网络安全应急事件响应指导手册.docx

1、网络安全应急事件响应指导手册目录一、 说明5二、 第1章 勒索病毒5一状态判断5(一)电脑桌面被篡改5(二)文件后缀被篡改6(三)业务系统无法访问6(四)安全设备告警7二响应措施及应急处理流程7(一)隔离受感染的主机7(二)工作环境风险排除7(三)寻求专业的安全解决方案8(四)恢复系统9三应避免的错误处置行为10(一)使用移动存储设备10(二)读写中招主机上的磁盘件10四防治建议10(一)增强安全意识10(二)增加口令强度10(三)修复系统/应用漏洞10(四)端口管理11五应急实例11（一）Sage11三、 第2章 挖矿木马13一状态判断13(一)CPU使用率过高13(二)检测到异常外联13二

2、响应措施及应急处理流程13(一)隔离受感染的主机13(二)清除木马及相关文件13(三)工作环境风险排除13三防治建议14(一)增强安全意识14(二)增加口令强度14(三)修复系统/应用漏洞14(四)端口管理14(五)防护软件14四应急实例14（一）挖矿病毒一14（二）挖矿病毒二17四、 第3章 暴力破解21一状态判断21（一）FTP暴力破解21（二）SSH暴力破解21（三）RDP暴力破解21二响应措施及应急处理流程21（一）登录账号口令检查21（二）服务转移或关闭21（三）安全日志审查21三防治建议22四应急实例22（一）FTP暴力破解22（二）SSH暴力破解26五、 第4章 植入后门29一状

3、态判断29（一）内容篡改29（二）异常进程/任务29（三）安全日志巡检29（四）系统信息查看29二响应措施及应急处理流程29（一）文件分析29（二）进程分析29（三）日志信息分析30（四）账户相关性检查30三防治建议30四应急实例30（一）网站被植入Webshell30六、 第5章 劫持篡改34一状态判断34(一)DNS劫持34(二)http劫持34(三)网站内容劫持篡改34(四)搜索引擎劫持34二相应措施及应急处理流程34(一)网站劫持34(二)搜索引擎劫持34(三)网站内容被篡改34三防治建议35四应急实例35（一）新闻源网站劫持35（二）搜索引擎劫持37（三）网站首页被篡改38（四）管理

4、员账号被篡改41七、 第6章 证据固定42一日志记录43二规则/配置文件43三网络流量包43四DNS解析记录43五*恶意文件（需特别注意）43八、 第7章 相关资料44一、 说明本手册包含了勒索病毒、挖矿木马、暴力破解、后门植入以及劫持篡改五类常见应急事件的判断方法和处置措施，安全运维人员在遭遇上述事件时可参考使用。二、 第1章 勒索病毒勒索病毒，攻击者利用各种加密算法对数据文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。主要以邮件、程序木马、网页挂马等形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失，是近年来流行的病毒类型之一，主要有以下几种类型

5、： 对被攻击机器内的文件进行加密 对磁盘分区直接加密 劫持操作系统引导区，禁止用户正常登录操作系统一 状态判断(一) 电脑桌面被篡改计算机感染勒索病毒后，攻击者会在系统明显位置如桌面上留下标记，通常会出现新的文本/网页文件用于说明如何解密的信息。或直接更改桌面壁纸，显示勒索提示信息及解密联系方式，引导被攻击者交赎金。(二) 文件后缀被篡改勒索病毒一般会通过修改被加密文件的原始后缀来标识被其加密过的文件。被修改后的文件后缀通常为勒索病毒的名称或代表标志，如：l Satan勒索常见后缀：.satan、.sick、.evopro等l Sacrab勒索常见后缀：.krab、.Sacrab、.bombe

6、r、.Crash等l Matrix勒索常见后缀：.GRHAN、.PRCP、.SPCT、.PEDANT等l GANDCRAB勒索常见后缀：CRAB、.GRAB、KRAB、随机字母等(三) 业务系统无法访问于企业而言，勒索病毒的攻击目标自2018年开始不再局限于核心业务文件，企业的服务器及业务系统成为了攻击者的攻击目标。感染企业关键系统、破坏企业日常运营，甚至对生产线中难以升级、打补丁的系统和各种硬件进行攻击。但是当业务系统出现无法访问、生产线停产等现象时，并不能完全确定是服务器感染了勒索病毒，也有可能是受到DDoS攻击或是中了其他病毒等原因所致，所以还需要结合前面的特征来判断。(四) 安全设备告

