網絡安全應急響應技術實戰(zhàn)指南

第1章 網絡安全應急響應概述 1
1．1 應急響應基本概念 1
1．2 網絡安全應急響應基本概念 1
1．3 網絡安全應急響應的能力與方法 3
1．3．1 機構、企業(yè)網絡安全應急響應應具備的能力 3
1．3．2 PDCERF（6階段）方法 4
1．4 網絡安全應急響應現場處置流程 6
第2章 網絡安全應急響應工程師基礎技能 8
2．1 系統(tǒng)排查 8
2．1．1 系統(tǒng)基本信息 8
2．1．2 用戶信息 13
2．1．3 啟動項 20
2．1．4 任務計劃 23
2．1．5 其他 26
2．2 進程排查 28
2．3 服務排查 39
2．4 文件痕跡排查 41
2．5 日志分析 53
2．6 內存分析 70
2．7 流量分析 77
2．8 威脅情報 83
第3章 常用工具介紹 86
3．1　SysinternalsSuite 86
3．2　PCHunter/火絨劍/PowerTool 87
3．3　Process Monitor 88
3．4　Event Log Explorer 88
3．5　FullEventLogView 89
3．6　Log Parser 90
3．7　ThreatHunting 90
3．8　WinPrefetchView 91
3．9　WifiHistoryView 91
3．10　奇安信應急響應工具箱 92
第4章 勒索病毒網絡安全應急響應 95
4．1　勒索病毒概述 95
4．1．1　勒索病毒簡介 95
4．1．2　常見的勒索病毒 95
4．1．3　勒索病毒利用的常見漏洞 103
4．1．4 勒索病毒的解密方法 104
4．1．5 勒索病毒的傳播方法 105
4．1．6 勒索病毒的攻擊特點 106
4．1．7 勒索病毒的防御方法 107
4．2 常規(guī)處置方法 110
4．2．1 隔離被感染的服務器/主機 110
4．2．2 排查業(yè)務系統(tǒng) 111
4．2．3 確定勒索病毒種類，進行溯源分析 111
4．2．4 恢復數據和業(yè)務 111
4．2．5 后續(xù)防護建議 112
4．3 錯誤處置方法 112
4．4 常用工具 113
4．4．1 勒索病毒查詢工具 113
4．4．2 日志分析工具 117
4．5 技術操作指南 119
4．5．1 初步預判 120
4．5．2 臨時處置 126
4．5．3 系統(tǒng)排查 127
4．5．4 日志排查 135
4．5．5 網絡流量排查 139
4．5．6 清除加固 139
4．6 典型處置案例 140
4．6．1 服務器感染GlobeImposter 勒索病毒 140
4．6．2 服務器感染Crysis勒索病毒 145
第5章 挖礦木馬網絡安全應急響應 150
5．1 挖礦木馬概述 150
5．1．1 挖礦木馬簡介 150
5．1．2 常見的挖礦木馬 150
5．1．3 挖礦木馬的傳播方法 153
5．1．4 挖礦木馬利用的常見漏洞 154
5．2 常規(guī)處置方法 155
5．2．1 隔離被感染的服務器/主機 155
5．2．2 確認挖礦進程 156
5．2．3 挖礦木馬清除 156
5．2．4 挖礦木馬防范 157
5．3 常用工具 158
5．3．1 ProcessExplorer 158
5．3．2 PCHunter 160
5．4 技術操作指南 162
5．4．1 初步預判 162
5．4．2 系統(tǒng)排查 165
5．4．3 日志排查 176
5．4．4 清除加固 178
5．5 典型處置案例 179
5．5．1 Windows服務器感染挖礦木馬 179
5．5．2 Linux服務器感染挖礦木馬 183
第6章 Webshell網絡安全應急響應 188
6．1 Webshell概述 188
6．1．1 Webshell分類 188
6．1．2 Webshell用途 189
6．1．3 Webshell檢測方法 190
6．1．4 Webshell防御方法 190
6．2 常規(guī)處置方法 191
6．2．1 入侵時間確定 191
6．2．2 Web日志分析 192
6．2．3 漏洞分析 192
6．2．4 漏洞復現 192
6．2．5 漏洞修復 193
6．3 常用工具 194
6．3．1 掃描工具 194
6．3．2 抓包工具 195
6．4 技術操作指南 195
6．4．1 初步預判 196
6．4．2 Webshell排查 198
