文章总结: 本文档为企业网络安全防护与应急响应操作参考指南,核心内容涵盖勒索软件与挖矿病毒等现代网络威胁的深度解析,包括ATT&CK阶段的技术实现、关键指标与缓解措施。文档强调从单一边界防御转向纵深防御与持续监测并重的体系化建设,并提供了Windows和Linux操作系统的终端安全加固命令示例及应急响应实战流程。可操作建议是实施纵深防御策略并部署持续监测工具。 综合评分: 87 文章分类: 应急响应,恶意软件,安全建设,终端安全,网络安全
网安技术 | 企业网络安全防护与应急响应操作参考指南
点击关注 👉 点击关注 👉
马哥网络安全
2026年7月2日 17:00 河南
在小说阅读器读本章
去阅读
综述:现代网络威胁已从广撒网式攻击演进为高度针对性的”突破-驻留-横向移动-执行”模式,挖矿病毒已演变为”混合型恶意软件”,与勒索软件、后门程序捆绑分发。故此,防护体系需与时俱进,强化从单一边界防御转向纵深防御与持续监测并重的体系化建设。
一、核心威胁深度解析
1.1 勒索软件 (Ransomware)
| ATT&CK阶段 | 技术实现(TTP) | 关键指标(IoC)与狩猎建议 | 缓解措施(Mitigation) | | — | — | — | — | | 初始访问 (T1566) | 鱼叉式钓鱼附件(T1566.001)、利用面向公众的应用(T1190) | IoC : 邮件附件哈希(如e4d909c290d0fb1ca068ffaddf22cbd0)、发件人域名(*.top)、邮件主题关键词(”Invoice”, “Urgent”) 狩猎: Sysmon EventID 1监控可疑子进程创建,Email Gateway日志分析附件类型(.js, .lnk, .zip) 高级狩猎: 使用YARA规则匹配常见勒索软件特征(如”LockBit”, “BlackCat”) | 防御措施 : 邮件安全网关配置AI检测策略、禁用宏、实施S/MIME签名验证、部署钓鱼模拟平台 | | 执行 (T1203) | 利用宏(T1059.005)、命令行界面(T1059.003) | IoC : 命令行参数(/r encfs.vbs)、进程树(winword.exe -> wscript.exe -> powershell.exe)、进程名(msiexec.exe) 狩猎: Sysmon EventID 1, 22监控进程创建及文件访问,EDR监控脚本行为(如Base64编码的PowerShell命令) 高级狩猎: 使用Sigma规则检测异常进程链(如Office应用启动PowerShell) | 防御措施 : 禁用Office宏、限制命令行操作、实施应用控制策略、部署终端检测与响应(EDR) | | 防御规避 (T1562) | 禁用安全工具(T1089)、隐藏文件(T1564.001) | IoC : 注册表键(HKLM\SOFTWARE\Policies\Microsoft\Windows Defender)、进程名(taskkill /im MsMpEng.exe)、文件名(.tmp, .cache) 狩猎: Sysmon EventID 12, 13监控注册表修改,EDR监控安全服务状态(如Defender服务停止) 高级狩猎: 检测异常进程行为(如非管理员进程修改安全软件配置) | 防御措施 : 强化终端安全配置、部署EDR、实施注册表保护策略 | | 影响 (T1486) | 数据加密(T1486)、数据备份删除(T1490) | IoC : 文件扩展名(.locked、.crypt、.lockbit3.0)、卷影副本删除(vssadmin delete shadows)、RDP会话异常 狩猎: Sysmon EventID 2, 11监控文件大量修改及删除,备份系统告警(如备份服务停止) 高级狩猎: 检测加密文件特征(如AES加密模式、文件头特征) | 防御措施 : 数据备份与恢复、文件完整性监控、实施备份隔离策略(离线、不可变备份) |
2024年主流勒索软件(如LockBit 3.0、BlackBasta)已采用”无文件攻击”(Fileless Attack)技术,通过内存执行恶意代码,规避传统文件扫描。建议部署内存取证工具(如Volatility)进行深度分析。
1.2 挖矿病毒 (Cryptojacking)
| ATT&CK阶段 | 技术实现(TTP) | 关键指标(IoC)与狩猎建议 | 缓解措施(Mitigation) | | — | — | — | — | | 持久化 (T1543) | 计划任务(T1053.005)、系统服务(T1543.003) | IoC : 任务名(GoogleUpdate、SystemMonitor)、服务名(SysMiner、XMRigService)、启动项路径(C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp) 狩猎: Sysmon EventID 19, 20监控任务/服务创建,EDR监控自启动项 高级狩猎: 检测异常服务启动(如非微软服务在系统启动时加载) | 防御措施 : 系统配置管理、权限控制、实施服务白名单策略 | | 发现 (T1082) | 系统信息查询(T1082)、网络服务扫描(T1046) | IoC : 进程行为(访问/proc/cpuinfo、/proc/meminfo)、网络连接(内网445端口扫描、矿池连接)、CPU使用率异常(>90%持续5分钟) 狩猎: EDR监控系统信息查询行为,NDR检测内网扫描流量,监控CPU/内存使用率 