| 作者 |
| 奇安信安服团队 |
| 丛书名 |
| 出版社 |
| 电子工业出版社 |
| ISBN |
| 9787121398810 |
| 简要 |
| 简介 |
| 内容简介书籍计算机书籍 2019年,奇安信安服团队出版了《应急响应—网络安全的预防、发现、处置和恢复》科普图书,旨在提高机构、企业在网络安全应急响应方面的组织建设能力。2020年,我们撰写本书,旨在借助奇安信安服团队多年来积累的上千起网络安全应急响应事件处置的实战经验,帮助一线安全人员更加高效、高质量地处置网络安全应急响应事件。本书共10章,第1~3章为网络安全应急响应工程师需要掌握的基础理论、基础技能和常用工具,第4~10章为当前网络安全应急响应常见的七大处置场景,分别是勒索病毒、挖矿木马、Webshell、网页篡改、DDoS攻击、数据泄露和流量劫持网络安全应急响应。通过本书的学习,一线网络安全应急响应工程师可掌握网络安全应急响应处置思路、技能,以及相关工具的使用,以便实现快速响应的新安全要求。本书适合机构、企业的安全运营人员使用,也可作为高校网络安全相关专业学生的培训教材。 |
| 目录 |
| 第1章 网络安全应急响应概述\t1 1.1 应急响应基本概念\t1 1.2 网络安全应急响应基本概念\t1 1.3 网络安全应急响应的能力与方法\t3 1.3.1 机构、企业网络安全应急响应应具备的能力\t3 1.3.2 PDCERF(6阶段)方法\t4 1.4 网络安全应急响应现场处置流程\t6 第2章 网络安全应急响应工程师基础技能\t8 2.1 系统排查\t8 2.1.1 系统基本信息\t8 2.1.2 用户信息\t13 2.1.3 启动项\t20 2.1.4 任务计划\t23 2.1.5 其他\t26 2.2 进程排查\t28 2.3 服务排查\t39 2.4 文件痕迹排查\t41 2.5 日志分析\t53 2.6 内存分析\t70 2.7 流量分析\t77 2.8 威胁情报\t83 第3章 常用工具介绍\t86 3.1 SysinternalsSuite\t86 3.2 PCHunter/火绒剑/PowerTool\t87 3.3 Process Monitor\t88 3.4 Event Log Explorer\t88 3.5 FullEventLogView\t89 3.6 Log Parser\t90 3.7 ThreatHunting\t90 3.8 WinPrefetchView\t91 3.9 WifiHistoryView\t91 3.10 奇安信应急响应工具箱\t92 第4章 勒索病毒网络安全应急响应\t95 4.1 勒索病毒概述\t95 4.1.1 勒索病毒简介\t95 4.1.2 常见的勒索病毒\t95 4.1.3 勒索病毒利用的常见漏洞\t103 4.1.4 勒索病毒的解密方法\t104 4.1.5 勒索病毒的传播方法\t105 4.1.6 勒索病毒的攻击特点\t106 4.1.7 勒索病毒的防御方法\t107 4.2 常规处置方法\t110 4.2.1 隔离被感染的服务器/主机\t110 4.2.2 排查业务系统\t111 4.2.3 确定勒索病毒种类,进行溯源分析\t111 4.2.4 恢复数据和业务\t111 4.2.5 后续防护建议\t112 4.3 错误处置方法\t112 4.4 常用工具\t113 4.4.1 勒索病毒查询工具\t113 4.4.2 日志分析工具\t117 4.5 技术操作指南\t119 4.5.1 初步预判\t120 4.5.2 临时处置\t126 4.5.3 系统排查\t127 4.5.4 日志排查\t135 4.5.5 网络流量排查\t139 4.5.6 清除加固\t139 4.6 典型处置案例\t140 4.6.1 服务器感染GlobeImposter 勒索病毒\t140 4.6.2 服务器感染Crysis勒索病毒\t145 第5章 挖矿木马网络安全应急响应\t150 5.1 挖矿木马概述\t150 5.1.1 挖矿木马简介\t150 5.1.2 常见的挖矿木马\t150 5.1.3 挖矿木马的传播方法\t153 5.1.4 挖矿木马利用的常见漏洞\t154 5.2 常规处置方法\t155 5.2.1 隔离被感染的服务器/主机\t155 5.2.2 确认挖矿进程\t156 5.2.3 挖矿木马清除\t156 5.2.4 挖矿木马防范\t157 5.3 常用工具\t158 5.3.1 ProcessExplorer\t158 5.3.2 PCHunter\t160 5.4 技术操作指南\t162 5.4.1 初步预判\t162 5.4.2 系统排查\t165 5.4.3 日志排查\t176 5.4.4 清除加固\t178 5.5 典型处置案例\t179 5.5.1 Windows服务器感染挖矿木马\t179 5.5.2 Linux服务器感染挖矿木马\t183 第6章 Webshell网络安全应急响应\t188 6.1 Webshell概述\t188 6.1.1 Webshell分类\t188 6.1.2 