2019年，奇安信安服团队出版了《应急响应―网络安全的预防、发现、处置和恢复》科普图书，旨在提高机构、企业在网络安全应急响应方面的组织建设能力。2020年，我们撰写本书，旨在借助奇安信安服团队多年来积累的上千起网络安全应急响应事件处置的实战经验，帮助一线安全人员更加高效、高质量地处置网络安全应急响应事件。本书共10章，第1～3章为网络安全应急响应工程师需要掌握的基础理论、基础技能和常用工具，第4～10章为当前网络安全应急响应常见的七大处置场景，分别是勒索病毒、挖矿木马、Webshell、网页篡改、DDoS攻击、数据泄露和流量劫持网络安全应急响应。通过本书的学习，一线网络安全应急响应工程师可掌握网络安全应急响应处置思路、技能，以及相关工具的使用，以便实现快速响应的新安全要求。本书适合机构、企业的安全运营人员使用，也可作为高校网络安全相关专业学生的培训教材。

奇安信集团是北京2022年冬奥会和冬残奥会官方网络安全服务和杀毒软件赞助商。作为中国领先的网络安全品牌，奇安信集团多次承担***重大活动的网络安全保障工作，创建了稳定可靠的网络安全服务体系―全维度管控、全网络防护、全天候运行、全领域覆盖、全兵种协同、全线索闭环。 奇安信安服团队以攻防技术为核心，聚焦威胁检测和响应，通过提供咨询规划、威胁检测、攻防演习、持续响应、预警通告、安全运营等一系列实战化的服务，在云端安全大数据的支撑下，为用户提供全周期的安全保障服务。 奇安信安服团队提供的网络安全应急响应服务致力于成为“网络安全120”。2016年以来，奇安信安服团队已具备了丰富的网络安全应急响应实践经验，业务覆盖全国31个省（自治区、直辖市），处置机构、企业网络安全应急响应事件2500多起，累计投入工时30000多小时，为全国超千家机构、企业解决了网络安全问题。 奇安信安服团队推出网络安全应急响应训练营服务，面向广大机构、企业，将团队在一线积累的实践经验进行网络安全培训和赋能，帮助机构、企业的安全管理者、安全运营人员、工程师等不同岗位工作者提高网络安全应急响应能力和技术水平。奇安信安服团队正在用专业的技术能力保障着用户的网络安全，尽可能地减少安全事件对用户造成的经济损失，以及对社会造成的恶劣影响。