高级狩猎: 检测异常网络连接(如连接到已知矿池IP) | 防御措施 : 网络分段、主机加固、部署系统性能监控 | | 命令与控制 (T1071) | 应用层协议(T1071.001)、加密通道(T1573) | IoC : 域名(xmr.pool.minergate.com、monero.pool.2miners.com)、IP(185.23.253.174、104.21.99.152)、加密协议(TLS 1.2+) 狩猎: DNS日志分析异常解析,Proxy日志分析外连请求,流量分析识别矿池协议 高级狩猎: 使用Zeek脚本检测矿池协议特征(如XMRig协议) | 防御措施 : 网络流量过滤、DNS安全、部署IPS/IDS系统 | | 影响 (T1496) | 资源劫持(T1496) | IoC : CPU使用率异常、GPU温度升高、系统响应变慢、电费异常增加 狩猎: 监控系统性能指标(CPU、GPU、内存、网络),EDR检测挖矿进程(xmrig、minerd、cpuminer) 高级狩猎: 检测异常进程行为(如持续高CPU使用率) | 防御措施 : 资源监控、应用控制、部署挖矿检测工具(如CryptoMiner Detector) |
2024年挖矿病毒已演变为”混合型恶意软件”,与勒索软件、后门程序捆绑分发。常见攻击路径:通过钓鱼邮件下载恶意Office文档 → 通过宏执行PowerShell脚本 → 下载挖矿程序并建立持久化。
二、企业级纵深防御体系
2.1 终端安全强化
操作系统加固(Windows 10/11)
重要提示:以下命令为模板示例,需根据实际环境替换参数和路径
【高危操作警告】 禁用SMBv1(关键安全配置) – 仅在确认所有系统支持SMBv2+后执行 【高危操作警告】 禁用默认共享(C) – 仅在确认系统不需要这些共享时执行 【高危操作警告】 禁用远程注册表服务 – 仅在确认不需要远程注册表访问时执行
# 1. 禁用SMBv1(关键安全配置) - 仅在确认所有系统支持SMBv2+后执行
# 验证依赖:检查是否有系统依赖SMBv1
if(Get-WindowsFeature-Name SMB1 -ErrorAction SilentlyContinue |Select-Object-ExpandProperty Installed){
# 确认所有系统支持SMBv2+
$smb2Support = $true
$servers = "Server1","Server2","FileServer"# 替换为实际服务器列表
foreach($server in $servers){
if(-not(Test-NetConnection$server-Port 445 -ErrorAction SilentlyContinue).TcpTestSucceeded){
$smb2Support = $false
Write-Host"Server $server does not support SMBv2+. Aborting SMBv1 disable."
break
}
}
if($smb2Support){
Uninstall-WindowsFeature-Name SMB1 -Remove -Force
Write-Host"SMBv1 disabled. Please verify all network services are functioning."
}
}else{
Write-Host"SMBv1 is already disabled."
}
# 2. 禁用默认共享(C$, ADMIN$) - 仅在确认系统不需要这些共享时执行
if((Get-ItemProperty-Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"-ErrorAction SilentlyContinue).AutoShareWks -eq 1){
Set-ItemProperty-Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"-Name "AutoShareWks"-Value 0
Restart-Service-Name LanmanServer -Force
Write-Host"Default shares disabled. Please verify network file sharing is still functioning."
}else{
Write-Host"Default shares are already disabled."
}
# 3. 禁用远程注册表服务(仅在确认不需要远程注册表访问时执行)
if((Get-Service-Name RemoteRegistry -ErrorAction SilentlyContinue).Status -eq'Running'){
Stop-Service-Name RemoteRegistry -Force
Set-Service-Name RemoteRegistry -StartupType Disabled
Write-Host"Remote registry service disabled. Please verify remote management is still possible."
}else{
Write-Host"Remote registry service is already disabled."