Webshell用途\t189 6.1.3 Webshell检测方法\t190 6.1.4 Webshell防御方法\t190 6.2 常规处置方法\t191 6.2.1 入侵时间确定\t191 6.2.2 Web日志分析\t192 6.2.3 漏洞分析\t192 6.2.4 漏洞复现\t192 6.2.5 漏洞修复\t193 6.3 常用工具\t194 6.3.1 扫描工具\t194 6.3.2 抓包工具\t195 6.4 技术操作指南\t195 6.4.1 初步预判\t196 6.4.2 Webshell排查\t198 6.4.3 Web日志分析\t199 6.4.4 系统排查\t202 6.4.5 日志排查\t218 6.4.6 网络流量排查\t221 6.4.7 清除加固\t223 6.5 典型处置案例\t224 6.5.1 网站后台登录页面被篡改\t224 6.5.2 Linux系统网站服务器被植入Webshell\t229 6.5.3 Windows系统网站服务器被植入Webshell\t235 第7章 网页篡改网络安全应急响应\t238 7.1 网页篡改概述\t238 7.1.1 网页篡改事件分类\t238 7.1.2 网页篡改原因\t239 7.1.3 网页篡改攻击手法\t240 7.1.4 网页篡改检测技术\t240 7.1.5 网页篡改防御方法\t241 7.1.6 网页篡改管理制度\t241 7.2 常规处置方法\t242 7.2.1 隔离被感染的服务器/主机\t242 7.2.2 排查业务系统\t242 7.2.3 确定漏洞源头、溯源分析\t243 7.2.4 恢复数据和业务\t243 7.2.5 后续防护建议\t243 7.3 错误处置方法\t243 7.4 常用工具\t244 7.5 技术操作指南\t244 7.5.1 初步预判\t244 7.5.2 系统排查\t245 7.5.3 日志排查\t247 7.5.4 网络流量排查\t249 7.5.5 清除加固\t249 7.6 典型处置案例\t249 7.6.1 内部系统主页被篡改\t249 7.6.2 网站首页被植入暗链\t252 第8章 DDoS攻击网络安全应急响应\t257 8.1 DDOS攻击概述\t257 8.1.1 DDoS攻击简介\t257 8.1.2 DDoS攻击目的\t257 8.1.3 常见DDoS攻击方法\t258 8.1.4 DDoS攻击中的一些误区\t266 8.1.5 DDoS攻击防御方法\t267 8.2 常规处置方法\t268 8.2.1 判断DDoS攻击的类型\t268 8.2.2 采取措施缓解\t269 8.2.3 溯源分析\t269 8.2.4 后续防护建议\t269 8.3 技术操作指南\t269 8.3.1 初步预判\t269 8.3.2 问题排查\t272 8.3.3 临时处置方法\t272 8.3.4 研判溯源\t273 8.3.5 清除加固\t273 8.4 典型处置案例\t273 第9章 数据泄露网络安全应急响应\t275 9.1 数据泄露概述\t275 9.1.1 数据泄露简介\t275 9.1.2 数据泄露途径\t275 9.1.3 数据泄露防范\t277 9.2 常规处置方法\t277 9.2.1 发现数据泄露\t277 9.2.2 梳理基本情况\t278 9.2.3 判断泄露途径\t278 9.2.4 数据泄露处置\t278 9.3 常用工具\t279 9.3.1 Hawkeye\t279 9.3.2 Sysmon\t283 9.4 技术操作指南\t287 9.4.1 初步研判\t287 9.4.2 确定排查范围和目标\t288 9.4.3 建立策略\t289 9.4.4 系统排查\t290 9.5 典型处置案例\t291 9.5.1 Web服务器数据泄露\t291 9.5.2 Web应用系统数据泄露\t295 第10章 流量劫持网络安全应急响应\t303 10.1 流量劫持概述\t303 10.1.1 流量劫持简介\t303 10.1.2 常见流量劫持\t303 10.1.3 常见攻击场景\t311 10.1.4 流量劫持防御方法\t313 10.2 常规处置方法\t313 10.2.1 DNS劫持处置\t313 10.2.2 HTTP劫持处置\t314 10.2.3 链路层劫持处置\t314 10.3 常用命令及工具\t315 10.3.1 nslookup命令\t315 10.3.2 dig命令\t317 10.3.3 traceroute命令\t319 10.3.4 Wireshark工具\t319 10.3.5 流量嗅探工具\t320 10.4 技术操作指南\t321 10.4.1 初步预判\t321 10.4.2 DNS劫持排查\t322 10.4.3 HTTP劫持排查\t327 10.4.4 TCP劫持排查\t328 10.4.5 ARP劫持排查\t329 10.5 典型处置案例\t330 10.5.1 网络恶意流量劫持\t330 10.5.2 网站恶意跳转\t331 10.5.3 网站搜索引擎劫持\t332 |