第1章 网络安全应急响应概述 1
1．1 应急响应基本概念 1
1．2 网络安全应急响应基本概念 1
1．3 网络安全应急响应的能力与方法 3
1．3．1 机构、企业网络安全应急响应应具备的能力 3
1．3．2 PDCERF（6阶段）方法 4
1．4 网络安全应急响应现场处置流程 6
第2章 网络安全应急响应工程师基础技能 8
2．1 系统排查 8
2．1．1 系统基本信息 8
2．1．2 用户信息 13
2．1．3 启动项 20
2．1．4 任务计划 23
2．1．5 其他 26
2．2 进程排查 28
2．3 服务排查 39
2．4 文件痕迹排查 41
2．5 日志分析 53
2．6 内存分析 70
2．7 流量分析 77
2．8 威胁情报 83
第3章 常用工具介绍 86
3．1　SysinternalsSuite 86
3．2　PCHunter/火绒剑/PowerTool 87
3．3　Process Monitor 88
3．4　Event Log Explorer 88
3．5　FullEventLogView 89
3．6　Log Parser 90
3．7　ThreatHunting 90
3．8　WinPrefetchView 91
3．9　WifiHistoryView 91
3．10　奇安信应急响应工具箱 92
第4章 勒索病毒网络安全应急响应 95
4．1　勒索病毒概述 95
4．1．1　勒索病毒简介 95
4．1．2　常见的勒索病毒 95
4．1．3　勒索病毒利用的常见漏洞 103
4．1．4 勒索病毒的解密方法 104
4．1．5 勒索病毒的传播方法 105
4．1．6 勒索病毒的攻击特点 106
4．1．7 勒索病毒的防御方法 107
4．2 常规处置方法 110
4．2．1 隔离被感染的服务器/主机 110
4．2．2 排查业务系统 111
4．2．3 确定勒索病毒种类，进行溯源分析 111
4．2．4 恢复数据和业务 111
4．2．5 后续防护建议 112
4．3 错误处置方法 112
4．4 常用工具 113
4．4．1 勒索病毒查询工具 113
4．4．2 日志分析工具 117
4．5 技术操作指南 119
4．5．1 初步预判 120
4．5．2 临时处置 126
4．5．3 系统排查 127
4．5．4 日志排查 135
4．5．5 网络流量排查 139
4．5．6 清除加固 139
4．6 典型处置案例 140
4．6．1 服务器感染GlobeImposter 勒索病毒 140
4．6．2 服务器感染Crysis勒索病毒 145
第5章 挖矿木马网络安全应急响应 150
5．1 挖矿木马概述 150
5．1．1 挖矿木马简介 150
5．1．2 常见的挖矿木马 150
5．1．3 挖矿木马的传播方法 153
5．1．4 挖矿木马利用的常见漏洞 154
5．2 常规处置方法 155
5．2．1 隔离被感染的服务器/主机 155
5．2．2 确认挖矿进程 156
5．2．3 挖矿木马清除 156
5．2．4 挖矿木马防范 157
5．3 常用工具 158
5．3．1 ProcessExplorer 158
5．3．2 PCHunter 160
5．4 技术操作指南 162
5．4．1 初步预判 162
5．4．2 系统排查 165
5．4．3 日志排查 176
5．4．4 清除加固 178
5．5 典型处置案例 179
5．5．1 Windows服务器感染挖矿木马 179
5．5．2 Linux服务器感染挖矿木马 183
第6章 Webshell网络安全应急响应 188
6．1 Webshell概述 188
6．1．1 Webshell分类 188
6．1．2 Webshell用途 189
6．1．3 Webshell检测方法 190
6．1．4 Webshell防御方法 190
6．2 常规处置方法 191
6．2．1 入侵时间确定 191
6．2．2 Web日志分析 192
6．2．3 漏洞分析 192
6．2．4 漏洞复现 192
6．2．5 漏洞修复 193
6．3 常用工具 194
6．3．1 扫描工具 194
6．3．2 抓包工具 195
6．4 技术操作指南 195
6．4．1 初步预判 196
6．4．2 Webshell排查 198
6．4．3 Web日志分析 199
6．4．4 系统排查 202
6．4．5 日志排查 218
6．4．6 网络流量排查 221
6．4．7 清除加固 223
6．5 典型处置案例 224
6．5．1 网站后台登录页面被篡改 224
6．5．2 Linux系统网站服务器被植入Webshell 229
6．5．3 Windows系统网站服务器被植入Webshell 235
第7章 网页篡改网络安全应急响应 238
7．1 网页篡改概述 238
7．1．1 网页篡改事件分类 238
7．1．2 网页篡改原因 239
7．1．3 网页篡改攻击手法 240
7．1．4 网页篡改检测技术 240
7．1．5 网页篡改防御方法 241
7．1．6 网页篡改管理制度 241
7．2 常规处置方法 242
7．2．1 隔离被感染的服务器/主机 242
7．2．2 排查业务系统 242
7．2．3 确定漏洞源头、溯源分析 243
7．2．4 恢复数据和业务 243
7．2．5 后续防护建议 243
7．3 错误处置方法 243
7．4 常用工具 244
7．5 技术操作指南 244
7．5．1 初步预判 244
7．5．2 系统排查 245
7．5．3 日志排查 247
7．5．4 网络流量排查 249
7．5．5 清除加固 249
7．6 典型处置案例 249
7．6．1 内部系统主页被篡改 249
7．6．2 网站首页被植入暗链 252
第8章 DDoS攻击网络安全应急响应 257
8．1 DDOS攻击概述 257
8．1．1 DDoS攻击简介 257
8．1．2 DDoS攻击目的 257
8．1．3 常见DDoS攻击方法 258
8．1．4 DDoS攻击中的一些误区 266
8．1．5 DDoS攻击防御方法 267
8．2 常规处置方法 268
8．2．1 判断DDoS攻击的类型 268
8．2．2 采取措施缓解 269
8．2．3 溯源分析 269
8．2．4 后续防护建议 269
8．3 技术操作指南 269
8．3．1 初步预判 269
8．3．2 问题排查 272
8．3．3 临时处置方法 272
8．3．4 研判溯源 273
8．3．5 清除加固 273
8．4 典型处置案例 273
第9章 数据泄露网络安全应急响应 275
9．1 数据泄露概述 275
9．1．1 数据泄露简介 275
9．1．2 数据泄露途径 275
9．1．3 数据泄露防范 277
9．2 常规处置方法 277
9．2．1 发现数据泄露 277
9．2．2 梳理基本情况 278
9．2．3 判断泄露途径 278
9．2．4 数据泄露处置 278
9．3 常用工具 279
9．3．1 Hawkeye 279
9．3．2 Sysmon 283
9．4 技术操作指南 287
9．4．1 初步研判 287
9．4．2 确定排查范围和目标 288
9．4．3 建立策略 289
9．4．4 系统排查 290
9．5 典型处置案例 291
9．5．1 Web服务器数据泄露 291
9．5．2 Web应用系统数据泄露 295
第10章 流量劫持网络安全应急响应 303
10．1 流量劫持概述 303
10．1．1 流量劫持简介 303
10．1．2 常见流量劫持 303
10．1．3 常见攻击场景 311
10．1．4 流量劫持防御方法 313
10．2 常规处置方法 313
10．2．1 DNS劫持处置 313
10．2．2 HTTP劫持处置 314
10．2．3 链路层劫持处置 314
10．3 常用命令及工具 315
10．3．1 nslookup命令 315
10．3．2 dig命令 317
10．3．3 traceroute命令 319
10．3．4 Wireshark工具 319
10．3．5 流量嗅探工具 320
10．4 技术操作指南 321
10．4．1 初步预判 321
10．4．2 DNS劫持排查 322
10．4．3 HTTP劫持排查 327
10．4．4 TCP劫持排查 328
10．4．5 ARP劫持排查 329
10．5 典型处置案例 330
10．5．1 网络恶意流量劫持 330
10．5．2 网站恶意跳转 331
10．5．3 网站搜索引擎劫持 332