}
# 4. 启用Windows Defender实时保护
Set-MpPreference-DisableRealtimeMonitoring $false
Set-MpPreference-DisableBehaviorMonitoring $false
关键注意事项:
- 所有系统配置更改前,必须确认系统依赖关系,避免影响正常业务
- 禁用SMBv1前,应使用以下命令检查依赖:
Get-WindowsFeature-Name SMB1 |Select-Object-Property Installed, DisplayName
```
> 3. 禁用默认共享前,应确认网络文件共享是否需要,避免影响远程办公
> 4. 禁用远程注册表服务前,应确保有其他远程管理方式(如Jump Server)
> 5. 所有操作前,建议创建系统还原点
> 6. 操作后,验证关键业务功能是否正常
#### 操作系统加固(Linux)
> **参考如下:**
bash
1. 禁用root远程登录
if grep -q “PermitRootLogin yes”/etc/ssh/sshdconfig; then sed -i ‘s/^PermitRootLogin yes/PermitRootLogin no/’/etc/ssh/sshdconfig systemctl restart sshd echo”Root SSH login disabled. Verify alternative admin account is functional.” else echo”Root SSH login is already disabled.” fi
2. 禁用不必要的服务
if systemctl is-enabled rpcbind &> /dev/null; then systemctl stop rpcbind systemctl disable rpcbind echo”RPCBind service disabled. Verify NFS services are not impacted.” else echo”RPCBind service is already disabled.” fi
3. 配置SSH强密码策略
if! grep -q “PasswordAuthentication no”/etc/ssh/sshdconfig; then echo”PasswordAuthentication no” >> /etc/ssh/sshdconfig echo”PermitEmptyPasswords no” >> /etc/ssh/sshd_config systemctl restart sshd echo”SSH strong password policy applied.” fi
**关键注意事项**:
1. 禁用root SSH登录前,必须确保至少有一个普通用户账户可以使用sudo
2. 禁用rpcbind服务前,应确认系统是否使用NFS服务,避免影响文件共享
3. 所有SSH配置更改后,建议先在本地测试,再执行远程重启
4. 操作前,建议备份当前配置
5. 操作后,验证SSH登录功能是否正常
---
## 三、应急响应实战指南
### 3.1 通用响应流程图

###
**【高危操作警告】** 禁用网络前必须确认可以本地访问系统,避免完全断开
**【高危操作警告】** 终止进程前必须确认进程是恶意的(通过进程路径、命令行参数、父进程等)
**【高危操作警告】** 阻断IP前必须通过威胁情报确认IP是恶意的,避免误封合法IP
1. 确认网络连接状态
$networkAdapter = Get-NetAdapter|Where-Object{$_.Status -eq”Up”} if($networkAdapter){ $adapterName = $networkAdapter.Name Disable-NetAdapter-Name $adapterName-Confirm:$false Write-Host”Network adapter $adapterName disabled. Verify local access is still possible.” }else{ Write-Host”No active network adapters found. Cannot disable network.” }
2. 识别并终止可疑进程(谨慎操作,仅终止已确认的恶意进程)
$maliciousProcesses = Get-Process|Where-Object{$.Path -like”\temp*”-or$.Path -like”\AppData\Local\Temp*”} if($maliciousProcesses){ $maliciousProcesses|ForEach-Object{ Write-Host”Terminating process: $($.Name) ($($.Id))” Stop-Process-Id $_.Id -Force } }else{ Write-Host”No suspicious processes found in temp directories.” }
3. 阻断恶意IP连接(仅阻断已确认的恶意IP)
注意:以下IP地址为示例,需替换为实际恶意IP
$maliciousIP = “185.23.253.174” netsh advfirewall firewall add rule name=”Block Malicious IP”dir=in action=block remoteip=$maliciousIP
**关键注意事项**:
1. 禁用网络前,必须确认可以本地访问系统,避免完全断开
2. 终止进程前,必须确认进程是恶意的(通过进程路径、命令行参数、父进程等)
3. 阻断IP前,必须通过威胁情报确认IP是恶意的,避免误封合法IP
4. 所有操作应记录在案,包括操作时间、操作人、操作内容
