正版 网络安全应急响应技术实战指南 奇安信安服团队 电子工业出

第1章 网络安全应急响应概述1
1．1 应急响应基本概念1
1．2 网络安全应急响应基本概念1
1．3 网络安全应急响应的能力与方法3
1．3．1 机构、企业网络安全应急响应应具备的能力3
1．3．2 PDCERF（6阶段）方法4
1．4 网络安全应急响应现场处置流程6
第2章 网络安全应急响应工程师基础技能8
2．1 系统排查8
2．1．1 系统基本信息8
2．1．2 用户信息13
2．1．3 启动项20
2．1．4 任务计划23
2．1．5 其他26
2．2 进程排查28
2．3 服务排查39
2．4 文件痕迹排查41
2．5 日志分析53
2．6 内存分析70
2．7 流量分析77
2．8 威胁情报83
第3章 常用工具介绍86
3．1 SysinternalsSuite86
3．2 PCHunter/火绒剑/PowerTool87
3．3 Process Monitor88
3．4 Event Log Explorer88
3．5 FullEventLogView89
3．6 Log Parser90
3．7 ThreatHunting90
3．8 WinPrefetchView91
3．9 WifiHistoryView91
3．10 奇安信应急响应工具箱92
第4章 勒索病毒网络安全应急响应95
4．1 勒索病毒概述95
4．1．1 勒索病毒简介95
4．1．2 常见的勒索病毒95
4．1．3 勒索病毒利用的常见漏洞103
4．1．4 勒索病毒的解密方法104
4．1．5 勒索病毒的传播方法105
4．1．6 勒索病毒的攻击特点106
4．1．7 勒索病毒的防御方法107
4．2 常规处置方法110
4．2．1 隔离被感染的服务器/主机110
4．2．2 排查业务系统111
4．2．3 确定勒索病毒种类，进行溯源分析111
4．2．4 恢复数据和业务111
4．2．5 后续防护建议112
4．3 错误处置方法112
4．4 常用工具113
4．4．1 勒索病毒查询工具113
4．4．2 日志分析工具117
4．5 技术操作指南119
4．5．1 初步预判120
4．5．2 临时处置126
4．5．3 系统排查127
4．5．4 日志排查135
4．5．5 网络流量排查139
4．5．6 清除加固139
4．6 典型处置案例140
4．6．1 服务器感染GlobeImposter 勒索病毒140
4．6．2 服务器感染Crysis勒索病毒145
第5章 挖矿木马网络安全应急响应150
5．1 挖矿木马概述150
5．1．1 挖矿木马简介150
5．1．2 常见的挖矿木马150
5．1．3 挖矿木马的传播方法153
5．1．4 挖矿木马利用的常见漏洞154
5．2 常规处置方法155
5．2．1 隔离被感染的服务器/主机155
5．2．2 确认挖矿进程156
5．2．3 挖矿木马清除156
5．2．4 挖矿木马防范157
5．3 常用工具158
5．3．1 ProcessExplorer158
5．3．2 PCHunter160
5．4 技术操作指南162
5．4．1 初步预判162
5．4．2 系统排查165
5．4．3 日志排查176
5．4．4 清除加固178
5．5 典型处置案例179
5．5．1 Windows服务器感染挖矿木马179
5．5．2 Linux服务器感染挖矿木马183
第6章 Webshell网络安全应急响应188
6．1 Webshell概述188
6．1．1 Webshell分类188
6．1．2 Webshell用途189
6．1．3 Webshell检测方法190
6．1．4 Webshell防御方法190
6．2 常规处置方法191
6．2．1 入侵时间确定191
6．2．2 Web日志分析192
6．2．3 漏洞分析192
6．2．4 漏洞复现192
6．2．5 漏洞修复193
6．3 常用工具194
6．3．1 扫描工具194
6．3．2 抓包工具195
6．4 技术操作指南195
