網絡安全應急響應實戰

甄誠，網絡安全專家，曾在360公司安全服務中心應急響應團隊擔任負責人。擁有多年網絡安全從業經驗曾為政府機構、企事業單位提供專業服務，在應對APT擊、勒索病毒事件、挖礦病毒事件、網站入侵事件等方面擁有豐富的實戰經驗，並具備深厚的應急響應體系建設經驗。

馬東辰，騰訊雲鼎實驗室安全專家，曾在360公司安全服務中心擔任副總經理，擁有多年網絡安全從業經驗，曾為政府機構、央企、民企(如證券、因特網公司)提供專業服務，具有豐富的應急響應經驗，並具備深厚的網絡安全應急響應團隊及體系建設經驗。

張晨，360公司安全服務應急響應團隊前核心成員，主要從事電子取證、樣本分析等工作。曾在國內某通信設備製造公司任網絡安全研究員負責過多個“僵木蠕”、挖礦病毒勒索病毒類應急響應項目，具備豐富的網絡安全應急響應實戰經驗。

第 1章　網絡安全應急響應概述　1

1.1 應急響應及網絡安全應急響應　1

1.1.1 網絡安全應急響應的含義　2

1.1.2 網絡安全應急響應的作用　2

1.1.3 網絡安全應急響應的相關法律法規與要求　3

1.2 網絡安全應急響應面臨的挑戰與發展趨勢　7

1.2.1 網絡安全應急響應面臨的挑戰　7

1.2.2 網絡安全應急響應技術向工具化、平臺化發展　9

1.3 網絡安全應急響應流程　12

1.4 常見網絡安全應急響應場景　15

第 2章　應急響應基礎技術　17

2.1 日誌分析技術　17

2.1.1 Windows日誌分析　18

2.1.2 Linux日誌分析　32

2.1.3 Web日誌分析　38

2.2 流量分析技術　42

2.2.1 實時流量分析　42

2.2.2 回溯流量分析　46

2.2.3 Wireshark　47

2.2.4 tcpdump　51

2.2.5 典型案例分析　52

2.3 威脅情報分析技術　55

2.3.1 威脅情報的來源　56

2.3.2 威脅情報的使用　56

2.3.3 威脅情報平臺的使用　57

2.4 溯源分析技術　59

2.4.1 整體溯源分析思路　59

2.4.2 溯源信息擴展　61

第3章　常見操作系統下的應急響應技術　63

3.1 Windows應急響應技術　63

3.1.1 日誌分析　63

3.1.2 網絡連接分析　64

3.1.3 異常進程分析　66

3.1.4 異常賬戶分析　67

3.1.5 流量分析　71

3.1.6 異常服務分析　71

3.1.7 任務計劃分析　74

3.1.8 啟動項分析　76

3.1.9 可疑目錄及文件分析　78

3.2 Linux應急響應技術　80

3.2.1 日誌分析　80

3.2.2 網絡連接分析　81

3.2.3 異常進程分析　83

3.2.4 異常賬戶分析　84

3.2.5 計劃任務分析　89

3.2.6 異常目錄及文件分析　91

3.2.7 命令歷史記錄分析　92

3.2.8 自啟動服務分析　93

3.2.9 流量分析　95

3.3 macOS應急響應技術　96

3.3.1 日誌分析　96

3.3.2 異常賬戶分析　96

3.3.3 異常啟動項分析　98

3.3.4 異常進程分析　99

3.3.5 異常文件分析　100

3.3.6 網絡配置分析　103

第4章　應急響應高階技術　104

4.1 內存取證技術　104

4.1.1 內存鏡像提取　105

4.1.2 內存鏡像分析　111

4.1.3 內存取證分析實戰　116

4.2 樣本分析技術　123

4.2.1 樣本分析基礎　124

4.2.2 情報檢索　128

4.2.3 文件分析沙箱　131

4.2.4 人工樣本分析　132

第5章　網絡安全事件應急響應實戰　171

5.1 DDoS攻擊類應急響應實戰　171

5.1.1 DDoS攻擊主要類型　172

5.1.2 DDoS攻擊現象　175

5.1.3 DDoS攻擊應急響應案例　176

5.2 勒索病毒類應急響應實戰　177

5.2.1 勒索病毒分類　177

5.2.2 勒索病毒現象　178

5.2.3 勒索病毒處置　179

5.2.4 攻擊路徑溯源　179

5.2.5 勒索病毒應急響應案例　180

5.3 釣魚郵件類應急響應實戰　182

5.3.1 釣魚郵件主要類型　183

5.3.2 釣魚郵件分析流程　184

5.3.3 釣魚郵件應急響應案例　187

5.4 挖礦病毒類應急響應實戰　189

5.4.1 挖礦病毒的發現與分析　190

5.4.2 挖礦病毒主要傳播方式　193

5.4.3 挖礦病毒應急響應案例　195

5.5 Webshell攻擊類應急響應實戰　196