7、警部分安全软件/设备可支持勒索病毒的监测，可通过告警来判断。二 响应措施及应急处理流程(一) 隔离受感染的主机1. 物理隔离物理隔离常用的操作方法是断网和关机。断网、拔掉网线或禁用网卡，笔记本也要禁用无线网络。2. 逻辑隔离逻辑隔离常用的操作方法是加策略和修改登录密码。加策略主要操作步骤为：在网络侧使用安全设备进行进一步隔离，如防火墙或终端安全监测系统；避免将远程桌面服务（RDP，默认端口为3389）暴露在公网上（如为了远程运维方便确有必要开启，则可通过VPN登录后才能访问），并关闭445、139、135等不必要的端口。修改登录密码的主要操作为：首先，立刻修改被感染服务器的登录密码；其次，修改

8、同一局域网下的其他服务器密码；最后，修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码，一般要求：采用大小写字母、数字、特殊符号混合的组合结构，口令位数足够长（15位、两种组合以上）。对于已经中毒的机器，建议在内网下线处理，后续确认清理病毒完毕确认无风险后才能重新接入网络，避免病毒横向传播导致局域网内其它机器被动染毒。(二) 工作环境风险排除在已经隔离被感染主机后，应对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等，以确定感染的范围。内网其他未中毒的电脑，使用弱口令登录的建议尽快修改，使用由字母、数字和特殊字符组合的复杂

9、密码，并杜绝多台机器使用同一密码，避免攻击者暴力破解成功（企业网管可配置强制使用强壮密码，杜绝使用弱密码登录），具体流程可参考以下部分：1. 检查登录密码是否为弱密码，如：空密码，123456，111111，admin，5201314等。2. 检查是否开启高风险服务、端口，如：212223258013513944344533063389，以及不常见端口号。linux下root权限使用命令：netstat -tnlp；windows下使用命令netstat -ano | findstr LISTENLING，同时使用命令tasklist导出进程列表，找出可疑的正在监听端口对应的进程。终端用户若不

10、使用远程桌面登录服务，建议关闭；局域网内已发生勒索病毒入侵的，可暂时关闭135，139，445，3389，5900端口以减少远程入侵的可能。3. 检查机器防火墙是否开启，在不影响正常办公的情况下，建议开启防火墙。4. 检查机器ipc空连接及默认共享是否开启，windows下使用net share命令查看，若返回的列表为空即未开启，否则为开启默认共享。列表中出现C$D$E$分别代表默认共享出C、D、E盘文件，且在获取到windows ipc$连接权限后，可随意读写。该类共享用不到的情况下，建议关闭，关闭方法：net share C$ /del，net share ipc$ /del等。5. 检查

11、机器是否关闭“自动播放”功能，方法：打开“运行”，输入gpedit.msc打开组策略选中计算机配置-管理模板-系统-“关闭自动播放”，双击进入编辑界面，对所有驱动器选择启用关闭。此外，建议安装安全软件杜绝该类威胁，以防U盘等外接设备传播病毒木马。打开“运行”，输入：control.exe /name Microsoft.AutoPlay，弹出的设置对话框中，选择“不执行操作”。6. 检查机器安装软件情况，是否有低版本有漏洞软件，如：FTP Internet Access Manager 1.2、Rejetto HTTP File Server (HFS) 2.3.x、FHFS - FTP/HT

12、TP File Server 2.1.2等。7. 检查本机office、adobe、web浏览器等软件是否更新到最新版本及安装最新补丁，以防钓鱼、挂马类攻击。8. 检查本机系统补丁是否安装到最新，可使用安全终端提供的漏洞修复功能(三) 寻求专业的安全解决方案在应急自救处置后，建议第一时间联系专业的安全人员寻求帮助，对事件的感染时间、传播方式，感染家族等问题进行排查，进行更进一步的安全补救措施。(四) 恢复系统一 历史备份还原如果事前已经对文件进行了备份，那么我们将不会再担忧和烦恼。可以直接从云盘、硬盘或其他灾备系统中，恢复被加密的文件。值得注意的是，在文件恢复之前，应确保系统中的病毒已被清除，

