：网络安全应急响应技术实战指南

内容简介

□019年，奇安信安服团队出版了《应急响应―网络安全的预防、发现、处置和恢复》科普图书，旨在提高机构、企业在网络安全应急响应方面的组织建设能力。□0□0年，我们撰写本书，旨在借助奇安信安服团队多年来积累的上千起网络安全应急响应事件处置的实战经验，帮助一线安全人员更加高效、高质量地处置网络安全应急响应事件。本书共10章，□□～3章为网络安全应急响应工程师需要掌握的基础理论、基础技能和常用工具，第4～10章为当前网络安全应急响应常见的七大处置场景，分别是勒索病毒、挖矿木马、Webshell、网页篡改、DDoS攻击、数据泄露和流量劫持网络安全应急响应。通过本书的学习，一线网络安全应急响应工程师可掌握网络安全应急响应处置思路、技能，以及相关工具的使用，以便实现快速响应的新安全要求。本书适合机构、企业的安全运营人员使用，也可作为高校网络安全相关专业学生的培训教材。

目录

□□章 网络安全应急响应概述1

1．1 应急响应基本概念1

1．□ 网络安全应急响应基本概念1

1．3 网络安全应急响应的能力与方法3

1．3．1 机构、企业网络安全应急响应应具备的能力3

1．3．□ PDCERF（6阶段）方法4

1．4 网络安全应急响应现场处置流程6

第□章 网络安全应急响应工程师基础技能8

□．1 系统排查8

□．1．1 系统基本信息8

□．1．□ 用户信息13

□．1．3 启动项□0

□．1．4 任务计划□3

□．1．5 其他□6

□．□ 进程排查□8

□．3 服务排查39

□．4 文件痕迹排查41

□．5 日志分析53

□．6 内存分析70

□．7 流量分析77

□．8 威胁情报83

第3章 常用工具介绍86

3．1　SysinternalsSuite86

3．□　PCHunter/火绒剑/PowerTool87

3．3　Process Monitor88

3．4　Event Log Explorer88

3．5　FullEventLogView89

3．6　Log Parser90

3．7　ThreatHunting90

3．8　WinPrefetchView91

3．9　WifiHistoryView91

3．10　奇安信应急响应工具箱9□

第4章 勒索病毒网络安全应急响应95

4．1　勒索病毒概述95

4．1．1　勒索病毒简介95

4．1．□　常见的勒索病毒95

4．1．3　勒索病毒利用的常见漏洞103

4．1．4 勒索病毒的解密方法104

4．1．5 勒索病毒的传播方法105

4．1．6 勒索病毒的攻击特点106

4．1．7 勒索病毒的防御方法107

4．□ 常规处置方法110

4．□．1 隔离被感染的服务器/主机110

4．□．□ 排查业务系统111

4．□．3 确定勒索病毒种类，进行溯源分析111

4．□．4 恢复数据和业务111

4．□．5 后续防护建议11□

4．3 错误处置方法11□

4．4 常用工具113

4．4．1 勒索病毒查询工具113

4．4．□ 日志分析工具117

4．5 技术操作指南119

4．5．1 初步预判1□0

4．5．□ 临时处置1□6

4．5．3 系统排查1□7

4．5．4 日志排查135

4．5．5 网络流量排查139

4．5．6 清除加固139

4．6 典型处置案例140

4．6．1 服务器感染GlobeImposter 勒索病毒140

4．6．□ 服务器感染Crysis勒索病毒145

第5章 挖矿木马网络安全应急响应150

5．1 挖矿木马概述150

5．1．1 挖矿木马简介150

5．1．□ 常见的挖矿木马150

5．1．3 挖矿木马的传播方法153

5．1．4 挖矿木马利用的常见漏洞154

5．□ 常规处置方法155

5．□．1 隔离被感染的服务器/主机155

5．□．□ 确认挖矿进程156

5．□．3 挖矿木马清除156

5．□．4 挖矿木马防范157

5．3 常用工具158

5．3．1 ProcessExplorer158

5．3．□ PCHunter160

5．4 技术操作指南16□

5．4．1 初步预判16□

5．4．□ 系统排查165

5．4．3 日志排查176

5．4．4 清除加固178

5．5 典型处置案例179

5．5．1 Windows服务器感染挖矿木马179

5．5．□ Linux服务器感染挖矿木马183

第6章 Webshell网络安全应急响应188

6．1 Webshell概述188

6．1．1 Webshell分类188

6．1．□ Webshell用途189

6．1．3 Webshell检测方法190

6．1．4 Webshell防御方法190

6．□ 常规处置方法191

6．□．1 入侵时间确定191

6．□．□ Web日志分析19□

6．□．3 漏洞分析19□

6．□．4 漏洞复现19□

6．□．5 漏洞修复193

6．3 常用工具194

6．3．1 扫描工具194

6．3．□ 抓包工具195

6．4 技术操作指南195

6．4．1 初步预判196

6．4．□ Webshell排查198

6．4．3 Web日志分析199

6．4．4 系统排查□0□

6．4．5 日志排查□18

6．4．6 网络流量排查□□1