6．4．1 初步预判196
6．4．2 Webshell排查198
6．4．3 Web日志分析199
6．4．4 系统排查202
6．4．5 日志排查218
6．4．6 网络流量排查221
6．4．7 清除加固223
6．5 典型处置案例224
6．5．1 网站后台登录页面被篡改224
6．5．2 Linux系统网站服务器被植入Webshell229
6．5．3 Windows系统网站服务器被植入Webshell235
第7章 网页篡改网络安全应急响应238
7．1 网页篡改概述238
7．1．1 网页篡改事件分类238
7．1．2 网页篡改原因239
7．1．3 网页篡改攻击手法240
7．1．4 网页篡改检测技术240
7．1．5 网页篡改防御方法241
7．1．6 网页篡改管理制度241
7．2 常规处置方法242
7．2．1 隔离被感染的服务器/主机242
7．2．2 排查业务系统242
7．2．3 确定漏洞源头、溯源分析243
7．2．4 恢复数据和业务243
7．2．5 后续防护建议243
7．3 错误处置方法243
7．4 常用工具244
7．5 技术操作指南244
7．5．1 初步预判244
7．5．2 系统排查245
7．5．3 日志排查247
7．5．4 网络流量排查249
7．5．5 清除加固249
7．6 典型处置案例249
7．6．1 内部系统主页被篡改249
7．6．2 网站首页被植入暗链252
第8章 DDoS攻击网络安全应急响应257
8．1 DDOS攻击概述257
8．1．1 DDoS攻击简介257
8．1．2 DDoS攻击目的257
8．1．3 常见DDoS攻击方法258
8．1．4 DDoS攻击中的一些误区266
8．1．5 DDoS攻击防御方法267
8．2 常规处置方法268
8．2．1 判断DDoS攻击的类型268
8．2．2 采取措施缓解269
8．2．3 溯源分析269
8．2．4 后续防护建议269
8．3 技术操作指南269
8．3．1 初步预判269
8．3．2 问题排查272
8．3．3 临时处置方法272
8．3．4 研判溯源273
8．3．5 清除加固273
8．4 典型处置案例273
第9章 数据泄露网络安全应急响应275
9．1 数据泄露概述275
9．1．1 数据泄露简介275
9．1．2 数据泄露途径275
9．1．3 数据泄露防范277
9．2 常规处置方法277
9．2．1 发现数据泄露277
9．2．2 梳理基本情况278
9．2．3 判断泄露途径278
9．2．4 数据泄露处置278
9．3 常用工具279
9．3．1 Hawkeye279
9．3．2 Sysmon283
9．4 技术操作指南287
9．4．1 初步研判287
9．4．2 确定排查范围和目标288
9．4．3 建立策略289
9．4．4 系统排查290
9．5 典型处置案例291
9．5．1 Web服务器数据泄露291
9．5．2 Web应用系统数据泄露295
第10章 流量劫持网络安全应急响应303
10．1 流量劫持概述303
10．1．1 流量劫持简介303
10．1．2 常见流量劫持303
10．1．3 常见攻击场景311
10．1．4 流量劫持防御方法313
10．2 常规处置方法313
10．2．1 DNS劫持处置313
10．2．2 HTTP劫持处置314
10．2．3 链路层劫持处置314
10．3 常用命令及工具315
10．3．1 nslookup命令315
10．3．2 dig命令317
10．3．3 traceroute命令319
10．3．4 Wireshark工具319
10．3．5 流量嗅探工具320
10．4 技术操作指南321
10．4．1 初步预判321
10．4．2 DNS劫持排查322
10．4．3 HTTP劫持排查327
10．4．4 TCP劫持排查328
10．4．5 ARP劫持排查329
10．5 典型处置案例330
10．5．1 网络恶意流量劫持330
10．5．2 网站恶意跳转331
10．5．3 网站搜索引擎劫持332