13、已经对磁盘进行格式化或是重装系统，以免插上移动硬盘的瞬间，或是网盘下载文件到本地后，备份文件也被加密。事先进行备份，既是最有效也是成本最低的恢复文件的方式。二 解密工具恢复大部分勒索病毒使用128位密钥的AES（对称加密算法）加密文件，再将AES的密钥使用2048位密钥的RSA（非对称加密算法）加密，通过暴力破解来解密是不科学的，所以通常的解密工具是通过已公开的密钥来解密。而密钥来源有三种途径：l 破解勒索程序得到，前提是勒索程序本身存在漏洞，但此概率极低。l 勒索者对受害人感到愧疚、同情等极端情况而公开密钥。l 执法机构获得勒索者的服务器，同时服务器上存储着密钥且执法机构选择公开。除了付费解

14、密的工具，还可尝试国际刑警组织反勒索病毒网站提供的解密工具：（https:/www.nomoreransom.org/zh/index.html）三 专业人员支付解密勒索病毒的赎金一般为比特币或其他数字货币，数字货币的购买和支付对一般用户来说具有一定的难度和风险。具体主要体现在：1）统计显示，95%以上的勒索病毒攻击者来自境外，由于语言不通，容易在沟通中产生误解，影响文件的解密。2）数字货币交付需要在特定的交易平台下进行，不熟悉数字货币交易时，容易人财两空。所以，即使支付赎金可以解密，也不建议自行支付赎金。但当数据十分重要且上述其他方法都无法恢复，最终经过综合评判，确定需要支付赎金以尝试解密时

15、，也建议听取安全专家或警方人员的建议以及综合判断，谨慎处置。请联系专业的安全公司或数据恢复公司进行处理，以保证数据能成功恢复。四 重装系统当文件无法解密，也觉得被加密的文件价值不大时，也可以采用重装系统的方法，恢复系统。但是，重装系统意味着文件再也无法被恢复。另外，重装系统后需更新系统补丁，并安装杀毒软件和更新杀毒软件的病毒库到最新版本，而且对于服务器也需要进行针对性的防黑加固。三 应避免的错误处置行为(一) 使用移动存储设备部分勒索病毒具备感染移动设备的能力，此时若在病毒机器上使用移动设备，移动设备也将进一步被感染，形成一个移动的病毒源，进而给其它使用该设备的机器带来潜在风险。另外在染毒机器

16、环境中插入移动设备，可能会导致移动设备中的重要数据也被加密，进而扩大灾情。(二) 读写中招主机上的磁盘件当确认服务器已经被感染勒索病毒后，轻信网上的各种解密方法或工具，自行操作。反复读取磁盘上的文件后反而降低数据正确恢复的概率。很多流行勒索病毒的基本加密过程为：（1）将保存在磁盘上的文件读取到内存中；（2）在内存中对文件进行加密；（3）将修改后的文件重新写到磁盘中，并将原始文件删除。部分情况下，遭受勒索病毒攻击后，使用专业的文件恢复工具有概率进一步找到部分被加密文件加密前的原始数据，进而恢复出来。但当尝试使用网络中的不知名工具反复对磁盘进行读写操作，会破坏磁盘中存放的原始文件数据，进而丢失恢复

17、原始文件的机会。四 防治建议(一) 增强安全意识l 不访问色情、博彩等等不良信息网站，这些网站通常会引导访客下载病毒文件或发动钓鱼、挂马攻击。l 不轻易下载陌生人发来的邮件附件，不点击陌生邮件中的链接。l 不随意使用陌生U 盘、移动硬盘等外设，使用时切勿关闭防护软件比如Windows 自带的Windows defender，避免拷入恶意文件。l 不轻易运行bat、vbs、vbe、js、jse、wsh、wsf 等后缀的脚本文件和exe可执行程序，不轻易解压不明压缩文件，避免感染病毒。l 定期查杀病毒，清理可疑文件，备份数据。(二) 增加口令强度强密码长度不少于8 个字符，至少包含以下四类字符中的