6．4．3 Web日志分析 199
6．4．4 系統(tǒng)排查 202
6．4．5 日志排查 218
6．4．6 網絡流量排查 221
6．4．7 清除加固 223
6．5 典型處置案例 224
6．5．1 網站后臺登錄頁面被篡改 224
6．5．2 Linux系統(tǒng)網站服務器被植入Webshell 229
6．5．3 Windows系統(tǒng)網站服務器被植入Webshell 235
第7章 網頁篡改網絡安全應急響應 238
7．1 網頁篡改概述 238
7．1．1 網頁篡改事件分類 238
7．1．2 網頁篡改原因 239
7．1．3 網頁篡改攻擊手法 240
7．1．4 網頁篡改檢測技術 240
7．1．5 網頁篡改防御方法 241
7．1．6 網頁篡改管理制度 241
7．2 常規(guī)處置方法 242
7．2．1 隔離被感染的服務器/主機 242
7．2．2 排查業(yè)務系統(tǒng) 242
7．2．3 確定漏洞源頭、溯源分析 243
7．2．4 恢復數據和業(yè)務 243
7．2．5 后續(xù)防護建議 243
7．3 錯誤處置方法 243
7．4 常用工具 244
7．5 技術操作指南 244
7．5．1 初步預判 244
7．5．2 系統(tǒng)排查 245
7．5．3 日志排查 247
7．5．4 網絡流量排查 249
7．5．5 清除加固 249
7．6 典型處置案例 249
7．6．1 內部系統(tǒng)主頁被篡改 249
7．6．2 網站首頁被植入暗鏈 252
第8章 DDoS攻擊網絡安全應急響應 257
8．1 DDOS攻擊概述 257
8．1．1 DDoS攻擊簡介 257
8．1．2 DDoS攻擊目的 257
8．1．3 常見DDoS攻擊方法 258
8．1．4 DDoS攻擊中的一些誤區(qū) 266
8．1．5 DDoS攻擊防御方法 267
8．2 常規(guī)處置方法 268
8．2．1 判斷DDoS攻擊的類型 268
8．2．2 采取措施緩解 269
8．2．3 溯源分析 269
8．2．4 后續(xù)防護建議 269
8．3 技術操作指南 269
8．3．1 初步預判 269
8．3．2 問題排查 272
8．3．3 臨時處置方法 272
8．3．4 研判溯源 273
8．3．5 清除加固 273
8．4 典型處置案例 273
第9章 數據泄露網絡安全應急響應 275
9．1 數據泄露概述 275
9．1．1 數據泄露簡介 275
9．1．2 數據泄露途徑 275
9．1．3 數據泄露防范 277
9．2 常規(guī)處置方法 277
9．2．1 發(fā)現數據泄露 277
9．2．2 梳理基本情況 278
9．2．3 判斷泄露途徑 278
9．2．4 數據泄露處置 278
9．3 常用工具 279
9．3．1 Hawkeye 279
9．3．2 Sysmon 283
9．4 技術操作指南 287
9．4．1 初步研判 287
9．4．2 確定排查范圍和目標 288
9．4．3 建立策略 289
9．4．4 系統(tǒng)排查 290
9．5 典型處置案例 291
9．5．1 Web服務器數據泄露 291
9．5．2 Web應用系統(tǒng)數據泄露 295
第10章 流量劫持網絡安全應急響應 303
10．1 流量劫持概述 303
10．1．1 流量劫持簡介 303
10．1．2 常見流量劫持 303
10．1．3 常見攻擊場景 311
10．1．4 流量劫持防御方法 313
10．2 常規(guī)處置方法 313
10．2．1 DNS劫持處置 313
10．2．2 HTTP劫持處置 314
10．2．3 鏈路層劫持處置 314
10．3 常用命令及工具 315
10．3．1 nslookup命令 315
10．3．2 dig命令 317
10．3．3 traceroute命令 319
10．3．4 Wireshark工具 319
10．3．5 流量嗅探工具 320
10．4 技術操作指南 321
10．4．1 初步預判 321
10．4．2 DNS劫持排查 322
10．4．3 HTTP劫持排查 327
10．4．4 TCP劫持排查 328
10．4．5 ARP劫持排查 329
10．5 典型處置案例 330
10．5．1 網絡惡意流量劫持 330
10．5．2 網站惡意跳轉 331
10．5．3 網站搜索引擎劫持 332