主要观点  2021年，奇安信集团安服团队共接到应急服务需求 1097起。政府部门、医疗卫生 行业和事业单位的业务专网是 2021年网络安全应急响应 事件的高发区。  2021年，政企机构通过安全运营巡检发现攻击事件占比为 18.0%。这说明，国内仅 有不到五分之一的政企机构具备在重大事件发生之前及时阻止的能力。有 37.7%的 机构是在被勒索后才寻求应急响应，但此时往往已对机构造成了一定的影响和重大 的损失，日常安全运营建设水平仍然需政企机构持续提高。  2021年， 攻击者攻击目标仍以业务专网， 服务器为主， 然办公终端问题也不容小觑。 与去年相比，服务器受感染台数较去年增加 20987台，办公终端受感染台数较去年 增加8217台。受影响服务器、终端数量的明显增加，预示着不仅是服务器安全问 题，日益凸显的终端安全问题也需要引起我们的关注。  2021年应急响应安全事件中，木马病毒攻击仍然是大中型政企机构服务器、数据库 失陷的重要原因， 除常见的勒索病 毒攻击外， 下半年出现的 “Magniber 勒索病毒” 以及“Apache Log4j2 漏洞”也成为大中型政企机构业务中断和数据泄露的重要原 因。这也就意味着，政企机构应在日常运营建设中增加对外部事件，情报的监测能 力，一旦发现威胁事件，应立即进行自查修复，保障业务的正常运营，将经济损失 最低化。  2021年，钓鱼邮件仍然是攻击者热衷利用手段之一，员工安全意识培养仍需政企机 构关注并提升。员工为方便工作，使用高危端口外连公网、弱口令等导致勒索病毒 蔓延、数据泄露甚至服务器失陷事件。可见，员工安全意识亟待提升。 摘 要  2021年全年奇安信集团安服团队共参与和处置了全国范围内 1097起网络安全应急 响应事件。  2021年全年应急响应处置事件行业 TOP3分别为：政府部门行业（ 243起） 、医疗卫 生行业（ 112起）以及事业单位（ 108起） ，事件处置数分别占应急处置所有行业的 22.2%、10.2%、9.8%。  2021年全年奇安信安服团队参与处置的所有大中型政企机构的网络安全应急响应 事件中，由行业单位自行发现的安全攻击事件占 95.3%，其中有 37.7%的政企机构 是在遭受勒索攻击后才发现系统被攻击； 而另有 4.7%的安全攻击事件 则是由监管机 构及第三方平台通报得知。  2021年全年应急响应事件的影响范围主要集中在业务专网，占比 66.7%；办公网占 比33.3%。  2021年全年应急响应事件中，攻击者对系统的攻击所产生的影响主要表现为生产 效率低下、数据丢失、数据篡改。  2021年全年应急响应事件中，黑产活动、敲诈勒索仍然是攻击者攻击大中型政企 机构的主要原因。  2021年全年大中型政企机构安全事件攻击类型，排名前三的类型分别是：恶意程 序，占比 44.7%；漏洞利用，占比 30.6%；网络监听攻击，占比 4.4%。  2021年全年应急响应事件中，弱口令、永恒之蓝漏洞仍是大中型政企机构被攻陷 的重要原因。 该报告所有分析数据来源于奇安信安服全年的 1097次应急响应数据整理，可能存 在一定的局限性，报告结论和观点仅供用户参考。 关键词： 应急响应、安全服务、弱口令、敲诈、勒索病毒、漏洞利用 目 录 第一章 2021年全年应急 ................................ ................................ ............... 1 第二章 应急响应事件受害者分析 ................................ ................................ .. 2 一、 行业现状分析 ................................ ................................ .................... 2 二、 事件发现分析 ................................ ................................ .................... 2 三、 影响范围分析 ................................ ................................ .................... 3 四、 攻击影响分析 ................................ ................................ .................... 4 第三章 应急响应事件攻击者分析 ................................ ................................ .. 5 一、 攻击意图分析 ................................ ................................ .................... 5 二、 攻击类型分析 ................................ ................................ .................... 5 三、 恶意程序分析 ................................ ................................ .................... 6 四、 漏洞利用分析 ................................ ................................ .................... 7 第四章 应急响应典型案例分析 ................................ ................................ ..... 9 一、 制造业某客户遭遇恶意邮件传播应急事件处置 ................................ .. 9 二、 某政府部门编辑 器漏洞致网站黑页应急事件处置 ............................ 10 三、 制造业某客户蔓灵花 APT应急事件处置 ................................ .......... 11 四、 交通运输行业某客户感染门罗币挖矿病毒应急事件处置 ................. 12 五、 某政府部门下属单位外连国外恶意 IP应急事件处置 ....................... 13 六、 互联网行业某客户感染 phobos勒索病毒应急事件处置 ................... 15 七、 交通运输业某客户感染 Magniber 勒索病毒应急响应事件 ................ 16 八、 服务业某客户 100+台服务器感染挖矿病毒应急事件处置 ................ 17 九、 能源行业某客户内网收到钓鱼邮件应急事件处置 ............................ 19 十、 某客户遭遇 Apache Log4j2 漏洞攻击应急事件处置 ........................ 20 附录1 奇安信集团安服团队 ................................ ................................ ........... 22 附录2 应急响应工具箱介绍 ................................ ................................ ........... 23 附录3 95015 冬奥网络安全应急保障服务热线 ................................ ............... 24 © 奇安信集团 第 1 页，共 24 页 第一章 2021年全年应急 2021年1-12月，奇安信集团安服团队共参与和处置了全国范围内 1097起网络安 全应急响应事件，第一时间协助政企机构处理安全事故，确保了政企机构门户网站、数 据库和重要业务系统的持续安全稳定运行。 2021年应急响应服务月度统计情况具体如下： 2021年，奇安信安服共处置应急响应事件 1097起，投入工时为 7932.4小时，折合 991.6人天。其中， 2021年4月，因全国多地举行网络安全实战攻防演习活动，应急