6．4．7 清除加固□□3

6．5 典型处置案例□□4

6．5．1 网站后台登录页面被篡改□□4

6．5．□ Linux系统网站服务器被植入Webshell□□9

6．5．3 Windows系统网站服务器被植入Webshell□35

第7章 网页篡改网络安全应急响应□38

7．1 网页篡改概述□38

7．1．1 网页篡改事件分类□38

7．1．□ 网页篡改原因□39

7．1．3 网页篡改攻击手法□40

7．1．4 网页篡改检测技术□40

7．1．5 网页篡改防御方法□41

7．1．6 网页篡改管理制度□41

7．□ 常规处置方法□4□

7．□．1 隔离被感染的服务器/主机□4□

7．□．□ 排查业务系统□4□

7．□．3 确定漏洞源头、溯源分析□43

7．□．4 恢复数据和业务□43

7．□．5 后续防护建议□43

7．3 错误处置方法□43

7．4 常用工具□44

7．5 技术操作指南□44

7．5．1 初步预判□44

7．5．□ 系统排查□45

7．5．3 日志排查□47

7．5．4 网络流量排查□49

7．5．5 清除加固□49

7．6 典型处置案例□49

7．6．1 内部系统主页被篡改□49

7．6．□ 网站首页被植入暗链□5□

第8章 DDoS攻击网络安全应急响应□57

8．1 DDOS攻击概述□57

8．1．1 DDoS攻击简介□57

8．1．□ DDoS攻击目的□57

8．1．3 常见DDoS攻击方法□58

8．1．4 DDoS攻击中的一些误区□66

8．1．5 DDoS攻击防御方法□67

8．□ 常规处置方法□68

8．□．1 判断DDoS攻击的类型□68

8．□．□ 采取措施缓解□69

8．□．3 溯源分析□69

8．□．4 后续防护建议□69

8．3 技术操作指南□69

8．3．1 初步预判□69

8．3．□ 问题排查□7□

8．3．3 临时处置方法□7□

8．3．4 研判溯源□73

8．3．5 清除加固□73

8．4 典型处置案例□73

第9章 数据泄露网络安全应急响应□75

9．1 数据泄露概述□75

9．1．1 数据泄露简介□75

9．1．□ 数据泄露途径□75

9．1．3 数据泄露防范□77

9．□ 常规处置方法□77

9．□．1 发现数据泄露□77

9．□．□ 梳理基本情况□78

9．□．3 判断泄露途径□78

9．□．4 数据泄露处置□78

9．3 常用工具□79

9．3．1 Hawkeye□79

9．3．□ Sysmon□83

9．4 技术操作指南□87

9．4．1 初步研判□87

9．4．□ 确定排查范围和目标□88

9．4．3 建立策略□89

9．4．4 系统排查□90

9．5 典型处置案例□91

9．5．1 Web服务器数据泄露□91

9．5．□ Web应用系统数据泄露□95

□□0章 流量劫持网络安全应急响应303

10．1 流量劫持概述303

10．1．1 流量劫持简介303

10．1．□ 常见流量劫持303

10．1．3 常见攻击场景311

10．1．4 流量劫持防御方法313

10．□ 常规处置方法313

10．□．1 DNS劫持处置313

10．□．□ HTTP劫持处置314

10．□．3 链路层劫持处置314

10．3 常用命令及工具315

10．3．1 nslookup命令315

10．3．□ dig命令317

10．3．3 traceroute命令319

10．3．4 Wireshark工具319

10．3．5 流量□□工具3□0

10．4 技术操作指南3□1

10．4．1 初步预判3□1

10．4．□ DNS劫持排查3□□

10．4．3 HTTP劫持排查3□7

10．4．4 TCP劫持排查3□8

10．4．5 ARP劫持排查3□9

10．5 典型处置案例330

10．5．1 网络恶意流量劫持330

10．5．□ 网站恶意跳转331

10．5．3 网站搜索引擎劫持33□

作者简介

奇安信集团是北京□0□□年冬奥会和冬残奥会官方网络安全服务和杀毒软件赞助商。作为中国领先的网络安全品牌，奇安信集团多次承担***重大活动的网络安全保障工作，创建了稳定可靠的网络安全服务体系―全维度管控、全网络防护、全天候运行、全领域覆盖、全兵种协同、全线索闭环。 奇安信安服团队以攻防技术为核心，聚焦威胁检测和响应，通过提供咨询规划、威胁检测、攻防演习、持续响应、预警通告、安全运营等一系列实战化的服务，在云端安全大数据的支撑下，为用户提供全周期的安全保障服务。 奇安信安服团队提供的网络安全应急响应服务致力于成为“网络安全1□0”。□016年以来，奇安信安服团队已具备了丰富的网络安全应急响应实践经验，业务覆盖全国31个省（自治区、直辖市），处置机构、企业网络安全应急响应事件□500多起，累计投入工时30000多小时，为全国超千家机构、企业解决了网络安全问题。 奇安信安服团队推出网络安全应急响应训练营服务，面向广大机构、企业，将团队在一线积累的实践经验进行网络安全培训和赋能，帮助机构、企业的安全管理者、安全运营人员、工程师等不同岗位工作者提高网络安全应急响应能力和技术水平。奇安信安服团队正在用专业的技术能力保障着用户的网络安全，尽可能地减少安全事件对用户造成的经济损失，以及对社会造成的恶劣影响。