18、三类：大小写字母、数字、特殊符号。不能是人名、计算机名、用户名、邮箱名等，避免攻击者利用服务弱口令进行攻击。(三) 修复系统/应用漏洞定期检测应用并修复漏洞，及时更新应用版本。关注微软安全响应中心（(四) 端口管理关闭不必要的端口，通过防火墙配置、安全软件隔离或准入管理，配置端口、服务访问权限。五 应急实例（一） Sage1. 应急场景网站管理员打开OA系统，首页访问异常，显示乱码：2. 事件分析登录网站服务器进行排查，在站点目录下发现所有的脚本文件及附件都被加密为.sage结尾的文件，每个文件夹下都有一个!HELP_SOS.hta文件，打包了部分样本：打开!HELP_SOS.hta文件，显示

19、如下：到这里，基本可以确认是服务器中了勒索病毒。3. 处置措施上传样本到360勒索病毒网站（）进行分析：确认web服务器中了sage勒索病毒，目前暂时无法解密。绝大多数勒索病毒，是无法解密的，一旦被加密，即使支付也不一定能够获得解密密钥。在平时运维中应积极做好备份工作，数据库与源码分离（类似OA系统附件资源也很重要，也要备份）。可尝试的勒索病毒解密工具： “拒绝勒索软件”网站https:/www.nomoreransom.org/zh/index.html 360安全卫士勒索病毒专题三、 第2章 挖矿木马攻击者将挖矿程序非法植入受害者的计算机中，在受害者不知情的情况下利用其计算机的算力进行挖矿

20、，从而获取利益。这类挖矿程序即为挖矿木马。一 状态判断(一) CPU使用率过高挖矿需要消耗大量的CPU资源，当发现服务器CPU使用率过高甚至接近100%，且查看系统进程发现有不明程序占用大量CPU资源时，服务器很大可能被种植了挖矿木马。(二) 检测到异常外联挖矿木马需要连接到矿池或者代理服务器将算力共享出去，当检测到服务器有主动的对外连接行为时，应当警惕服务器是否可能中毒。部分安全软件或设备内置了矿池黑名单，检测到流量中包含了矿池地址时会触发告警，但目前已经有黑客通过配置中间代理的方式来规避黑名单检测，因此建议综合CPU使用情况来判断中毒情况。二 响应措施及应急处理流程(一) 隔离受感染的主机

21、建议将感染的主机在内网下线处理，避免病毒横向传播导致局域网内其它机器被动染毒。已感染的主机需要断网（拔掉网线或禁用网卡），待后续确认清理病毒完毕确认无风险后才能重新接入网络。(二) 清除木马及相关文件1. 删除计划任务，结束病毒进程并删除服务2. 删除下载或释放的病毒文件3. 删除病毒创建的注册表项4. 删除病毒设置的防火墙栏目(三) 工作环境风险排除在隔离被感染主机后，应对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被攻击等，以确定感染的范围。具体排查项可参考以下部分：1. 是否开启不必要的高危端口（如21、80、135、139、443、3

22、389等）2. 检查本机Office、Adobe、浏览器等软件是否更新到最新版本及安装最新补丁。3. 检查本机系统补丁是否安装到最新。4. 检查系统及数据库密码是否存在弱口令，口令要求长度不少于8 位，至少包含以下四类字符中的三类：大小写字母、数字、特殊符号。5. 系统是否安装专业的杀毒软件。三 防治建议(一) 增强安全意识l 不访问色情、博彩等等不良信息网站，这些网站通常会引导访客下载病毒文件或发动钓鱼、挂马攻击。l 不轻易下载陌生人发来的邮件附件，不点击陌生邮件中的链接。l 不随意使用陌生U 盘、移动硬盘等外设，使用时切勿关闭防护软件比如Windows 自带的Windows defende

23、r，避免拷入恶意文件。l 不轻易运行bat、vbs、vbe、js、jse、wsh、wsf 等后缀的脚本文件和exe可执行程序，不轻易解压不明压缩文件，避免感染病毒。l 定期查杀病毒，清理可疑文件，备份数据。(二) 增加口令强度强密码长度不少于8 个字符，至少包含以下四类字符中的三类：大小写字母、数字、特殊符号。不能是人名、计算机名、用户名、邮箱名等，避免攻击者利用服务弱口令进行攻击。(三) 修复系统/应用漏洞定期检测应用并修复漏洞，及时更新应用版本。关注微软安全响应中心（(四) 端口管理关闭不必要的端口，通过防火墙配置、安全软件隔离或准入管理，配置端口、服务访问权限。(五) 防护软件电脑上也要