5.5.1 Webshell攻擊分析思路　197

5.5.2 Webshell攻擊排查步驟　198

5.5.3 Webshell攻擊應急響應案例　199

5.6 網頁篡改類應急響應實戰　207

5.6.1 網頁篡改分析思路　208

5.6.2 網頁篡改排查流程　208

5.6.3 網頁篡改應急響應案例　210

5.7 網站劫持類應急響應實戰　213

5.7.1 網站劫持分析思路　213

5.7.2 網站劫持排查流程　214

5.7.3 網站劫持應急響應案例　215

5.8 數據泄露類應急響應實戰　225

5.8.1 數據泄露分析思路　225

5.8.2 數據泄露排查流程　226

5.8.3 數據泄露應急響應案例　227

第6章　常見應用組件應急響應實戰　231

6.1 中間件　231

6.1.1 IIS　232

6.1.2 NGINX　235

6.1.3 Apache　236

6.1.4 Tomcat　238

6.1.5 WebLogic　239

6.1.6 JBoss　243

6.2 郵件系統　245

6.2.1 Coremail　246

6.2.2 Exchange Server　247

6.3 OA系統　249

6.3.1 泛微OA系統　250

6.3.2 致遠OA系統　251

6.4 數據庫　253

6.4.1 MySQL　253

6.4.2 MSSQL Server　257

6.4.3 Oracle　262

6.5 其他常見應用組件　270

6.5.1 Redis　271

6.5.2 Confluence　272

6.5.3 Log4j 2　274

6.5.4 Fastjson　276

6.5.5 Shiro　277

6.5.6 Struts 2　280

6.5.7 ThinkPHP　282

第7章　企業網絡安全應急響應體系建設　284

7.1 獲得高層領導支持　284

7.2 建設應急響應團隊　285

7.3 制定應急響應預案　286

7.4 網絡安全應急演練實施　287

7.5 網絡安全持續監控和不斷改進　289

7.6 不同行業企業應急響應體系建設的區別　290

結語　291

附錄A　網絡安全事件應急預案　292

A.1 總則　292

A.1.1 編制目的　292

A.1.2 適用範圍　292

A.1.3 事件分級　293

A.1.4 工作原則　294

A.2 組織機構與職責　294

A.2.1 領導機構與職責　294

A.2.2 辦事機構與職責　294

A.3 監測與預警　295

A.3.1 預警分級　295

A.3.2 安全監測　295

A.3.3 預警研判和發布　295

A.3.4 預警響應　296

A.3.5 預警解除　296

A.4 應急處置　297

A.4.1 初步處置　297

A.4.2 信息安全事件　297

A.4.3 應急響應　297

A.5 具體處置措施　299

A.5.1 有害程序事件　299

A.5.2 網絡攻擊事件　299

A.5.3 信息破壞事件　300

A.5.4 設備故障事件　300

A.5.5 災害性事件　300

A.5.6 其他事件　300

A.5.7 應急結束　300

A.5.8 調查處理和總結評估　301

A.5.9 總結和報告　301

A.6 預防工作　301

A.6.1 日常管理　301

A.6.2 監測預警和通報　302

A.6.3 應急演練　302

A.6.4 重要保障　302

A.7 工作保障　302

A.7.1 技術支撐　302

A.7.2 專家隊伍　303

A.7.3 資金保障　303

A.7.4 責任與獎懲　303

A.8 附則　303

附錄B　網絡安全應急演練方案　306

B.1 總則　306

B.1.1 應急演練定義　306

B.1.2 應急演練目標　306

B.1.3 應急演練原則　307

B.1.4 應急演練分類　307

B.1.5 應急演練規劃　309

B.2 應急演練組織機構　309

B.2.1 組織單位　309

B.2.2 參演單位　310

B.3 應急演練流程　311

B.4 應急演練準備　311

B.4.1 制訂演練計劃　311

B.4.2 設計演練方案　312

B.4.3 演練動員與培訓　314

B.4.4 應急演練保障　314

B.5 應急演練實施　315

B.5.1 系統準備　315

B.5.2 演練開始　315

B.5.3 演練執行　315

B.5.4 演練解說　316

B.5.5 演練記錄　316