)系統(tǒng)、應(yīng)用以及網(wǎng)絡(luò)層面的安全評(píng)估、滲透測(cè)試以及代碼審計(jì)工作，主動(dòng)4)加強(qiáng)日常安全巡檢制度，定期對(duì)系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合、安全日志以及安全策略落/usr/local/lib/libluajit-5.1.so.2.0.0、/usr/local/lib64/libpng.so.2。通過(guò)分析系統(tǒng)（x.x.x.126）上均發(fā)現(xiàn)惡意進(jìn)程koriter及相關(guān)文件/usr/local/lib64/2)系統(tǒng)、應(yīng)用相關(guān)用戶杜絕使用弱口令，應(yīng)使用高復(fù)雜強(qiáng)度的密碼，盡量包含大小寫字3)建議在服務(wù)器上部署安全加固軟件，通過(guò)限制異常登錄行為、開啟防爆破功能、禁用或限用危險(xiǎn)端口、防范漏洞利用等方式，提高系統(tǒng)4)建議安裝防病毒軟件，及時(shí)對(duì)病毒庫(kù)進(jìn)行更新，并且定期進(jìn)行全面掃描，加強(qiáng)服務(wù)器5)加強(qiáng)日常安全巡檢制度，定期對(duì)系統(tǒng)配置、系統(tǒng)漏洞、安全日志以及安全策略落實(shí)情附錄195015網(wǎng)絡(luò)安全服務(wù)熱線95015是承載全國(guó)各地政企機(jī)構(gòu)網(wǎng)絡(luò)安全保障工作的重要支撐平臺(tái)，同時(shí)也是全國(guó)各地絡(luò)安全事件應(yīng)急響應(yīng)的綠色通道，是全國(guó)冬奧網(wǎng)絡(luò)安全保障工作中的關(guān)鍵一環(huán)。北京冬奧京冬奧會(huì)期間，將作為網(wǎng)絡(luò)安全保障工作的重要支撐平臺(tái)，為網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)開9字頭短號(hào)碼是工信部統(tǒng)一管理的全國(guó)通用號(hào)碼，95015服務(wù)短號(hào)，整合了原有的400附錄2奇安信集團(tuán)安服團(tuán)隊(duì)奇安信集團(tuán)是北京2022年冬奧會(huì)和冬殘奧會(huì)官方網(wǎng)絡(luò)安全服務(wù)和殺毒軟件贊助中國(guó)領(lǐng)先的網(wǎng)絡(luò)安全品牌，奇安信多次承擔(dān)國(guó)家級(jí)的重大活動(dòng)網(wǎng)絡(luò)安全保障工作，創(chuàng)建可靠的網(wǎng)絡(luò)安全服務(wù)體系——全維度管控、全網(wǎng)絡(luò)防護(hù)、全天候運(yùn)行、全領(lǐng)域覆蓋、全攻防演習(xí)、持續(xù)響應(yīng)、預(yù)警通告、安全運(yùn)營(yíng)等一系列實(shí)戰(zhàn)化的服務(wù)，在云端安全大數(shù)據(jù)的奇安信還推出了應(yīng)急