当前全民战“疫” 积极应对新冠病毒疫情，对“疫情”相关热词普遍关注，安恒信息威胁情报中心与安恒信息应急响应中心发现多起利用“疫情”相关热词进行网络攻击行为。国内不法分子利用仿冒页面实现对用户信息的收集，诱导用户执行恶意文档，向受害用户主机上植入木马程序，实现远程控制和信息窃取，对用户的网络安全造成一定威胁。与此同时，多国黑客组织趁火搅局，声称会针对疫情相关医疗、卫生、政府等机构采取网络攻击行动，并利用肺炎疫情相关题材作为诱饵文档，对抗击疫情的多行业发动APT攻击。

为确保各企业单位在疫期能持续稳定运转，快速响应和处置安全事件，避免企业在疫情期间现场应急专家支持不足的情况，在疫情期间针对已采购安恒信息产品以及安全服务客户提供免费专项威胁情报和应急响应服务，及时帮助客户解决攻击事件。如果有客户已经确认受到恶意网络攻击，比如网站页面被恶意篡改、中了病毒木马等，安恒信息还将提供恶意文件分析服务。

1.对于全国所有用户，在疫情期间需要提供免费应急响应支持，请通过应急热线 400-6059-110反馈问题或通过邮箱cert#dbappsecurity.com.cn提交样本，将在24小时内给出分析结果。

2.对于已有EDR、APT、蜜罐等安恒信息产品的用户，在疫情期间需要提供免费远程应急响应分析支持，请通过商务经理发起申请，或通过cert# dbappsecurity.com.cn进行沟通，填写服务确认单审核后开启此项服务。

3.对于安恒信息老用户，在疫情期间需要提供免费威胁情报分析平台支持，请通过商务经理发起申请，或通过cert# dbappsecurity.com.cn进行沟通，填写服务确认单审核后开启威胁分析平台账号。

疫情期间提供的威胁情报服务具体包括：恶意文件（疫情相关病毒、木马等）、高危安全漏洞、数据泄露等三类：

恶意文件：疫情期间有恶意攻击者利用社交网络上的新冠病毒疫情讨论群组传播恶意附件的行为，对恶意邮件附件轻易点击可能导致病毒蠕虫感染或中后门程序，安恒信息威胁情报中心将实时监测网络上新的恶意攻击文件样本，及时推送相关威胁情报，避免遭受此类钓鱼攻击。

高危漏洞：疫情期间各软件厂商对安全漏洞和补丁更新会例行发布，恶意攻击者可能通过补丁对比，对新出的高危漏洞进行逆向分析开发出漏洞利用代码，对未及时运行安全更新或打补丁的系统实施网络攻击，安恒威胁情报中心将实时监测网络上新出的高危漏洞利用情况，及时推送相关威胁情报，避免遭受新漏洞攻击。

数据泄露：疫情期间黑客攻击活动没有停止，境外黑客带有各种目的抓住热点新闻兴风作浪，泄露被恶意盗取的敏感数据，安恒威胁情报中心将实时监测网络上新出的数据泄露情况，及时推送相关威胁情报，避免遭受数据泄露引发的关联攻击。

疫情期间，国内外相关的网络攻击事件不断，面对客户的安全威胁事件需求，安恒威胁情报及应急响应中心将提供精准快速的支持。例如，如遇到国外黑客团伙针对疫情相关医疗、卫生、政府等机构采取网络攻击行动时，安恒应急响应中心会第一时间为客户提供应急响应服务。疫情期间提供的应急响应服务具体包括：应急响应远程分析服务、远程应急响应支持。

1、对全国所有用户提供应急响应远程分析服务

应急响应热线（400-6059-110）7*24小时在线，遇到疫情相关的恶意软件，病毒，钓鱼邮件等类似攻击事件，提供应急响应远程分析服务，通过邮件（cert#dbappsecurity.com.cn）提交样本后24小时内给出分析结果。

2、对有EDR、APT、蜜罐等安恒信息产品的用户：提供远程应急响应支持。以下为服务介绍：

1)威胁情报：安恒集成国内外丰富的情报源，可对最新的威胁情报进行监测追踪与研究，提供安全事件类的威胁情报，以便向客户发出告警；

2)威胁排查：通过远程协助，以漏洞和软件等威胁信息结合客户资产范围，对隐患资产进行威胁排查任务；

3)告警分析：结合设备告警数据，通过对隐患资产的ip信息、威胁的漏洞和攻击方式等信息筛选告警，对告警数据包进行告警分析，排除误报，最后形成告警分析记录；

4)日志分析：通过远程协助对隐患资产和告警进一步日志分析，结合告警分析及日志分析结论，形成日志分析结果；

5)事件研判：提供初级研判结果，包括事件级别、处置建议，提供完整的解决方案，包括防护建议、处置建议及产品；

6)应急响应：提供远程应急服务，协助客户完成应急处置，并且形成应急报告可同步给应急小组，同时也可形成应急案例可供分享。

疫情期间提供的SaaS化平台包括：威胁情报、恶意文件分析和应急响应平台。

安全数据大脑依托安恒信息的SaaS云监测服务、云防护服务、蜜罐网络、全球资产探测等能力，集成国内外200余家情报源，提炼形成面向服务器安全的威胁情报中心。通过对全球网络探测，服务器遭受的攻击，最新的威胁动态进行监测追踪与研究，采用多源情报关联分析与机器学习模型，形成情报信誉库、安全事件库、网络资产库与威胁动态库4类情报库，可有效提升区域安全态势感知、未知威胁检测、威胁溯源分析、主动防御等场景的智能化程度。

恶意文件分析（安恒信息文件威胁分析平台），文件威胁分析平台（TI）基于明御APT攻击（网络战）预警平台的分析能力结合威胁情报，针对海量程序样本进行自动化动、静态的分析，将分析结果存储大数据分析平台便于关联分析检索。相对于原来的针对一次攻击的信息挖掘，平台基于海量样本数据、情报数据的基础，通过各类相识度算法查找同源的样本进行数据扩展挖掘，提升数据查找的能力。

应急响应（安全运营SaaS化平台），方便快捷的自动化应急响应流程，集成安恒应急响应工具集，支持Web后门检测（win/linux）、主机病毒查杀(win/linux)、流量分析、证据固定等应急响应必备功能。Web后门检测引擎是安恒安全专家团队在深入分析研究网页后门基础上研发而成，独创的智能扫描技术能有效扫描asp、php、jsp、aspx等多种网页后门（WebShell）。通过对目标网站源码内容分析、匹配，为客户的网站提供网页后门检查、实时告警，通过快速高效的告警分析、日志分析、协调调度能力，结合专业的安全事件分析专家团队，安恒信息能为企业提供灵活快捷的应急响应服务，减轻远程办公的安全运营负担，协助客户应对各类突发的安全事件，避免资产损失。