24、安装防护软件，例如火绒，卡巴斯基，360等，虽说不能做到完全的安全，但是也能有效的防止被入侵。四 应急实例（一） 挖矿病毒一1. 应急场景重启服务器的时候，发现程序启动很慢，打开任务管理器，发现cpu被占用接近100%，服务器资源占用严重。2. 事件分析登录网站服务器进行排查，发现多个异常进程：分析进程参数：wmic process get caption,commandline /value tmp.txt访问该链接：Temp目录下发现Carbon、run.bat挖矿程序：清除挖矿病毒：关闭异常进程、删除c盘temp目录下挖矿程序。3. 处置措施（1） 根据实际环境路径，删除WebLogic

25、程序下列war包及目录（2） rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war（3） rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war（4） rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/

26、AdminServer/tmp/_WL_internal/wls-wsat（二） 挖矿病毒二1. 应急场景发现主机向大量远程IP的445端口发送请求：使用各种杀毒软件查杀无果，虽然能识别出在C:WindowsNerworkDistribution中发现异常文件，但即使删除NerworkDistribution后，每次重启又会再次生成。2. 事件分析通过现象，找到对外发送请求的进程ID：4960进一步通过进程ID找到相关联的进程，父进程为1464找到进程ID为1464的服务项，逐一排查，我们发现服务项RemoteUPnPService存在异常。选择可疑服务项，右键属性，停止服务，启动类型：禁止。

27、停止并禁用服务，再清除NerworkDistribution目录后，重启计算机。异常请求和目录的现象消失。又排查了几台主机，现象一致，就是服务项的名称有点变化。3. 处置措施（1） 停止并禁用可疑的服务项，服务项的名称会变，但描述是不变的，根据描述可快速找到可疑服务项。（2） 可疑服务项描述：Enables a common interface and object model for the Remote UPnP Service to access（3） 删除服务项：Sc delete RemoteUPnPService（4） 删除C:WindowsNerworkDistribution目

28、录（5） 重启计算机（6） 使用杀毒软件全盘查杀（7） 到微软官方网站下载对应操作系统补丁四、 第3章 暴力破解暴力破解攻击是指攻击者通过系统地组合所有可能性（例如登录时用到的账户名、密码），尝试所有的可能性破解用户的账户名、密码等敏感信息。攻击者通常会对FTP、SSH、数据库、RDP协议等进行暴力破解攻击，企图从中获取敏感信息。一 状态判断（一） FTP暴力破解FTP为文件传输协议，用户可通过该协议在远程主机上传或下载文件。当FTP遭受暴力破解攻击时，对应的网站响应速度可能会变慢，网站服务器运行速度异常。（二） SSH暴力破解SSH协议主要用于给远程登录会话数据进行加密，是目前专为远程登录会

29、话和其他网络服务提供安全性的协议。若网站管理员登录服务器进行日常巡检时，发现端口连接中存在可疑的连接记录，那么有可能是攻击者对该服务器的SSH连接口令、用户名进行暴力破解攻击。（三） RDP暴力破解用于远程桌面登录的RDP协议，方便用户实时操作自己的计算机。于攻击者而言，成功破解登录账号密码，即可将该远程机器作为“肉鸡”，在上面种植木马、发起DDOS攻击等非法行为。当主机或防火墙/IPS日志中单一事件出现异常多的事件数，那么该计算机大概率遭受了暴力破解攻击。二 响应措施及应急处理流程（一） 登录账号口令检查当服务正在遭受暴力破解攻击时，第一时间先检查该服务的登录账号口令强度是否满足强口令要求。（口令要求长度不少于8 位，至少包含以下四类字符中的三类：大小写字母、数字、特殊符号。）若不满足强口令要求，则修改口令，确保不会被轻易破解。（二） 服务转移或关闭限制服务的访问权限，设置为局域网可访问或直接关闭不必要的服务。若该服务必须开放，则可考虑更改服务默认端口。（三） 安全日志审查审计防火墙/IPS或主机安全日志，查看攻击者的攻击动作（是否爆破登录成功等）对正在遭受暴力破解攻击的服务，可使用Wireshark进行流量捕获，获取正在进行攻击行为的IP，从而可禁封该IP访问。三 防治建议1. 禁用不必要的服务，若必须开放