奇安信集团是北京2022年冬奥会和冬残奥会官方网络安全服务和杀毒软件赞助商。作为中国领先的网络安全品牌，奇安信集团多次承担国家级重大活动的网络安全保障工作，创建了稳定可靠的网络安全服务体系—全维度管控、全网络防护、全天候运行、全领域覆盖、全兵种协同、全线索闭环。 奇安信安服团队以攻防技术为核心，聚焦威胁检测和响应，通过提供咨询规划、威胁检测、攻防演习、持续响应、预警通告、安全运营等一系列实战化的服务，在云端安全大数据的支撑下，为用户提供全周期的安全保障服务。 奇安信安服团队提供的网络安全应急响应服务致力于成为“网络安全120”。2016年以来，奇安信安服团队已具备了丰富的网络安全应急响应实践经验，业务覆盖全国31个省(自治区、直辖市)，处置机构、企业网络安全应急响应事件2500多起，累计投入工时30000多小时，为全国超千家机构、企业解决了网络安全问题。 奇安信安服团队推出网络安全应急响应训练营服务，面向广大机构、企业，将团队在一线积累的实践经验进行网络安全培训和赋能，帮助机构、企业的安全管理者、安全运营人员、工程师等不同岗位工作者提高网络安全应急响应能力和技术水平。奇安信安服团队正在用专业的技术能力保障着用户的网络安全，尽可能地减少安全事件对用户造成的经济损失，以及对社会造成的恶劣影响。

20+位安全服务专家精心编撰；2500+次应急响应实战总结；30000+小时不间断安全服务监测洞察。

安天副总工程师 李柏松本书结合大量典型案例，较为全面地介绍了勒索软件、挖矿木马、DDoS等网络安全应急响应常见场景的处置流程和注意事项。本书适合企业、机构的网络运维人员阅读，同时对网络安全厂商的应急响应团队也具有很高的参考价值。

腾讯安全平台部总监、 腾讯安全应急响应中心负责人 胡珀(lake2)“养兵千日，用兵一时”，发生安全事件的时候往往是安全工程师压力最大的时候，要想处理好安全事件，就要在平时多练兵。本书从基础技能、常用工具和常见场景出发，全面阐述了网络安全应急响应工作的步骤和流程，是诸多安全专家的经验总结，也是不可多得的网络安全应急响应实战指导手册。

阿里云高级安全专家 ThreatSource面对企业的数字化转型进程的加速，企业首先要保护的就是自己的数据和IP(知识产权)，与之对应的防护方式也应不断升级，应急响应是重要环节。安全体系防护的有效性(预防)，威胁检测的实时性(检测)，应急响应的快速止血、自动化、快速分析(响应)、溯源能力等都是保障企业安全，使之免于遭受重大损失的关键。本书作者根据多年的经验积累，将勒索软件、Webshell、网页篡改、DDoS等攻击的原理、响应方法、使用工具做了全面介绍，是一本不可多得的实战型指导手册。

2019年，奇安信安服团队出版了《应急响应―网络安全的预防、发现、处置和恢复》科普图书，旨在提高机构、企业在网络安全应急响应方面的组织建设能力。2020年，我们撰写本书，旨在借助奇安信安服团队多年来积累的上千起网络安全应急响应事件处置的实战经验，帮助一线安全人员更加高效、高质量地处置网络安全应急响应事件。本书共10章，第1～3章为网络安全应急响应工程师需要掌握的基础理论、基础技能和常用工具，第4～10章为当前网络安全应急响应常见的七大处置场景，分别是勒索病毒、挖矿木马、Webshell、网页篡改、DDoS攻击、数据泄露和流量劫持网络安全应急响应。通过本书的学习，一线网络安全应急响应工程师可掌握网络安全应急响应处置思路、技能，以及相关工具的使用，以便实现快速响应的新安全要求。本书适合机构、企业的安全运营人员使用，也可作为高校网络安全相关专业学生的培训教材。