5. 操作前,建议创建系统快照
6. 操作后,验证系统功能是否正常
#### 阶段二:证据收集(Collection)
1. 创建内存镜像(需管理员权限)
if(Test-Path-Path “C:\Tools\volatility.exe”){ & “C:\Tools\volatility.exe”-f C:\MemoryDump.mem imageinfo & “C:\Tools\volatility.exe”-f C:\MemoryDump.mem pslist > pslist.txt Write-Host”Memory dump and process list created.” }else{ Write-Host”Volatility not found. Please install it before capturing memory.” }
2. 收集关键日志(注意:仅收集安全相关日志)
Get-WinEvent-LogName “Security”-MaxEvents 1000 |Export-Csv-Path “C:\Evidence\SecurityEvents.csv”-NoTypeInformation Get-WinEvent-LogName “Microsoft-Windows-PowerShell/Operational”-MaxEvents 500 |Export-Csv-Path “C:\Evidence\PowerShellEvents.csv”-NoTypeInformation
3. 检查持久化机制(避免删除重要系统文件)
Get-WindowsStartMenu|Where-Object{$.Path -like”\AppData\Local\Temp*”}|Export-Csv-Path “C:\Evidence\StartupItems.csv”-NoTypeInformation Get-ScheduledTask|Where-Object{$.TaskPath -like”\Temp*”}|Export-Csv-Path “C:\Evidence\ScheduledTasks.csv”-NoTypeInformation
**关键注意事项**:
1. 内存镜像捕获需要管理员权限,且系统需安装Volatility工具
2. 日志收集应限制在必要日志,避免收集敏感信息
3. 持久化检查应避免删除系统文件,仅用于分析
4. 操作前,确保有足够的磁盘空间用于存储证据
5. 操作后,验证证据文件是否完整
#### 阶段三:根除与恢复(Eradication & Recovery)
1. 删除恶意文件(仅删除已确认的恶意文件)
注意:以下文件路径为示例,需替换为实际恶意文件路径
$maliciousFiles = Get-ChildItem-Path “C:\Users\Public\Documents”-Recurse -Include *.lockbit -Force if($maliciousFiles){ $maliciousFiles|Remove-Item-Force -Recurse Write-Host”Removed $maliciousFiles.Count malicious files.” }else{ Write-Host”No malicious files found in C:\Users\Public\Documents.” }
2. 重置系统配置
Reset-ComputerMachineAccount-Server “domaincontroller”-Force
3. 恢复数据(从已验证的备份)
注意:以下备份路径为示例,需替换为实际备份路径
Restore-ComputerBackup-BackupPath “\backupserver\share\encrypted_data”-TargetPath “C:\Users\user\Documents”
**关键注意事项**:
1. 删除文件前,必须确认文件是恶意的,避免误删重要文件
2. 重置系统配置前,应确认域控制器可用
3. 恢复数据前,应验证备份的完整性,避免恢复损坏数据
4. 操作前,确保有可用的备份
5. 操作后,验证系统功能是否正常
### 3.3 技术处置细则:挖矿病毒事件(Linux平台)
#### 阶段一:快速遏制(Containment)
**【高危操作警告】** 断开网络前必须确认可以本地访问系统,避免完全断开
**【高危操作警告】** 终止进程前必须确认进程是恶意的(通过进程路径、命令行参数等)
**【高危操作警告】** 阻断IP前必须通过威胁情报确认IP是恶意的,避免误封合法IP
1. 确认网络接口
activeInterface=$(iplink show |grep-E”state UP”|awk'{print $2}’|cut -d’:’-f1) if[-n”$activeInterface”];then sudoifdown$activeInterface echo”Network interface $activeInterface disabled. Verify local access is still possible.” else echo”No active network interfaces found. Cannot disable network.” fi
2. 识别并终止可疑进程(仅终止已确认的恶意进程)
ps-ef|grep-E’minerd|xmr|xmrig|cpuminer’|grep-vgrep|whileread-r line;do pid=$(echo $line |awk'{print $2}’) echo”Terminating process: $pid” sudokill-9$pid done
3. 阻断恶意IP连接(仅阻断已确认的恶意IP)
注意:以下IP地址为示例,需替换为实际恶意IP