前言

Preface

当前，网络空间安全形势日益严峻，国内政府机构、大中型企业的门户网站和重要核心业务系统常成为攻击者的主要攻击目标。为妥善处置和应对政府机构、大中型企业关键信息基础设施可能发生的突发事件，确保关键信息基础设施的安全、稳定、持续运行，防止相关部门造成重大声誉影响和经济损失，我们需进一步加强网络安全与信息化应急保障能力。网络安全应急响应服务是安全防护的最后一道防线，巩固应急防线对安全能力建设至关重要。

2019年，奇安信安服团队出版了《应急响应——网络安全的预防、发现、处置和恢复》科普图书，旨在提高政企机构、监管机构在网络安全应急响应方面的组织建设能力。2020年，我们撰写本书，旨在借助奇安信安服团队多年来积累的上千起网络安全应急响应事件处置的实战经验，帮助一线安全人员更加高效、高质量地处置网络安全应急响应事件。

本书共10章，第1～3章为网络安全应急响应工程师需要掌握的基础理论、基础技能和常用工具。第1章主要介绍网络安全应急响应基本概念，机构、企业应具备的网络安全应急响应能力，网络安全应急响应现场处置流程等；第2章主要介绍网络安全应急响应工程师应具备的基础技能，如进程、服务、文件、日志、流量等的排查方法，本章通过大量的案例介绍及详细的步骤说明，使初学者也能基本掌握网络安全应急响应处置工作；第3章主要介绍网络安全应急响应工作中的常用工具，这些工具可以帮助网络安全应急响应工程师更加高效、全面地查找线索，确定攻击类型等。

第4～10章为当前网络安全应急响应常见的七大处置场景，分别是勒索病毒、挖矿木马、Webshell、网页篡改、DDoS攻击、数据泄露和流量劫持网络安全应急响应。各章首先会介绍场景的攻击原理、技术手法等，使读者初步了解攻击背景；然后介绍常规处置方法，为网络安全应急响应工作提供一个整体思路；之后再介绍常用工具和详细技术操作方法，包括确定攻击类型、重点排查内容、排查方法等；最后通过一些典型处置案例还原处置过程，以便让读者从真实案例中理解、巩固所学。

在实际的网络安全应急响应处置工作中，我们常会遇到各种各样的问题，上述的处置方法可以解决绝大多数问题，但也需要具体场景具体分析。例如，在存在多个攻击团伙、多种攻击形式的场景中，就需要我们综合应用各种方案进行应急响应。当然，即便是一个单一的安全事件，其处理的思路、排查的先后顺序也可能有所不同，都需要结合场景的具体业务系统、网络环境、安全设备部署、企业内部解决目标等多种因素进行处置。因此，一名优秀的网络安全应急响应工程师需要不断学习、实践、思考、总结，每次事件的处置都将是一次历练。我们希望通过本书，为广大读者提供一种思路、方法，也希望广大读者能够与我们交流，共同提高网络安全应急响应能力。

本书的出版要感谢奇安信安服团队张翀斌、张永印、刘洋、贾璐璐、裴智勇、苑博林、李明、赵依、宋伟、杨镇、程洋、方镇江、王晗潇、邹基亮、徐金燕、郭勇智、夏阳、李永杰、刘衡、钱昊、黄伟等。还要感谢电子工业出版社戴晨辰编辑的大力支持，以及其他工作人员的辛勤付出。由于作者水平所限，不妥之处在所难免，恳请广大网络安全专家、读者朋友批评指正。

作 者