maliciousIP=”185.23.253.174″ sudo iptables -A OUTPUT -d$maliciousIP-j DROP
**关键注意事项**:
1. 断开网络前,必须确认可以本地访问系统,避免完全断开
2. 终止进程前,必须确认进程是恶意的(通过进程路径、命令行参数等)
3. 阻断IP前,必须通过威胁情报确认IP是恶意的,避免误封合法IP
4. 所有操作应记录在案,包括操作时间、操作人、操作内容
5. 操作前,建议创建系统快照
6. 操作后,验证系统功能是否正常
#### 阶段二:证据收集(Collection)
1. 创建内存快照
sudoddif=/dev/mem of=/tmp/memdump.img bs=1M count=1000
2. 收集系统状态
dmesg> /tmp/dmesg.log top-b-n1> /tmp/top.log netstat-tulnpe> /tmp/netstat.log ps aux > /tmp/ps.log
3. 检查持久化机制(避免删除重要系统文件)
crontab-l> /tmp/crontab.log ls-la /etc/cron.* > /tmp/cron_dirs.log systemctl list-units –type=service –state=running > /tmp/services.log
**关键注意事项**:
1. 内存快照捕获需要root权限,且系统需有足够磁盘空间
2. 系统状态收集应限制在必要信息,避免收集敏感数据
3. 持久化检查应避免删除系统文件,仅用于分析
4. 操作前,确保有足够的磁盘空间用于存储证据
5. 操作后,验证证据文件是否完整
#### 阶段三:根除与恢复(Eradication & Recovery)
1. 删除恶意文件(仅删除已确认的恶意文件)
注意:以下文件路径为示例,需替换为实际恶意文件路径
find / -name’minerd‘-type f -execrm-f{}\;2>/dev/null find / -name’xmrig‘-type f -execrm-f{}\;2>/dev/null find / -name’cpuminer‘-type f -execrm-f{}\;2>/dev/null
2. 清理启动项
rm-f /etc/init.d/xmrig rm-f /etc/systemd/system/xmrig.service rm-f /etc/cron.d/xmrig
3. 重建系统(建议从干净镜像重建)
注意:以下备份路径为示例,需替换为实际备份路径
rsync-av /backup/healthy_system/ / –exclude=’var/log’–exclude=’var/cache’ “`
关键注意事项:
- 删除文件前,必须确认文件是恶意的,避免误删重要文件
- 清理启动项前,应确认系统没有其他依赖
- 重建系统前,应验证备份的完整性,避免恢复损坏系统
- 操作前,确保有可用的干净系统备份
- 操作后,验证系统功能是否正常
四、整体操作注意事项与风险预防
4.1 操作前验证
- 环境验证:
- 确认系统版本与命令兼容性(如Windows 10/11 vs Windows Server)
- 检查系统依赖关系(如禁用SMBv1前,确认所有服务支持SMBv2+)
- 验证备份完整性(恢复前确认备份数据可用)
- 权限验证:
- 所有系统级操作必须使用管理员权限
- 确认当前用户有足够权限执行命令
- 避免使用root账户进行非必要操作
- 风险评估:
- 评估操作对业务连续性的影响
- 评估操作对系统稳定性的影响
- 评估操作对数据完整性的影响
4.2 操作中监控
- 实时监控:
- 监控系统资源使用情况(CPU、内存、磁盘I/O)
- 监控网络连接状态
- 监控进程活动
- 操作记录:
- 记录所有操作的详细信息(时间、命令、参数、结果)
- 使用脚本或工具自动化记录操作
- 将操作记录保存到安全位置
- 应急回滚:
- 为关键操作准备回滚方案
- 确认回滚操作的可行性
- 在执行关键操作前,确保回滚方案可用
4.3 操作后验证
- 功能验证:
- 验证系统功能是否正常
- 验证业务流程是否正常
- 验证安全配置是否按预期工作
- 日志验证:
- 检查系统日志,确认操作未引入异常
- 检查安全日志,确认安全配置生效
- 检查应用日志,确认业务功能正常
- 威胁验证:
- 使用威胁情报验证系统是否仍受威胁
- 使用安全扫描工具验证系统安全性
- 使用行为分析验证系统是否正常
4.4 风险预防清单
| 风险类型 | 预防措施 | 操作示例 | | — | — | — | | 误操作风险 | 操作前确认、操作后验证、准备回滚方案 | 在禁用SMBv1前,确认所有系统支持SMBv2+;在删除文件前,确认文件是恶意的 | | 业务中断风险 | 评估业务影响、选择非高峰时段操作 | 在业务低峰期执行系统配置更改,避免在业务高峰期进行网络断开操作 | | 数据丢失风险 | 操作前备份、操作后验证备份 | 在删除文件前,确认备份已验证;在恢复数据前,确认备份完整性 | | 安全配置失效风险 | 验证配置、定期审计 | 在配置安全策略后,使用安全扫描工具验证配置是否生效 | | 误封合法IP风险 | 确认IP为恶意IP、使用威胁情报验证 | 在阻断IP前,通过威胁情报平台验证IP是否为恶意IP |
文章内容转自信安指北针,侵删
●彻底理解cookie,session,token之间的关系
●使用自动化工具寻找sql注入漏洞
●看完这篇还不会wireshark,你顺着网线来打我
●年薪40W!IT人的新赛道,我决定入局!
END
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:马哥网络安全 点击关注 👉 点击关注 👉《网安技术 | 企业网络安全防护与应急响应操作参考指南》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论